About Jeroen Houtman

This author has not yet filled in any details.
So far Jeroen Houtman has created 7 blog entries.

ICT XS op AVG-seminar

2017-11-20T11:47:35+00:00 november 20th, 2017|

Vrijdag 17 november heeft ICT Waarborg een interessant seminar gegeven over de EU GDRP / AVG. De privacy wetgeving rondom persoonsgegevens waar ieder bedrijf zich aan moet houden. Het was weer heel netjes georganiseerd. Dit keer in kasteel Nijenrode. ICT Recht verzorgde de presentatie.

Het was ons al bekend dat er nog veel onduidelijkheid is over bepaalde zaken rondom de EU GDRP / AVG. Ook op dit seminar bleek bij het beantwoorden van de vele vragen uit het publiek dat er voor diverse scenario’s nog geen duidelijkheid bestaat over hoe de autoriteit persoonsgegevens nu precies op gaat treden tegen bepaalde constructies. Zeker omdat er nog geen jurisprudentie is over hoe de letter van de wet geïnterpreteerd en uitgevoerd zal moeten worden.

Van belang is in ieder geval dat elk bedrijf alle risico’s in ieder geval overdacht heeft en deze gedocumenteerd heeft. Ook wanneer een risico groot is blijft de documentatie en redenatie van groot belang. Dan loopt u in ieder geval de boete mis voor het niet hebben van een plan rond bescherming persoonsgegevens.

Ook de bewerkersovereenkomst is hierbij van groot belang. Hierin worden diverse zaken afgesproken tussen verantwoordelijke en verwerker hoe er met persoonsgegevens van betrokkenen omgegaan moet worden. Hoe de beveiliging geregeld is, waar de data opgeslagen is en wat te doen in het geval van een datalek. Zowel de verantwoordelijke als de bewerker zijn in overtreding als dit niet geregeld is. Dit mag in de algemene voorwaarden, maar dat is soms niet praktisch omdat er vaak specifieke gegevens moeten worden opgenomen als beveiliging en welke typen persoonsgegevens. Vandaar dat een contract of aparte overeenkomst vaak de voorkeur hebben. Zeker omdat aanpassing van een algemene voorwaarden of contract ook andere gevolgen hebben voor de lopende overeenkomst en de inhoud van de bewerkersovereenkomst soms gewijzigd moet worden als er bijvoorbeeld technisch iets veranderd.

Maar om volledig te voldoen aan de AVG moet er een werkelijke omslag plaatsvinden in de manier waarop we met persoonsgegevens omgaan. Ideaal is om toegang tot persoonsgegevens te beperken tot zo min mogelijk systemen en personen. En de systemen en accounts van de personen die toegang hebben maximaal te beveiligen.

Een punt wat nog erg lastig uitvoerbaar lijkt is de registratie van persoonsgegevens in een log. Zeker als er persoonsgegevens in een webshop of website, administratiepakket en ook op opslagsystemen staan. En als er op andere manieren en zelfs ongevraagd persoonsgegevens binnenkomen. En als medewerkers zelf nog eens lijstjes buiten de gebruikelijke workflow om opslaan zoals een vakantieschema voor het plannen van de vakantiedagen van een afdeling.

De AVG / EU GDPR zal een enorme kostenpost worden voor bedrijven als er niet snel een verplicht systeem komt waar iedere software aanbieder, cloud provider en bedrijf zich bij aan MOET sluiten. Een mooi voorbeeld is Esland wat al ver ontwikkeld is op het gebied van digitale identiteit en bescherming van persoonsgegevens.

Alle WiFi apparatuur mogelijk kwetsbaar

2018-02-21T09:46:11+00:00 november 3rd, 2017|

Belgische beveiligingsonderzoekers hebben een ernstig lek gevonden in de beveiligingsstandaard WPA2. Vrijwel alle netwerken gebruiken WPA2 als beveiligingsmethode waardoor dit een grote impact op de veiligheid van WiFi netwerken heeft.
De aanvalsmethode die ter bewijs is ontwikkeld draagt de naam Key Reinstallation Attacks, afgekort KRACK.

Het lek stelt criminelen in staat om in te breken op een met een wachtwoord beveiligd netwerk. Zo kan internetverkeer worden afgeluisterd. Bij enkele versies van het WPA2-protocol kan zelfs malafide verkeer naar verbonden apparaten worden gestuurd. Bij het lek wordt het wachtwoord van het wifi-netwerk niet zichtbaar voor de aanvaller.

Een aanvaller moet fysiek in de buurt van een wifi-netwerk zijn om het lek te misbruiken. Alleen onversleuteld internetverkeer is dan inzichtelijk. Steeds meer websites en apps gebruiken HTTPS-verbindingen die wel zijn versleuteld, en daarom niet kunnen worden afgeluisterd.

Oplossing

Het lek kan worden gedicht door het hergebruik van encryptiesleutels onmogelijk te maken in het authenticatieproces, aldus het artikel van de onderzoekers. Een update kan worden doorgevoerd in de wifi-router, of in de apparaten die hiermee zijn verbonden. Als één van de twee is voorzien van een beveiligingsupdate, dan werkt de hack al niet meer. De onderzoekers adviseren om de apparaten die met het netwerk verbinden eerst van een update te voorzien.

Diverse leveranciers (waaronder Ubiquiti) hebben al nieuwe software uitgebracht om KRACK onmogelijk te maken. Uiteraard moet u nog wel de update uitvoeren op uw router, telefoon en computers om echt veilig te zijn. Update daarom uw apparatuur met spoed. Hulp nodig? Neem contact met ons op.

 

 

ICT XS op InfoSecurity 2017

2017-11-03T13:51:13+00:00 november 3rd, 2017|

ICT XS was dit jaar weer op de InfoSecurity 2017 in de jaarbeurs Utrecht. Veel bedrijven hadden een stand met oplossingen voor databeveiligingsproducten. Ook ESET was uiteraard aanwezig. Helaas zijn veel oplossingen voor kleine bedrijven en ZZP’ers niet bereikbaar, erg duur of vereisen een eigen serverpark.

Ook heb ik diverse bijeenkomsten bijgewoond om op de hoogte te blijven van de laatste ontwikkelingen op het gebied van de EU GDRP / AVG die binnenkort gehandhaafd gaat worden en grote impact heeft op alle bedrijven in Nederland. Uit onderzoek bleek dat 90% van de bedrijven nog niet is begonnen met voorbereidingen. Kleine bedrijven hebben dan wel iets korter nodig om zich voor te bereiden en veranderingen aan te brengen, maar het is al vrij laat als u nu pas begint.

De Authoriteit Persoonsgegevens is opgedragen om een aantal voorbeelden te stellen, wat waarschijnlijk in houd dat er flinke boetes uitgedeeld worden om ervoor te zorgen dat bedrijven hier werk van gaan maken.

Lastig is om nu al te zeggen waar de Autoriteit Persoonsgegevens op gaat letten en dat kan naar verloop van tijd ook weer veranderen. Van belang is in ieder geval goed voorbereid te zijn.

Uiteraard is een goede beveiliging, een goed IT beleid, voorlichting over de EU GDPR / AVG en een register niet alleen van belang voor het beveiligen van persoonsgegevens. Dit kan als een aanleiding gezien worden uw bedrijf te beveiligen. Ook is het niet zo dat dit een geheel nieuwe wetgeving is, het merendeel van de regels stond al in de Wbp van 1995.

 

ICT XS op de ESET partner Conference 2017

2017-11-03T13:50:23+00:00 april 20th, 2017|

Op dinsdag 11 april 2017 was ICT XS aanwezig op de ESET partner conference.

Uiteraard om op de hoogte te blijven van de laatste ontwikkelingen en tevens om op de hoogte te blijven van nieuwe producten van ESET.

Wij willen als Trusted Advisor voor onze klanten op de hoogte zijn van de laatste ontwikkelingen, wetgeving en IT beveiligingsproducten. Zodoende kunnen wij u altijd adviseren over bijvoorbeeld de EU GDPR, 2 factor authentication en encryptie. Maar ook de endpoint beveiligingsproducten.

ESET heeft weer enkele producten aangekondigd voor het MKB om enterprise level beveiliging in een simpelere vorm beschikbaar te stellen. Neem gerust contact op met ICT XS met vragen over beveiliging en het voldoen aan de EU GDPR.

Robot ESET IT beveiliging Logo ESET IT beveiliging

EU GDPR – Europese General Data Protection Regulation

2017-11-20T08:17:04+00:00 maart 30th, 2017|

Veel bedrijven voldoen niet aan de huidige Nederlandse wetgeving op het gebied van bescherming van persoonsgegeven. Laat staan dat deze bedrijven voorbereid of bewust zijn van de nog strengere EU GDPR die nu al van toepassing is en die per 25 mei 2018 gehandhaafd zal worden. De boetes (ook voor het niet melden) zijn enorm!

Meer achtergrond en details kunt u in dit artikel vinden:

Voldoet uw organisatie aan de GDPR?

Om een globaal beeld te geven van de te nemen acties rondom de voorbereiding en uitvoering van de EU GDPR hebben we een aantal belangrijke punten voor ZZP’ers en kleine bedrijven op een rijtje gezet.

Kortom er dient een hoop te gebeuren voor 25 mei 2018. ICT XS kan het traject met u doorlopen en u tevens voorzien van de juiste IT voorzieningen en IT beveiliging.

ICT EN DE EU GDPR:

Breng in kaart welke data er wordt verzameld.

Elk bedrijf is sinds de EU GDPR verplicht een actueel register (op papier) te hebben van alle persoonsgegevens.

  • Contactformulier van uw website. (Veilige website en hosting)
  • Boekhoud programma
  • E-mail (Veilige professionele e-mail oplossing)
  • Telefonie
  • Overige digitale communicatie (skype, facebook messenger, etc)
  • Handmatig opgeslagen databases in Excel of word op een centrale server en op lokale computers

Reduceer de hoeveelheid opgeslagen data.

Het is dus van belang zo min mogelijk persoonsgegevens op te slaan van natuurlijke personen. Probeer hierbij dus de absolute minimum aan data aan te houden dat werkbaar is.

Reduceer het aantal medewerkers met toegang.

De toegang tot de tot deze gegevens beperken, zorg dat alleen die medewerkers toegang hebben die ook daadwerkelijk toegang moeten hebben voor het uitoefenen van hun werkzaamheden.

Breng in kaart welke partijen toegang hebben tot uw bedrijfsdata

Als verantwoordelijke dient u ook te registreren welke leveranciers toegang hebben tot bedrijfsdata en daarmee ook toegang tot de door uw bedrijf verzamelde persoonsgegevens.

Met elke leverancier dient een bewerkersovereenkomst gesloten te worden waaruit blijkt hoe de bewerker (leverancier) met de data om moet gaan.

Ook dient vastgelegd te worden op welke manier deze data is beveiligd. Denk aan de beveiliging vanuit de leverancier, maar ook de beveiliging van de lokale computers die toegang hebben tot de systemen van de leverancier.

Beveilig de toegang

Het is van belang een betrouwbare leverancier te kiezen. Denk aan zaken als encryptie en technische beveiligingsmethoden, maar ook fysieke toegangsbeveiliging.

Maar gaat het niet alleen om de toegang tot de data, maar ook de toegang tot de apparatuur via welke toegang wordt gelegd. Dus dit omvat diverse lagen en manieren van beveiliging. Voor het overgrote deel bent u zelf geheel verantwoordelijk. Slechts een gedeelte is de verantwoordelijkheid van de leverancier.

Overige toegangspunten:

  • Netwerk
  • Computers
  • Smartphones
  • Vaste telefoon / telefooncentrale
  • USB sticks of andere data dragers

Maakt u gebruik van verwerkers?

Voor verwerkers van data dient een aparte overeenkomst te worden afgesloten. Enkele voorbeelden, u huurt een bedrijf in voor de boekhouding, loon administratie of arbodienst die toegang hebben tot uw data en daarop een verwerking uitvoeren. Zorg voor een verwerkersovereenkomst!

Plan van aanpak in geval van een datalek

Is er een plan van aanpak in het geval van een datalek? Wie is verantwoordelijk binnen de organisatie voor het maken van de melding aan de authoriteit? Wie analyseert welke data er precies is gelekt? En is er überhaupt wel een mogelijkheid tot het nagaan? Wie informeert de gedupeerden? Wie stelt verder onderzoek in? Etc.

Verwerking en hergebruik van IT apparatuur

IT afval als oude computers, defecte usb sticks, defecte telefoons of apparatuur die door een andere medewerker weer gebruikt worden dienen vrijgemaakt te worden van data voordat er iets mee gedaan wordt. Zorg voor een veilige vernietiging van uw opslagmedia en veilige verwijdering van data op apparatuur die hergebruikt wordt (zowel binnen als buiten de organisatie!). Documenteer dit ook in het verplichte register!

Voorlichting van uw personeel

Het is van groot belang dat na het maken van een plan en het beveiliging van de data alle personeel met IT toegang voorgelicht wordt over de EU GDPR. Het personeel is (na een goede beveiliging ingezet te hebben) namelijk de meest waarschijnlijke bron van de lek. Het personeel moet een contactpersoon hebben die de melding van een (mogelijk) lek intern kan melden zodat de organisatie aan haar wettelijke verplichtingen kan voldoen. Elk verdacht voorval dient beoordeeld te worden door een interne of externe medewerker met voldoende kennis van IT en wetgeving.

Wilt u meer weten?

Neem contact op met ICT XS.

Nieuwe website

2017-11-03T13:48:04+00:00 september 19th, 2016|

ICT XS heeft een nieuwe website. ICT XS is continu in beweging de meest praktische, veilige en betaalbare oplossingen in de markt te vinden. Elke klant heeft een ander IT vraagstuk, maar elke klant dient wel te voldoen aan de huidige wetgeving. Helaas is de situatie bij veel bedrijven bedroevend slecht en zijn de budgetten voor ICT verreweg te laag. Een te laag budget leid vaak tot hoge kosten. Zeker nu de wetgeving rondom persoonsgegevens sinds 2016 veel strenger is.

2016 | Meldplicht datalekken

Een schoolvoorbeeld van een datalek kwam ik net in mijn mailbox tegen, een internetmarketingbureau dat een mail stuurde naar diverse mensen in het AAN veld waardoor alle adressen en namen zichtbaar zijn. Kortom een lek wat gemeld dient te worden en mogelijk ook beboet kan worden. Grotere lekken kunnen vele tonnen aan boetes opleveren. Een voorbeeld hiervan is een lek door de gemeente Utrecht, welke ook het maximum boete bedrag al heeft gereserveerd, een bedrag waar menig organisatie door failliet kan gaan. Zie ook: https://autoriteitpersoonsgegevens.nl/nl/melden/meldplicht-datalekken

 

2016 | Nieuwe website

De nieuwe website is gemaakt op basis van ‘Material Design’. Lettertypes, vormgeving van onderdelen, knoppen, kleuren en dergelijk zijn onderzocht door google welke nu het meest effectief blijken. Vertrouwde elementen blijken bezoekers langer op de site te houden en sneller tot interactie uit te nodigen. Indien u ook een website op basis van Material Design wilt kunt u uiteraard altijd contact met ons opnemen.

 

ICT XS op het congres ICT 2017

2017-08-01T12:18:40+00:00 september 19th, 2016|

Om continu op de hoogte te blijven volg ik regelmatig seminars, beurzen, congressen en producttrainingen. Zo ook het congres ICT 2017.

Het congres ICT 2017 wat plaats vond op 8 september 2016 had diverse zeer interessante sprekers. Onderaan deze post hebben we een overzicht geplaatst van alle sprekers op het podium.

Ook waren er diverse leveranciers die het congres hebben gesponsord. Uiteraard hebben we met onze huidige leveranciers weer even bijgepraat. Ook zijn we met diverse mogelijke nieuwe leveranciers in contact gekomen. Dus mogelijk zullen we enkele nieuwe producten aan gaan bieden in de toekomst. Hier zullen we uiteraard over communiceren via de gebruikelijke kanalen zoals onze website, LinkedIn en Google+.

Enkele foto’s om een indruk te geven van de sfeer en een overzicht van de sprekers.

Podium ICT 2017

Hier werden de toespraken gegeven.

Lounge ICT 2017

Rechts sta ik zelf op de foto in gesprek met een medewerker van onze leverancier.

Saxofoniste op ICT 2017

ICT 2017 was heel netjes georganiseerd

ICT 2017 contacten en catering

Hier werden er contacten gelegd en lekker gegeten en gedronken.

 

 

 

 

 

 

 

Congres ICT 2017

Snelle ontwikkelingen in de ICT-wereld zijn van grote betekenis voor uw bedrijf. Zij zorgen er voor dat u nu en in de toekomst succesvol blijft als ondernemer. Nieuwe ontwikkelingen bieden u de mogelijkheid om uw markt te vergroten. ICTWaarborg speelde daar op in met het congres ICT2017 dat donderdag 8 september plaatsvond. Dit congres was dé gelegenheid om kennis over de nieuwe ontwikkelingen op te doen. Wat zijn uw kansen, hoe moet u hierop inspelen en hoe kunt u new business creëren? Met de vele bezoekers die het ICT2017 congres trok had u tevens de kans uw netwerk te vergroten.

DE SPREKERS VAN ICT2017 WAREN:

  • Astrid Joosten
    Astrid Joosten
    dagvoorzitter
  • Coen Bresser
    Coen Bresser
    consultant TNO
  • Pieter van Wijk
    Pieter van Wijk
    trainer Dutch IT Academy
  • Kim Liebregts
    Kim Liebregts
    country director Tesla
  • Kors Monster
    Kors Monster
    adviseur ICTRecht
  • Peter Vos
    Peter Vos
    consultant Conceptsales
  • Antoon van Luxemburg
    Antoon van Luxemburg
    auteur CIO 3.0