Category: Naleving van Regelgeving en de AVG

Data Protection Day 2023

Wat is Data Protection Day ofwel Dag van de Gegevensbescherming?

Data Protection Day wordt jaarlijks op 28 januari gevierd om het bewustzijn te vergroten en de bescherming van persoonsgegevens te bevorderen. Deze dag werd voor het eerst gevierd in 2007 en staat ook bekend als Data Privacy Day of Data Protection Awareness Day. Data Protection Day is een gelegenheid om het belang van de bescherming van persoonsgegevens te erkennen en stappen te ondernemen om ervoor te zorgen dat persoonsgegevens op een veilige en rechtmatige manier worden verzameld, verwerkt en opgeslagen. Deze dag dient ook om mensen voor te lichten over hun rechten als het gaat om de bescherming van hun gegevens en hoe deze te beschermen tegen misbruik.

Hoe kunt u Data Protection Day vieren?

Bedrijven en personen kunnen de tijd nemen om hun beleid en procedures inzake gegevensbescherming onder de loep te nemen en ervoor te zorgen dat zij alle nodige maatregelen nemen om persoonsgegevens te beschermen. Dit houdt in dat alle gegevens veilig worden opgeslagen, dat de toegang tot gegevens wordt beperkt tot personen met een legitieme reden en dat gegevens alleen worden gebruikt voor het rechtmatige doel waarvoor ze bestemd zijn. Bedrijven dienen ook de tijd te nemen om hun werknemers voor te lichten over gegevensbescherming en ervoor te zorgen dat zij alle noodzakelijke maatregelen volgen. 

Wat zijn de beginselen inzake gegevensbescherming?

In de Algemene Verordening Gegevensbescherming (AVG) zijn belangrijke beginselen vastgelegd die de kern vormen van gegevensbescherming. Deze grondbeginselen beïnvloeden direct en indirect andere regels en verplichtingen die in de wetgeving zijn opgenomen. Daarom is naleving van deze grondbeginselen van gegevensbescherming de eerste stap voor gegevensverwerkers om ervoor te zorgen dat zij hun verplichtingen uit hoofde van de AVG nakomen. Hieronder volgt een kort overzicht van de gegevensbeschermingsbeginselen in artikel 5 AVG:

1. Rechtmatigheid, behoorlijkheid & transparantie: Persoonsgegevens dienen rechtmatig, eerlijk en op transparante wijze te worden verwerkt. Dit betekent dat aan personen duidelijke en begrijpelijke informatie moet worden verstrekt over de manier waarop hun gegevens worden gebruikt.

2. Doelbinding: Persoonsgegevens dienen voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verzameld en mogen vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden.

3. Minimale gegevensverwerking: Persoonsgegevens dienen beperkt te blijven tot wat noodzakelijk is voor het beoogde doel.

4. Juistheid: Persoonsgegevens dienen accuraat en up-to-date te blijven. 

5. Opslagbeperking: Persoonsgegevens mogen niet langer bewaard worden dan nodig is voor het doel waarvoor ze verzameld zijn.

6. Integriteit en vertrouwelijkheid: Persoonsgegevens dienen beschermd te worden om de veiligheid en de vertrouwelijkheid ervan te waarborgen

7. Zelfverantwoordingsplicht: Degenen die verantwoordelijk zijn voor het verzamelen en verwerken van persoons- gegevens dienen te kunnen aantonen dat zij de beginselen inzake gegevensbescherming naleven.

Welke rol speelt gegevensbescherming binnen informatiemanagement?

Gegevensbescherming is een essentieel onderdeel van informatiemanagement, omdat het ertoe bijdraagt dat gegevens goed worden beveiligd, privé worden gehouden en op verantwoorde wijze worden gebruikt. Gegevensbescherming zorgt ervoor dat persoonlijke informatie veilig en privé wordt bewaard en niet ongepast wordt ingezien, gebruikt of bekendgemaakt. Het helpt er ook voor te zorgen dat gegevens accuraat en up-to-date blijven en alleen worden gebruikt voor het beoogde doel. Gegevensbescherming is ook belangrijk voor bedrijven om te voldoen aan relevante wet- en regelgeving.

Als u vragen hebt, aarzel dan niet om contact met ons op te nemen via info@oasisgroup.com of klik hier voor meer informatie over OASIS Compliance.

Een nieuwjaarsvoornemen of evolutie?

Een nieuw jaar, een nieuwe jij?

Hoe vaak hebt u niet besloten dat de eerste dag van januari het moment is om op dieet te gaan, een trainingsschema op te stellen, iets op te geven waarvan u geniet omdat het “slecht” voor u is of een grote verandering in uw leven door te voeren? 

En nog belangrijker, hoe vaak heeft u zich eraan gehouden en uw doelen bereikt? Een nieuw jaar, een nieuwe jij! Klinkt dat bekend?

Maar waarom moet 1 januari anders zijn dan de dag, de maand of het jaar ervoor? Als er iets moet veranderen of verbeteren, wacht dan niet tot die willekeurige datum in de agenda maar stel uzelf realistische en haalbare doelen en ga er meteen mee aan de slag! 

Wat is er voor nodig om de goede voornemens voor het nieuwe jaar na te leven?

Hier is het geheim, door er in de eerste plaats geen te maken!

Bij OASIS Group zit informatiebeveiliging en gegevensbescherming in ons DNA. De datum op de kalender is totaal irrelevant. Het is verankerd in onze strategieën, doelstellingen, plannen, beleidslijnen en procedures en deze worden voortdurend herzien. Wij hebben geen nieuwjaarsvoornemen nodig om ervoor te zorgen dat de gegevens die wij beheren, beschermd en beveiligd zijn en voldoen aan de wetgeving inzake gegevensbescherming en andere relevante regelgeving. 

Wij erkennen dat risico’s en bedreigingen voor gegevensbescherming nooit echt kunnen worden vermeden en wij weten ook dat de regelgeving, de wetgeving, de technologie en de eisen van de klant voortdurend veranderen. Het geheim is dit te erkennen en regelmatig risicobeoordelingen en horizonscans uit te voeren om u te helpen u voor te bereiden op die risico’s, bedreigingen en veranderingen, voor zover dat mogelijk is. Natuurlijk heeft niemand een kristallen bol, en het onverwachte zal soms gebeuren. Waar het op aankomt, is dat u klaar staat en in staat bent om zich snel aan te passen aan eventuele veranderingen en mee te evolueren. 

Evoluties, geen resoluties 

Hier zijn een paar dingen die u kunt doen om uw “gegevensbescherming evolutie” op gang te brengen:

1.            Ken uw gegevens

  • Hebt u een register van verwerkingsactiviteiten?  “Natuurlijk heb ik dat, dat is de wet!” Ok, maar wanneer hebt u het voor het laatst herzien en bijgewerkt? Hebt u eraan gedacht om dat nieuwe systeem dat u net hebt aangeschaft en alle persoonsgegevens die daarmee worden verzameld, erin op te nemen? Of hoe zit het met dat proces dat u net hebt veranderd?
  • Als u niet weet welke gegevens u hebt, waar ze zijn opgeslagen en wie er toegang toe heeft, hoe kunt u er dan er zeker van zijn dat ze volledig veilig en beschermd zijn? Als er een datalek is, hoe weet u dan dat u het volledig hebt ingeperkt en dat u alle gecompromitteerde gegevens hebt geregistreerd?

2.            Maak doelstellingen inzake gegevensbescherming klein en zorg ervoor dat ze haalbaar en duidelijk zijn.

  • Houd de rechten en vrijheden van de betrokkenen voor ogen bij het vaststellen van uw doelstellingen.
  • Hebt u gecontroleerd of uw doelstellingen zijn afgestemd op het beperken van uw grootste risico’s en bedreigingen op het gebied van persoonlijke en vertrouwelijke informatie?

3.            Zorg ervoor dat u de juiste hulpmiddelen in huis hebt

  • Beschikt u over de nodige tools en middelen om uw persoonsgegevens te beheren?
  • Creëren handmatige processen dubbel werk of zijn ze foutgevoelig?
  • Hier bij OASIS hebben we bekroonde oplossingen om u te helpen aan de wetgeving inzake gegevensbescherming te voldoen, uw gegevens veilig te bewaren, bewaartermijnen te beheren en uw gegevens veilig te wissen en te vernietigen. Spreek met één van onze Account Managers of bezoek onze website voor meer details.  

4.            Gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen

  • Is gegevensbescherming verankerd in nieuwe projecten, producten, processen? Zijn alle belanghebbenden erbij betrokken?
  • Voert u gegevensbeschermingseffectbeoordelingen (DPIA’s) uit en overweegt u de behoeften van de betrokkenen voordat u een nieuw project start?

5.            Uit het oog, maar niet uit het hart

  • Herzie regelmatig het beleid en de procedures inzake informatiebeveiliging en apparatuur voor thuiswerkers. Zorg ervoor dat zij hierin worden getraind en dat alle apparaten de laatste beveiligingsupdates krijgen.
  • Controleer of uw thuiswerkers vertrouwelijk materiaal veilig kunnen vernietigen. Hier bij OASIS kunnen we deur tot deur diensten aanbieden voor het versnipperen en vernietigen van vertrouwelijk papier en media.

6.            Wees voorbereid op incidenten

  • Hebt u incident response en cyber response plannen opgesteld en up-to-date gehouden? 
  • Beschikt u over voldoende middelen om een incident aan te pakken en beschikt u over een toegewijd incident response team?
  • Wanneer hebt u ze voor het laatst gecontroleerd?

7.            Gegevensbewaring

  • Beschikt u over een beleid voor het bewaren van gegevens dat in de hele organisatie wordt gecommuniceerd?
  • Controleert u of gegevens worden verwijderd wanneer de bewaartermijn is verstreken?

8.            Opleiding en bewustwording

  • Krijgen uw teammembers regelmatig training over alle relevante beleidslijnen en procedures inzake gegevensbescherming en informatiebeveiliging?
  • Legt u dit vast en controleert u of zij dit begrijpen?

9.            Covid-19 gegevens 

  • Vermijd het verzamelen en registreren van deze gegevens.
  • Als dat niet mogelijk is, verzamel en registreer dan alleen gegevens die absoluut noodzakelijk zijn en waarvoor u een specifiek, rechtmatig doel hebt.
  • Geef alleen personen toegang tot deze gegevens wanneer dat absoluut noodzakelijk is en zorg ervoor dat de bewaartermijnen strikt worden nageleefd.
  • Controleer of uw privacyverklaringen actueel zijn en voor alle betrokkenen toegankelijk.

Hoewel het vandaag in heel Europa Data Protection Day is, is het hier bij OASIS elke dag Data Protection Day! Voor ons is dit geen nieuwjaarsvoornemen dat misschien geen lang leven beschoren is of iets waar we eens per jaar naar kijken, maar eerder een evolutie waarbij we voortdurend evalueren, innoveren en aanpassen hoe we werken en persoonsgegevens beschermen om ervoor te zorgen dat ze veilig en conform blijven in een steeds veranderend wettelijk, regelgevend, politiek en technologisch landschap. 

Wat zijn uw ‘evoluties’ op het gebied van gegevensbescherming?

We horen graag van u.

Meer informatie: Autoriteit Persoonsgegevens

De AVG en veilig thuiswerken

Onze leef- en werkomgeving is enorm veranderd sinds de intreding van de AVG wetgeving, inmiddels al twee jaar geleden. Vooral nu de coronacrisis aanhoudt en we niet weten hoelang het duurt voordat we in de ‘normaalstand’ komen, als we daar ooit terugkeren. Het werk is voor velen plotseling volledig veranderd en er werken nu meer mensen vanuit thuis dan ooit tevoren*.

En dat brengt nieuwe uitdagingen met zich mee. Bedrijven zijn nu kwetsbaarder dan voorheen als we denken aan de beveiliging van persoonsgegevens. Deze gegevens bevatten gevoelige en vertrouwelijke informatie die vanwege het thuiswerken op meer plekken terechtkomen. Internetcriminelen maken gebruik van de huidige situatie om deze gevoelige gegevens te vergaren. Hierdoor is het noodzakelijk om informatiebeveiliging topprioriteit te geven.

Toegang geven tot data om thuiswerken mogelijk te maken, brengt een verhoogd risico op datalekken met zich mee. Daarnaast verlaten papieren documenten en digitale data ongemerkt het pand. Denk bijvoorbeeld aan een ordnermap die meegaat in de auto of een usb stick die niet versleuteld is met een wachtwoord.

Het is daarom goed te begrijpen dat veel bedrijven worstelen met de bescherming van gevoelige bedrijfsgegevens vanwege gebrek aan controle. Daarom is het belangrijk om vast te stellen welke risico’s om de hoek komen kijken met thuiswerken.    

Persoonlijke apparaten

Tijdens de invoer van de lockdown hadden veel organisaties niet de tijd of capaciteit om Teammembers te voorzien van apparaten die eigendom zijn van het bedrijf. Velen werken daarom met persoonlijke laptops en tablets.

Persoonlijke apparaten zijn vaak niet goed beveiligd en gegevens zijn vaak niet versleuteld opgeslagen. Vraag uzelf eens af:

  • Wie heeft toegang tot onze apparaten?
  • Is er bescherming tegen malware?
  • Wanneer is de laatste Windows-update uitgevoerd?
  • Wat zijn de niveaus van wachtwoordbeveiliging?
  • Worden gegevens versleuteld of gepseudonimiseerd voordat ze worden overgedragen?

Werkuren

Door op afstand in te kunnen loggen, is het makkelijker om buiten de reguliere werktijden te werken. Maar ook tijdens deze werkuren is ondersteuning nodig. Vraag uzelf eens af:

  • Is er een datalekkenprocedure waardoor er snel wordt gehandeld bij een datalek?
  • Hoe wordt uw organisatie op de hoogte gesteld van een datalek dat plaatsvindt om 23.00 uur of om 02.00 uur ‘s nachts?
  • Hoe sluit u een computernetwerk af met zoveel thuiswerkers?

Gegevensbeschermingsbeleid en training

Het is aan te raden om te achterhalen of het gegevensbeschermingsbeleid aangepast dient te worden aan de nieuwe werkomstandigheden. Vraag uzelf eens af:

  • Hoe geeft u wijzigingen door aan Teammembers en krijgt iedere Teammember training met betrekking tot nieuwe wijzigingen in het gegevensbeschermingsbeleid?
  • Is uw thuiswerkbeleid in overeenstemming met uw gegevensbeschermingsbeleid?
  • Investeert u in AVG-training?
  • Investeert u in IT-beveiligingstraining?

Graag komen we met u in contact en geven we u advies over de AVG en veilig thuiswerken.

Bron*:
https://www.arbo-online.nl/gezond-werken/nieuws/2018/04/steeds-meer-mensen-gaan-thuiswerken-10116402?_ga=2.188108333.402262157.1591083495-2059160128.1591083495
https://www.cbs.nl/nl-nl/nieuws/2020/15/bijna-4-op-de-10-werkenden-werkten-vorig-jaar-thuis
https://nos.nl/collectie/13824/artikel/2331051-coronacrisis-verandert-reisgedrag-mogelijk-blijvend

De Ultieme Rampherstel Checklist

Als het gaat om gegevensback-up voor noodherstel, dan is voorbereiding van het grootste belang. Uw organisatie voorbereiden voordat een ramp toeslaat, is essentieel om de bedrijfscontinuïteit te handhaven en de uitvaltijd te beperken.

Met de Checklist Rampherstel van OASIS die gemakkelijk te volgen is, kan uw organisatie zich voorbereiden op onvoorziene gebeurtenissen.

Stap 1: Voer een Audit uit van uw bestaande Back-up Oplossing(en) en Herstelplan

Breng in kaart wat u momenteel al heeft geregeld. Wanneer u uw bestaande bedrijfscontinuïteitsoplossing analyseert, overweeg dan:

  • Of u beschikt over een oplossing voor noodherstel.
  • Hoe vaak het noodherstelproces is getest.
  • Hoeveel uitvaltijd de huidige back-up oplossing heeft.
  • Welke gegevens en de omvang ervan risico lopen.
  • Welke financiële kosten brengt uitvaltijd met zich mee voor uw bedrijf?

Stap 2: Stresstest

Identificeer potentiële gevaren en de meest voor de hand liggende bronnen van gegevensverlies/inbreuk of een storing. Zullen de bedreigingen beperkt blijven tot één systeem, of is de kans groot dat meerdere systemen worden getroffen? Door uw risico’s te kennen, kunt u de belangrijkste systemen en de kwetsbaarheden in de onderliggende hardware en software evalueren.

Stap 3: Voer een Effectbeoordeling uit

Bepaal de waarschijnlijkheid van een ramp en de gevolgen hiervan voor uw organisatie door de meest onvoorziene incidenten of calamiteiten te identificeren. En documenteer de mogelijke financiële, operationele en reputatieschade die dergelijke gebeurtenissen met zich mee zullen brengen.

Stap 4: Stel hersteldoelstellingen vast

Identificeer bedrijfskritische systemen en geef prioriteit aan hersteltaken. Bepaal welke data hersteld dient te worden en vanaf welk herstelpunt de verloren data hersteld dient te worden. Bepaal daarnaast hoe lang het noodherstelproces mag duren – rekening houdend met de kosten van downtime voor uw organisatie. Met onze bedrijfscontinuïteitsservice kunt u uw gegevens binnen 6 seconden herstellen en onze service maakt het mogelijk om back-ups regelmatig (om elke 5 minuten) te laten plaatsvinden, waardoor het verlies van actuele data tot een minimum wordt beperkt).

Stap 5: Ontwikkel een actieplan voor noodherstel

Ontwikkel een noodherstelprocedure die aansluit bij uw einddoel – of dat nu bestandsherstel of virtualisatie is. Een standaardaanpak is niet altijd de oplossing, identificeer duidelijk bij welke incidenten een noodherstelplan zal worden gebruikt en onder welke omstandigheden herstelmaatregelen nodig zijn. Zorg ervoor dat elk plan resulteert in het hervatten van de diensten, met prioriteit voor de bedrijfseenheden of functies naar gelang van hun behoeften.

Stap 6: Ontwikkel een Incident Response Team

Dit team is verantwoordelijk voor de implementatie van een operationeel noodplan als het noodlot toeslaat. De bedrijfscontinuïteitsdienst van OASIS vermindert de noodzaak hiervoor door te voorzien in een extern bedrijfscontinuïteitsteam dat proactief uw back-ups en herstelplannen beheert vanaf een externe locatie, wanneer dat nodig is.

Stap 7: Stel een Incidentrapport op

Het incidentrapport dient de volgende zaken te vermelden:

  • Identificeren wat de storing heeft veroorzaakt, welke lopende problemen aangepakt dienen te worden, wat verbeterd kan worden in toekomstige noodherstelscenario’s en hoe de standaarden en protocollen zijn veranderd na de storing.
  • Controleer het herstel en verifieer de functionaliteit van de gebruikers zodra de back-up is voltooid (d.w.z. nagaan of alle gebruikers toegang hebben tot bronnen en applicaties).

Stap 8: Testen en Bijwerken

Uw bedrijfscontinuïteitsplan dient voortdurend getest en bijgewerkt te worden, waarbij eventuele tekortkomingen worden geïdentificeerd en de toekomstige uitvoerbaarheid wordt gewaarborgd. Met de bedrijfscontinuïteitsdienst van OASIS bent u hiervan verzekerd, via een jaarlijkse “proof of concept” oefening voor volledig herstel, compleet met rapportage na afloop van de calamiteit.