Category: Naleving van Regelgeving en de AVG

Business Continuity Awareness Week 2023 – Organisatorische veerkracht

De laatste blog van onze Business Continuity Awareness Week serie gaat over Organisatorische Veerkracht.

Duncan Kuipers Managing Director van BENE geeft een waardevol inzicht aangaande het belang van Organisatorische Veerkracht.

Vandaag vieren we “Organizational Resilience Day”, de Dag van de weerbaarheid van organisaties, en we zijn trots om te zeggen dat onze organisatie een voorbeeld is van deze eigenschap. Het is het gedrag van onze medewerkers dat de betrouwbaarheid van onze processen garandeert. Bij onze organisatie geven we prioriteit aan de prestaties van onze oplossingen, integreren we uitmuntende processen en ontwikkelen we voortdurend innovatieve oplossingen om de best mogelijke klantervaring te garanderen. Door consequent op deze elementen te presteren, bouwen we aan klantloyaliteit en vertrouwen op de lange termijn.

We begrijpen dat een veerkrachtige organisatie essentieel is voor zakelijk succes, vooral in deze uitdagende tijden. We streven ernaar de veerkracht van onze organisatie continu te verbeteren om ons aan te passen aan onvoorziene omstandigheden die zich kunnen voordoen. Daarom investeren we in de ontwikkeling van onze mensen processen en technologie om ervoor te zorgen dat we altijd klaar staan om alle uitdagingen aan te gaan die op ons pad komen.

In de huidige wereld, wordt van organisaties geëist dat zij gevoelige informatie beschermen. Een veerkrachtige organisatie moet deze informatie beheren, fysiek en digitaal, van de bron tot vernietiging. Dit vereist hoogwaardige informatiebeveiliging maar ook een optimale toegang, om deze informatie veilig en effectief te gebruiken. Er is operationele veerkracht nodig om continue verbeteringen te identificeren en zo ook op de lange termijn te kunnen voldoen aan de behoeften van onze klanten.

Duncan Kuipers, Managing Director BENE, OASIS Group

Wij hopen dat de updates van ons team u deze week goed bevallen zijn. Als u ze nog eens wilt lezen, klik dan op de betreffende thema’s hieronder:

Cyberweerbaarheid                                                                          

Weerbaarheid van de toeleveringsketen

Operationele weerbaarheid

Persoonlijke weerbaarheid

Om de Business Continuity Awareness Week van dit jaar af te sluiten hebben we een citaat van Nicola Simpson, Group Compliance and Audit Director van OASIS.

Het thema van dit jaar voor de Business Continuity Awareness Week is interessant: De uitdaging van veerkracht omarmen.

Maar is veerkracht echt een uitdaging?

Veerkracht is proactief zijn – de horizon van ons interne en externe landschap aftasten om bedreigingen te identificeren en risico’s te beoordelen die ons uit koers kunnen brengen en onze activiteiten en diensten kunnen verstoren. Als we weten met welke bedreigingen we te maken hebben, kunnen we bepalen waar onze kwetsbaarheden liggen, en het belangrijkste is dat we dan preventieve maatregelen kunnen nemen om onze verdediging op te bouwen en ons te beschermen tegen potentiële verstoringen en incidenten. Op die manier worden we wendbaarder, flexibeler en voorbereid om op incidenten en het onverwachte te reageren.

Bij bedrijfscontinuïteit gaat het daarentegen om reactiviteit – nadat zich een verstoring of incident heeft voorgedaan, nemen wij maatregelen om onze kritieke activiteiten en diensten voort te zetten in overeenstemming met onze bedrijfscontinuïteitsplannen, totdat de normale dienstverlening wordt hervat.

Veerkracht draait dus echt om het inbouwen van flexibele oplossingen en verdedigingsmechanismen in onze dagelijkse activiteiten die ons in staat stellen onze mensen, infrastructuur, activiteiten en diensten te beschermen. Als zich een verstoring voordoet, kunnen we deze oplossingen onmiddellijk implementeren en (zoveel mogelijk) voorkomen dat een verstoring een crisis wordt. Hierdoor kunnen we uiteindelijk de gevolgen voor onze klanten, teamleden en ons bedrijf tot een minimum beperken. Hoe veerkrachtiger en beter voorbereid we zijn, hoe minder uitdagingen we zullen tegenkomen. Dus laten we veerkracht omarmen in plaats van de (vermeende) uitdaging!

Nicola Simpson, Group Compliance and Audit Director, OASIS Group

Voor meer informatie kunt u een e-mail sturen naar info@oasisgroup.com. U kunt ook onze Compliance webpagina bezoeken voor meer informatie over de normen die wij hanteren door hier te klikken.

Business Continuity Awareness Week 2023 – Cyberweerbaarheid

Maandag 15 mei 2023 is de eerste dag van de Business Continuity Awareness Week van dit jaar.

Dit jaar is het thema ‘Aan de slag met weerbaarheid’. Elke dag vertellen belangrijke teamleden van OASIS Group over verschillende elementen van weerbaarheid.

  • 15 mei: Cyberweerbaarheid
  • 16 mei: Weerbaarheid van de toeleveringsketen
  • 17 mei: Operationele weerbaarheid
  • 18 mei: Persoonlijke weerbaarheid
  • 19 mei: Organisatorische weerbaarheid

Vandaag geeft Iain Tuffill – IT Information Security Officer van OASIS Group – inzicht in wat cyberweerbaarheid betekent voor OASIS Group en hoe wij ervoor zorgen dat alle gegevens en informatie te allen tijde beveiligd zijn.

Cyberweerbaarheid verwijst naar ons vermogen om onszelf te beschermen tegen het steeds toenemende aantal digitale bedreigingen die ons kunnen treffen. Het gaat dan onder meer om de mogelijkheid om cyberaanvallen op te sporen, erop te reageren en, als ze toch plaatsvinden, hoe we er weer bovenop komen en ervan kunnen leren voor de toekomst.

Er zijn vier belangrijke onderdelen waar we cyberweerbaarheid binnen OASIS kunnen invoeren en vergroten. Dit zijn Beveiliging, Opsporing, Reactie en Herstel.

Beveiliging

Binnen OASIS nemen we cyberweerbaarheid serieus, niet alleen om de gegevens van onze klanten te beschermen, maar ook die van onszelf. Daarom zoeken wij voortdurend naar nieuwe manieren om onze beveiligingsnormen uit te breiden, de huidige standaardpraktijken in de sector te verbeteren en onze wettelijke en regelgevende vereisten aan te scherpen. Dankzij deze voortdurende inspanningen heeft OASIS de ISO27001-certificering, Cyber Essentials Plus en onze voortdurende PCI-DSS-naleving kunnen behouden.

Opsporing

OASIS zoekt voortdurend naar nieuwe manieren om nieuwe en aankomende bedreigingen voor ons netwerk en onze diensten te bewaken en op te sporen. We beschikken over systemen en waarschuwingen waarmee we teamleden op de hoogte brengen zodra we schadelijk verkeer signaleren en om dat verkeer blokkeren om te voorkomen dat het ons netwerk binnenkomt en toegang krijgt tot onze diensten. Door teamleden op de hoogte te stellen, kunnen we deze gebeurtenissen onderzoeken en een beeld vormen van wat er gebeurt, zodat we potentiële cyberaanvallen vroegtijdig kunnen opsporen.

Reactie

Met behulp van de bestaande systemen en waarschuwingen kunnen de OASIS-teamleden reageren door de schadelijke IP-adressen permanent de toegang tot OASIS-diensten te ontzeggen of door de waarschuwingssystemen bij te werken.

Indien een waarschuwing echter intern moet worden geëscaleerd, worden het incident en alle op dat moment bekende informatie doorgezet naar het ‘crisismanagementteam’ van OASIS. Zij beoordelen het incident en bekijken de beschikbare informatie. Daarna volgen zij het incidentendraaiboek van OASIS totdat het incident is opgelost.

Herstel

Nadat een cyberaanval is opgelost, moeten we de geleerde lessen registreren en ze gebruiken als basis voor de verdere ontwikkeling van de beveiliging, ons beleid en onze opleiding.

Het incidentendraaiboek van OASIS zorgt voor een tijdig herstel van onze interne systemen en klantgerichte diensten. Dit draaiboek vereist ook dat de geleerde lessen worden geëvalueerd en toegepast als onderdeel van het herstel, om onze cyberweerbaarheid verder te vergroten.  

Iain Tuffill, IT Information Security Officer van OASIS Group

Stuur voor meer informatie een e-mail naar info@oasisgroup.com. Of klik hier voor meer informatie over de normen die wij hanteren op onze Compliance-webpagina.

Kan AI met gespreksfuncties aan de regelgeving blijven voldoen?

Gaat #ChatGPT − of een andere opkomende AI-tool − een revolutie veroorzaken in onze industrieën en banen en hoe dan? De tijd zal het leren. Wat we wel weten, is dat we voor een opkomende technologie staan die een veelomvattend effect op ons leven zal hebben. Kunnen we echt vertrouwen op deze AI-tools en voldoen ze aan de voorschriften?

Soms ontwikkelt een technologische innovatie zich schijnbaar van de ene dag op de andere, gaat viraal en iedereen praat erover. Maar de snelheid waarmee ChatGPT van onbekend naar hype is gegaan, is van een ongekende orde.

OpenAI lanceerde in november 2022 ChatGPT, een gratis chatbot met kunstmatige intelligentie die bijzonder menselijke communicatievaardigheden heeft. Binnen enkele weken leverde een Google-zoekopdracht naar de term “ChatGPT” bijna 280 miljoen resultaten op die de mogelijkheid lieten zien van de bot om artikelen of blogs te schrijven, een toets af te leggen of zelfs websites te coderen. Maar niet alleen op Google gaat het over de tool: sociale media worden overspoeld met posts waarin wordt betoogd waarom ChatGPT wel of niet de krachtigste tool ter wereld is.

We zijn hier echter niet om te bakkeleien over het potentieel van de tool als contentgenerator, maar om te bespreken of AI-tools voldoen aan de regelgeving. Als aanbieders van informatiebeheer geloven wij in modellen voor kunstmatige intelligentie en nieuwe technologieën. Als wij ervoor kiezen om die tools te gebruiken, moeten we er ook voor zorgen dat zij gereglementeerd zijn en aan de voorschriften voldoen voordat we ze gebruiken.

Het is belangrijk dat wordt voorkomen dat AI-tools onjuiste gegevens openbaar maken. Ook moeten ze de privacy van de gebruikers waarborgen. Voordat we een AI-tool gaan gebruiken, is het van belang om na te gaan of er beleid is met het recht op rectificatie wanneer een gebruiker onjuiste gegevens ontdekt. Dit is een vereiste volgens de Algemene Verordening Gegevensbescherming (AVG) van de EU en andere wetten inzake gegevensbescherming.

Nu AI-tools overal ter wereld worden gebruikt, is meer transparantie nodig over wat er met de persoonsgegevens van gebruikers wordt gedaan. Ook moet worden nagegaan of de gegevens niet met derden worden gedeeld.

Het is momenteel niet duidelijk of ChatGPT of andere opkomende AI-tools voldoen aan de AVG. Als deze tools op grote schaal gaan worden gebruikt, moet er wetgeving zijn inzake het gebruik van AI-modellen waarmee de rechten van individuen op het gebied van gegevensbescherming worden beschermd.  In de tussentijd moet worden nagegaan hoe ze zijn ontworpen en worden gebruikt, en of er gegevens van personen die zich in de EU bevinden mee worden verzameld, verwerkt of opgeslagen.

Als u meer wilt weten over hoe OASIS AI en procesautomatisering gebruikt met inachtneming van de regelgeving, neem dan vandaag nog contact met ons op.

Data Protection Day 2023

Wat is Data Protection Day ofwel Dag van de Gegevensbescherming?

Data Protection Day wordt jaarlijks op 28 januari gevierd om het bewustzijn te vergroten en de bescherming van persoonsgegevens te bevorderen. Deze dag werd voor het eerst gevierd in 2007 en staat ook bekend als Data Privacy Day of Data Protection Awareness Day. Data Protection Day is een gelegenheid om het belang van de bescherming van persoonsgegevens te erkennen en stappen te ondernemen om ervoor te zorgen dat persoonsgegevens op een veilige en rechtmatige manier worden verzameld, verwerkt en opgeslagen. Deze dag dient ook om mensen voor te lichten over hun rechten als het gaat om de bescherming van hun gegevens en hoe deze te beschermen tegen misbruik.

Hoe kunt u Data Protection Day vieren?

Bedrijven en personen kunnen de tijd nemen om hun beleid en procedures inzake gegevensbescherming onder de loep te nemen en ervoor te zorgen dat zij alle nodige maatregelen nemen om persoonsgegevens te beschermen. Dit houdt in dat alle gegevens veilig worden opgeslagen, dat de toegang tot gegevens wordt beperkt tot personen met een legitieme reden en dat gegevens alleen worden gebruikt voor het rechtmatige doel waarvoor ze bestemd zijn. Bedrijven dienen ook de tijd te nemen om hun werknemers voor te lichten over gegevensbescherming en ervoor te zorgen dat zij alle noodzakelijke maatregelen volgen. 

Wat zijn de beginselen inzake gegevensbescherming?

In de Algemene Verordening Gegevensbescherming (AVG) zijn belangrijke beginselen vastgelegd die de kern vormen van gegevensbescherming. Deze grondbeginselen beïnvloeden direct en indirect andere regels en verplichtingen die in de wetgeving zijn opgenomen. Daarom is naleving van deze grondbeginselen van gegevensbescherming de eerste stap voor gegevensverwerkers om ervoor te zorgen dat zij hun verplichtingen uit hoofde van de AVG nakomen. Hieronder volgt een kort overzicht van de gegevensbeschermingsbeginselen in artikel 5 AVG:

1. Rechtmatigheid, behoorlijkheid & transparantie: Persoonsgegevens dienen rechtmatig, eerlijk en op transparante wijze te worden verwerkt. Dit betekent dat aan personen duidelijke en begrijpelijke informatie moet worden verstrekt over de manier waarop hun gegevens worden gebruikt.

2. Doelbinding: Persoonsgegevens dienen voor specifieke, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verzameld en mogen vervolgens niet worden verwerkt op een wijze die onverenigbaar is met die doeleinden.

3. Minimale gegevensverwerking: Persoonsgegevens dienen beperkt te blijven tot wat noodzakelijk is voor het beoogde doel.

4. Juistheid: Persoonsgegevens dienen accuraat en up-to-date te blijven. 

5. Opslagbeperking: Persoonsgegevens mogen niet langer bewaard worden dan nodig is voor het doel waarvoor ze verzameld zijn.

6. Integriteit en vertrouwelijkheid: Persoonsgegevens dienen beschermd te worden om de veiligheid en de vertrouwelijkheid ervan te waarborgen

7. Zelfverantwoordingsplicht: Degenen die verantwoordelijk zijn voor het verzamelen en verwerken van persoons- gegevens dienen te kunnen aantonen dat zij de beginselen inzake gegevensbescherming naleven.

Welke rol speelt gegevensbescherming binnen informatiemanagement?

Gegevensbescherming is een essentieel onderdeel van informatiemanagement, omdat het ertoe bijdraagt dat gegevens goed worden beveiligd, privé worden gehouden en op verantwoorde wijze worden gebruikt. Gegevensbescherming zorgt ervoor dat persoonlijke informatie veilig en privé wordt bewaard en niet ongepast wordt ingezien, gebruikt of bekendgemaakt. Het helpt er ook voor te zorgen dat gegevens accuraat en up-to-date blijven en alleen worden gebruikt voor het beoogde doel. Gegevensbescherming is ook belangrijk voor bedrijven om te voldoen aan relevante wet- en regelgeving.

Als u vragen hebt, aarzel dan niet om contact met ons op te nemen via info@oasisgroup.com of klik hier voor meer informatie over OASIS Compliance.

Een nieuwjaarsvoornemen of evolutie?

Een nieuw jaar, een nieuwe jij?

Hoe vaak hebt u niet besloten dat de eerste dag van januari het moment is om op dieet te gaan, een trainingsschema op te stellen, iets op te geven waarvan u geniet omdat het “slecht” voor u is of een grote verandering in uw leven door te voeren? 

En nog belangrijker, hoe vaak heeft u zich eraan gehouden en uw doelen bereikt? Een nieuw jaar, een nieuwe jij! Klinkt dat bekend?

Maar waarom moet 1 januari anders zijn dan de dag, de maand of het jaar ervoor? Als er iets moet veranderen of verbeteren, wacht dan niet tot die willekeurige datum in de agenda maar stel uzelf realistische en haalbare doelen en ga er meteen mee aan de slag! 

Wat is er voor nodig om de goede voornemens voor het nieuwe jaar na te leven?

Hier is het geheim, door er in de eerste plaats geen te maken!

Bij OASIS Group zit informatiebeveiliging en gegevensbescherming in ons DNA. De datum op de kalender is totaal irrelevant. Het is verankerd in onze strategieën, doelstellingen, plannen, beleidslijnen en procedures en deze worden voortdurend herzien. Wij hebben geen nieuwjaarsvoornemen nodig om ervoor te zorgen dat de gegevens die wij beheren, beschermd en beveiligd zijn en voldoen aan de wetgeving inzake gegevensbescherming en andere relevante regelgeving. 

Wij erkennen dat risico’s en bedreigingen voor gegevensbescherming nooit echt kunnen worden vermeden en wij weten ook dat de regelgeving, de wetgeving, de technologie en de eisen van de klant voortdurend veranderen. Het geheim is dit te erkennen en regelmatig risicobeoordelingen en horizonscans uit te voeren om u te helpen u voor te bereiden op die risico’s, bedreigingen en veranderingen, voor zover dat mogelijk is. Natuurlijk heeft niemand een kristallen bol, en het onverwachte zal soms gebeuren. Waar het op aankomt, is dat u klaar staat en in staat bent om zich snel aan te passen aan eventuele veranderingen en mee te evolueren. 

Evoluties, geen resoluties 

Hier zijn een paar dingen die u kunt doen om uw “gegevensbescherming evolutie” op gang te brengen:

1.            Ken uw gegevens

  • Hebt u een register van verwerkingsactiviteiten?  “Natuurlijk heb ik dat, dat is de wet!” Ok, maar wanneer hebt u het voor het laatst herzien en bijgewerkt? Hebt u eraan gedacht om dat nieuwe systeem dat u net hebt aangeschaft en alle persoonsgegevens die daarmee worden verzameld, erin op te nemen? Of hoe zit het met dat proces dat u net hebt veranderd?
  • Als u niet weet welke gegevens u hebt, waar ze zijn opgeslagen en wie er toegang toe heeft, hoe kunt u er dan er zeker van zijn dat ze volledig veilig en beschermd zijn? Als er een datalek is, hoe weet u dan dat u het volledig hebt ingeperkt en dat u alle gecompromitteerde gegevens hebt geregistreerd?

2.            Maak doelstellingen inzake gegevensbescherming klein en zorg ervoor dat ze haalbaar en duidelijk zijn.

  • Houd de rechten en vrijheden van de betrokkenen voor ogen bij het vaststellen van uw doelstellingen.
  • Hebt u gecontroleerd of uw doelstellingen zijn afgestemd op het beperken van uw grootste risico’s en bedreigingen op het gebied van persoonlijke en vertrouwelijke informatie?

3.            Zorg ervoor dat u de juiste hulpmiddelen in huis hebt

  • Beschikt u over de nodige tools en middelen om uw persoonsgegevens te beheren?
  • Creëren handmatige processen dubbel werk of zijn ze foutgevoelig?
  • Hier bij OASIS hebben we bekroonde oplossingen om u te helpen aan de wetgeving inzake gegevensbescherming te voldoen, uw gegevens veilig te bewaren, bewaartermijnen te beheren en uw gegevens veilig te wissen en te vernietigen. Spreek met één van onze Account Managers of bezoek onze website voor meer details.  

4.            Gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen

  • Is gegevensbescherming verankerd in nieuwe projecten, producten, processen? Zijn alle belanghebbenden erbij betrokken?
  • Voert u gegevensbeschermingseffectbeoordelingen (DPIA’s) uit en overweegt u de behoeften van de betrokkenen voordat u een nieuw project start?

5.            Uit het oog, maar niet uit het hart

  • Herzie regelmatig het beleid en de procedures inzake informatiebeveiliging en apparatuur voor thuiswerkers. Zorg ervoor dat zij hierin worden getraind en dat alle apparaten de laatste beveiligingsupdates krijgen.
  • Controleer of uw thuiswerkers vertrouwelijk materiaal veilig kunnen vernietigen. Hier bij OASIS kunnen we deur tot deur diensten aanbieden voor het versnipperen en vernietigen van vertrouwelijk papier en media.

6.            Wees voorbereid op incidenten

  • Hebt u incident response en cyber response plannen opgesteld en up-to-date gehouden? 
  • Beschikt u over voldoende middelen om een incident aan te pakken en beschikt u over een toegewijd incident response team?
  • Wanneer hebt u ze voor het laatst gecontroleerd?

7.            Gegevensbewaring

  • Beschikt u over een beleid voor het bewaren van gegevens dat in de hele organisatie wordt gecommuniceerd?
  • Controleert u of gegevens worden verwijderd wanneer de bewaartermijn is verstreken?

8.            Opleiding en bewustwording

  • Krijgen uw teammembers regelmatig training over alle relevante beleidslijnen en procedures inzake gegevensbescherming en informatiebeveiliging?
  • Legt u dit vast en controleert u of zij dit begrijpen?

9.            Covid-19 gegevens 

  • Vermijd het verzamelen en registreren van deze gegevens.
  • Als dat niet mogelijk is, verzamel en registreer dan alleen gegevens die absoluut noodzakelijk zijn en waarvoor u een specifiek, rechtmatig doel hebt.
  • Geef alleen personen toegang tot deze gegevens wanneer dat absoluut noodzakelijk is en zorg ervoor dat de bewaartermijnen strikt worden nageleefd.
  • Controleer of uw privacyverklaringen actueel zijn en voor alle betrokkenen toegankelijk.

Hoewel het vandaag in heel Europa Data Protection Day is, is het hier bij OASIS elke dag Data Protection Day! Voor ons is dit geen nieuwjaarsvoornemen dat misschien geen lang leven beschoren is of iets waar we eens per jaar naar kijken, maar eerder een evolutie waarbij we voortdurend evalueren, innoveren en aanpassen hoe we werken en persoonsgegevens beschermen om ervoor te zorgen dat ze veilig en conform blijven in een steeds veranderend wettelijk, regelgevend, politiek en technologisch landschap. 

Wat zijn uw ‘evoluties’ op het gebied van gegevensbescherming?

We horen graag van u.

Meer informatie: Autoriteit Persoonsgegevens

De AVG en veilig thuiswerken

Onze leef- en werkomgeving is enorm veranderd sinds de intreding van de AVG wetgeving, inmiddels al twee jaar geleden. Vooral nu de coronacrisis aanhoudt en we niet weten hoelang het duurt voordat we in de ‘normaalstand’ komen, als we daar ooit terugkeren. Het werk is voor velen plotseling volledig veranderd en er werken nu meer mensen vanuit thuis dan ooit tevoren*.

En dat brengt nieuwe uitdagingen met zich mee. Bedrijven zijn nu kwetsbaarder dan voorheen als we denken aan de beveiliging van persoonsgegevens. Deze gegevens bevatten gevoelige en vertrouwelijke informatie die vanwege het thuiswerken op meer plekken terechtkomen. Internetcriminelen maken gebruik van de huidige situatie om deze gevoelige gegevens te vergaren. Hierdoor is het noodzakelijk om informatiebeveiliging topprioriteit te geven.

Toegang geven tot data om thuiswerken mogelijk te maken, brengt een verhoogd risico op datalekken met zich mee. Daarnaast verlaten papieren documenten en digitale data ongemerkt het pand. Denk bijvoorbeeld aan een ordnermap die meegaat in de auto of een usb stick die niet versleuteld is met een wachtwoord.

Het is daarom goed te begrijpen dat veel bedrijven worstelen met de bescherming van gevoelige bedrijfsgegevens vanwege gebrek aan controle. Daarom is het belangrijk om vast te stellen welke risico’s om de hoek komen kijken met thuiswerken.    

Persoonlijke apparaten

Tijdens de invoer van de lockdown hadden veel organisaties niet de tijd of capaciteit om Teammembers te voorzien van apparaten die eigendom zijn van het bedrijf. Velen werken daarom met persoonlijke laptops en tablets.

Persoonlijke apparaten zijn vaak niet goed beveiligd en gegevens zijn vaak niet versleuteld opgeslagen. Vraag uzelf eens af:

  • Wie heeft toegang tot onze apparaten?
  • Is er bescherming tegen malware?
  • Wanneer is de laatste Windows-update uitgevoerd?
  • Wat zijn de niveaus van wachtwoordbeveiliging?
  • Worden gegevens versleuteld of gepseudonimiseerd voordat ze worden overgedragen?

Werkuren

Door op afstand in te kunnen loggen, is het makkelijker om buiten de reguliere werktijden te werken. Maar ook tijdens deze werkuren is ondersteuning nodig. Vraag uzelf eens af:

  • Is er een datalekkenprocedure waardoor er snel wordt gehandeld bij een datalek?
  • Hoe wordt uw organisatie op de hoogte gesteld van een datalek dat plaatsvindt om 23.00 uur of om 02.00 uur ‘s nachts?
  • Hoe sluit u een computernetwerk af met zoveel thuiswerkers?

Gegevensbeschermingsbeleid en training

Het is aan te raden om te achterhalen of het gegevensbeschermingsbeleid aangepast dient te worden aan de nieuwe werkomstandigheden. Vraag uzelf eens af:

  • Hoe geeft u wijzigingen door aan Teammembers en krijgt iedere Teammember training met betrekking tot nieuwe wijzigingen in het gegevensbeschermingsbeleid?
  • Is uw thuiswerkbeleid in overeenstemming met uw gegevensbeschermingsbeleid?
  • Investeert u in AVG-training?
  • Investeert u in IT-beveiligingstraining?

Graag komen we met u in contact en geven we u advies over de AVG en veilig thuiswerken.

Bron*:
https://www.arbo-online.nl/gezond-werken/nieuws/2018/04/steeds-meer-mensen-gaan-thuiswerken-10116402?_ga=2.188108333.402262157.1591083495-2059160128.1591083495
https://www.cbs.nl/nl-nl/nieuws/2020/15/bijna-4-op-de-10-werkenden-werkten-vorig-jaar-thuis
https://nos.nl/collectie/13824/artikel/2331051-coronacrisis-verandert-reisgedrag-mogelijk-blijvend

De Ultieme Rampherstel Checklist

Als het gaat om gegevensback-up voor noodherstel, dan is voorbereiding van het grootste belang. Uw organisatie voorbereiden voordat een ramp toeslaat, is essentieel om de bedrijfscontinuïteit te handhaven en de uitvaltijd te beperken.

Met de Checklist Rampherstel van OASIS die gemakkelijk te volgen is, kan uw organisatie zich voorbereiden op onvoorziene gebeurtenissen.

Stap 1: Voer een Audit uit van uw bestaande Back-up Oplossing(en) en Herstelplan

Breng in kaart wat u momenteel al heeft geregeld. Wanneer u uw bestaande bedrijfscontinuïteitsoplossing analyseert, overweeg dan:

  • Of u beschikt over een oplossing voor noodherstel.
  • Hoe vaak het noodherstelproces is getest.
  • Hoeveel uitvaltijd de huidige back-up oplossing heeft.
  • Welke gegevens en de omvang ervan risico lopen.
  • Welke financiële kosten brengt uitvaltijd met zich mee voor uw bedrijf?

Stap 2: Stresstest

Identificeer potentiële gevaren en de meest voor de hand liggende bronnen van gegevensverlies/inbreuk of een storing. Zullen de bedreigingen beperkt blijven tot één systeem, of is de kans groot dat meerdere systemen worden getroffen? Door uw risico’s te kennen, kunt u de belangrijkste systemen en de kwetsbaarheden in de onderliggende hardware en software evalueren.

Stap 3: Voer een Effectbeoordeling uit

Bepaal de waarschijnlijkheid van een ramp en de gevolgen hiervan voor uw organisatie door de meest onvoorziene incidenten of calamiteiten te identificeren. En documenteer de mogelijke financiële, operationele en reputatieschade die dergelijke gebeurtenissen met zich mee zullen brengen.

Stap 4: Stel hersteldoelstellingen vast

Identificeer bedrijfskritische systemen en geef prioriteit aan hersteltaken. Bepaal welke data hersteld dient te worden en vanaf welk herstelpunt de verloren data hersteld dient te worden. Bepaal daarnaast hoe lang het noodherstelproces mag duren – rekening houdend met de kosten van downtime voor uw organisatie. Met onze bedrijfscontinuïteitsservice kunt u uw gegevens binnen 6 seconden herstellen en onze service maakt het mogelijk om back-ups regelmatig (om elke 5 minuten) te laten plaatsvinden, waardoor het verlies van actuele data tot een minimum wordt beperkt).

Stap 5: Ontwikkel een actieplan voor noodherstel

Ontwikkel een noodherstelprocedure die aansluit bij uw einddoel – of dat nu bestandsherstel of virtualisatie is. Een standaardaanpak is niet altijd de oplossing, identificeer duidelijk bij welke incidenten een noodherstelplan zal worden gebruikt en onder welke omstandigheden herstelmaatregelen nodig zijn. Zorg ervoor dat elk plan resulteert in het hervatten van de diensten, met prioriteit voor de bedrijfseenheden of functies naar gelang van hun behoeften.

Stap 6: Ontwikkel een Incident Response Team

Dit team is verantwoordelijk voor de implementatie van een operationeel noodplan als het noodlot toeslaat. De bedrijfscontinuïteitsdienst van OASIS vermindert de noodzaak hiervoor door te voorzien in een extern bedrijfscontinuïteitsteam dat proactief uw back-ups en herstelplannen beheert vanaf een externe locatie, wanneer dat nodig is.

Stap 7: Stel een Incidentrapport op

Het incidentrapport dient de volgende zaken te vermelden:

  • Identificeren wat de storing heeft veroorzaakt, welke lopende problemen aangepakt dienen te worden, wat verbeterd kan worden in toekomstige noodherstelscenario’s en hoe de standaarden en protocollen zijn veranderd na de storing.
  • Controleer het herstel en verifieer de functionaliteit van de gebruikers zodra de back-up is voltooid (d.w.z. nagaan of alle gebruikers toegang hebben tot bronnen en applicaties).

Stap 8: Testen en Bijwerken

Uw bedrijfscontinuïteitsplan dient voortdurend getest en bijgewerkt te worden, waarbij eventuele tekortkomingen worden geïdentificeerd en de toekomstige uitvoerbaarheid wordt gewaarborgd. Met de bedrijfscontinuïteitsdienst van OASIS bent u hiervan verzekerd, via een jaarlijkse “proof of concept” oefening voor volledig herstel, compleet met rapportage na afloop van de calamiteit.