Maand: februari 2021

Q&A 5 vragen over de privacywetgeving (AVG) beantwoord

24/02/2021

Privacy en de daarbij behorende wetgevingen zijn niet meer weg te denken. Het kan zijn dat je door de bomen het bos niet ziet, want de privacywetgeving is erg uitgebreid. Om meer duidelijkheid te creëren over privacy en de wetgeving eromheen beantwoorden wij in deze blog 5 vragen over de internationale privacywetgeving: de AVG.

1. Wat is de AVG?

AVG staat voor Algemene Verordening Gegevensbescherming en is een Europese privacywetgeving. Er wordt ook wel gesproken over de Engelse term GDPR: General Data Protection Regulation. Op 25 mei 2018 werd de Wet bescherming persoonsgegevens (Wbp) vervangen door de AVG. Dit heeft ervoor gezorgd dat in de hele Europese Economische Ruimte (EER) dezelfde privacywetgeving geldt. Elk land kan nog eigen uitzonderingen of aanvullingen toevoegen. In Nederland zijn deze uitzonderingen en aanvullingen bepaald in de Uitvoeringswet AVG (UAVG). Alle bedrijven en organisaties die persoonsgegevens vastleggen moeten zich houden aan de AVG. De AVG zorgt onder andere voor:

  • Versterking en uitbreiding van de privacy rechten;
  • Duidelijke privacy-verantwoordelijkheden voor organisaties;
  • De bevoegdheid van de Autoriteit Persoonsgegevens (Nederlandse toezichthouder) om boetes tot 20 miljoen euro of 4% van de wereldwijde jaaromzet op te leggen bij het niet naleven van de AVG.

2. Wanneer mogen persoonsgegevens worden verwerkt?

Het verwerken van persoonsgegevens is een inbreuk op de privacy. Onder het verwerken van persoonsgegevens wordt elke bewerking verstaan die betrekking heeft tot persoonsgegevens. Hierbij kun je denken aan het verzamelen, vastleggen of wijzigen van persoonsgegevens. Persoonsgegevens mogen alleen worden verwerkt als het echt niet anders kan: alleen wanneer je zonder de gegevens het doel niet kunt bereiken. Voor het mogen verwerken van persoonsgegevens heb je minimaal één van de volgende grondslagen nodig:

  1. Je hebt (aantoonbare) toestemming van de persoon waar de gegevens van zijn;
  2. Het is noodzakelijk om de gegevens te verwerken om een overeenkomst uit te voeren;
  3. Het is noodzakelijk om de gegevens te verwerken, omdat je dat wettelijk verplicht bent;
  4. Het is noodzakelijk om de gegevens te verwerken om vitale belangen te beschermen;
  5. Het is noodzakelijk om de gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen;
  6. Het is noodzakelijk om de gegevens te verwerken om een gerechtvaardigd belang te behartigen.
AVG in een notendop

3. Wat is een Data Protection Impact Assessment (DPIA)?

Een Data Protection Impact Assessment (DPIA) is een document waarmee de privacy risico’s van een verwerking worden beoordeeld. In dit document worden de risico’s die bij een verwerking komen kijken omschreven, de genomen maatregelen om deze risico’s te verkleinen of weg te nemen worden omschreven en er wordt weergegeven wat de eventuele (aanvaardbare) restrisico’s zijn. Hiermee wordt in kaart gebracht of er ernstige privacy risico’s zijn binnen de organisatie en of het de keuze van de organisatie is geweest deze te aanvaarden of niet. Een verwerkingsverantwoordelijke is verplicht een DPIA uit te voeren wanneer een gegevensverwerking mogelijk een groot privacy risico oplevert voor de betrokkene. Dit kan bepaald worden aan de hand van een DPIA-checklist. Daarnaast is een DPIA verplicht als het gaat om één of meer van de volgende drie soorten verwerkingen:

  • Verwerking waarbij systematisch en uitgebreid persoonlijke aspecten worden geëvalueerd op basis van geautomatiseerde verwerking, zoals bijvoorbeeld profiling;
  • Grootschalige verwerking van bijzondere persoonsgegevens of strafrechtelijke gegevens;
  • Verwerking waarbij op grote schaal en op systematische wijze mensen worden gevolgd in een publiek toegankelijk gebied, zoals bijvoorbeeld cameratoezicht.

4. Wanneer moet een organisatie een Functionaris Gegevensbescherming (FG) aanstellen?

Een Functionaris Gegevensbescherming (FG), ook wel Data Protection Officer (DPO) genoemd, is een persoon die binnen een organisatie toezicht houdt op de naleving van de AVG. De kerntaken van een FG zijn het informeren en adviseren van de organisatie en werknemers over de AVG, het toezicht houden op de naleving van de AVG, het helpen bij DPIA’s en optreden als aanspreekpunt voor de Autoriteit Persoonsgegevens (AP). Het aanstellen van een FG is verplicht in de volgende gevallen:

  • Wanneer het gaat om een overheidsinstantie of publieke organisatie. Overheden en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type gegevens dat ze verwerken;
  • Wanneer er sprake is van verwerkingen die grootschalige, regelmatige en systematische observatie van betrokkenen vereisen;
  • Wanneer er bijzondere en/of strafrechtelijke persoonsgegevens worden verwerkt.

In dit rapport vind je alle richtlijnen voor de Functionaris van Gegevensbescherming.

5. Welke plichten hebben organisaties bij een datalek?

De AVG stelt dat organisaties in bepaalde gevallen verplicht zijn om binnen 72 uur (weekenden meegeteld) een datalek te melden bij de toezichthoudende autoriteit, de Autoriteit Persoonsgegevens (AP). Het melden van een datalek mag alleen achterwege worden gelaten wanneer het niet waarschijnlijk is dat het datalek leidt tot risico’s voor de rechten en vrijheden van de betrokkene. Zorgt een datalek voor een hoog risico voor de rechten en vrijheden van de betrokkene? Dan is een organisatie verplicht om het datalek ook bij de betrokkene zelf te melden. Ongeacht of het datalek wel of niet moet worden gemeld aan de AP, de verwerkingsverantwoordelijke moet altijd voldoen aan de registratieplicht. Datalekken moeten altijd worden gedocumenteerd.

AVAQ is specialist op het gebied van privacy. Onze privacy adviseurs ondersteunen organisaties bij het hanteren van goed privacy management en het voldoen aan de geldende privacywetgeving. Daarnaast beschikken wij over een deskundig en betrokken Functionaris Gegevensbescherming die jouw organisatie graag verder helpt.

Neem vrijblijvend contact met ons op voor een kennismakingsgesprek of meer informatie over privacy management.

Actueel

Meer avaq actueel

Nieuw AVAQ teamlid: Jette de Weerd

09/01/2024

Per november is Jette de Weerd gestart met haar afstudeerstage bij AVAQ. Maak kennis met […]

Lees meer

Daniël toegetreden tot Raad van Toezicht SVPB

05/01/2024

Per juni 2023 is Daniël de Jong toegetreden als lid van de Raad van Toezicht […]

Lees meer

Wat is belangrijk bij een goede ontruimingsplattegrond?

18/02/2021

Ontruimingsplattegronden informeren hoe je het gebouw moet verlaten in geval van nood. Er is op te zien welke vluchtwegen er zijn, waar de EHBO-middelen zich bevinden en er staan instructies op over het handelen bij een noodgeval. Het biedt dus een vluchtplan voor alle aanwezigen. In deze blog lees je wanneer zo’n vluchtplan wettelijk verplicht is en wat belangrijk is bij een goede ontruimingsplattegrond.

Wettelijk verplicht of niet?

Per organisatie verschilt het of een ontruimingsplattegrond verplicht is. Dat is afhankelijk van het feit of het hebben van een brandmeldinstallatie verplicht is. Check met onderstaande stappen of een ontruimingsplattegrond verplicht is voor jouw organisatie!

Heeft het kantoorpand een oppervlakte groter dan 500 m2 en/of bestaat het gebouw uit meerdere verdiepingen?

  • Nee: het hebben van een brandmeldinstallatie is niet verplicht. Daarmee is het ook niet verplicht om een ontruimingsplattegrond te hebben.
  • Ja: het is verplicht om een brandmeldinstallatie én een ontruimingsplattegrond te hebben.

Gaat het om een kinderdagverblijf en zijn er kinderen jonger dan 4 jaar aanwezig op een oppervlakte vanaf 200 m2?

  • Nee: het hebben van een brandmeldinstallatie is niet verplicht. Daarmee is het ook niet verplicht om een ontruimingsplattegrond te hebben.
  • Ja: het is verplicht om een brandmeldinstallatie én een ontruimingsplattegrond te hebben.

Een ontruimingsplattegrond komt dus samen met een brandmeldinstallatie indien deze verplicht is. Meer informatie over de verplichting van een ontruimingsplattegrond binnen jouw organisatie? De veiligheidsexpert van AVAQ helpt graag verder.

Voldoe aan deze eisen en jouw ontruimingsplattegrond is op orde

In de NEN 1414-1 staan in totaal 19 eisen voor ontruimingsplattegronden beschreven. De positionering van de ontruimingsplattegronden is misschien wel het belangrijkste aandachtspunt. Een ontruimingsplattegrond is niet effectief wanneer deze slecht zichtbaar of slecht te bereiken is. Goede plekken voor ontruimingsplattegronden zijn bijvoorbeeld nabij wachtruimten, liften of koffieautomaten. Verder zijn er nog een aantal algemene eisen voor ontruimingsplattegronden:

  1. De plattegronden moeten in kleur zijn. Dat maakt de plattegronden beter leesbaar;
  2. De plattegronden moeten tenminste informatie bevatten over alle relevante (nood)uitgangen, vluchtroutes en brandbestrijdingsmiddelen;
  3. De plattegronden moeten zijn voorzien van symbolen voor vluchtrouteaanduiding. Symbolen voor brandveiligheid worden aangeraden. In de NEN 3011 staat meer informatie over deze symbolen;
Symbolen vluchtrouteaanduiding
Symbolen brandveiligheid
  1. De plattegronden moeten een duidelijke legenda bevatten voor de symbolen, in een taal die begrijpelijk is voor de doelgroep;
  2. De plattegronden moeten duidelijk aangeven waar de persoon zich bevindt;
  3. De plattegronden moeten zijn voorzien van instructies voor het handelen bij brand of een ongeval;
  4. De plattegronden moeten actueel zijn.

AVAQ levert ontruimingsplattegronden op maat voor bedrijven. Onze veiligheidsexpert ziet hierbij niets over het hoofd. Van te voren wordt jouw organisatie bekeken door onze expert waarna de ontruimingsplattegronden gemaakt worden. Hierbij wordt direct gekeken naar de beste plaats om deze op te hangen.

Meer informatie over de ontruimingsplattegronden van AVAQ of interesse in een kennismakingsgesprek? Neem vrijblijvend contact met ons op.

Actueel

Meer avaq actueel

Nieuw AVAQ teamlid: Jette de Weerd

09/01/2024

Per november is Jette de Weerd gestart met haar afstudeerstage bij AVAQ. Maak kennis met […]

Lees meer

Daniël toegetreden tot Raad van Toezicht SVPB

05/01/2024

Per juni 2023 is Daniël de Jong toegetreden als lid van de Raad van Toezicht […]

Lees meer

Safer Internet Day 2021: Together for a better internet

09/02/2021

Vandaag wordt de 18e editie van ‘Safer Internet Day’ gevierd. Dit jaar is het thema: together for a better internet. Deze dag roept iedereen, jong en oud, op om het internet een veiligere en betere plek voor elkaar te maken. Vanuit AVAQ geven wij aandacht aan deze dag, omdat het internet veel risico’s met zich meebrengt. AVAQ helpt organisaties bij het organiseren en implementeren van goede informatiebeveiliging.  

Bescherm jezelf en jouw organisatie

Het is inmiddels algemeen bekend dat het gebruik van internet niet altijd veilig is. Zonder kennis van de risico’s die het internet met zich meebrengt kunnen er incidenten ontstaan, zoals bijvoorbeeld een virus op jouw eigen laptop of op de laptops binnen de organisatie. Ook phishing en identiteitsfraude zijn mogelijke incidenten. Je kan jezelf hiertegen beschermen door verschillende maatregelen te nemen. Wij schreven hier eerder al een blog over. Pas de maatregelen uit deze blog toe en je maakt het internetten voor jezelf een stuk veiliger! Maak de medewerkers binnen jouw organisatie bewust van de gevaren van het internet en wijs ze op de maatregelen die zij zelf kunnen nemen. Zo verbeter je de bedrijfsveiligheid.

Het internet blijft groeien en steeds meer apparaten worden eraan gekoppeld. Het is niet alleen belangrijk om stil te staan bij de veiligheid tijdens het bezoeken van een website. Ook slimme apparaten, zoals via het internet bedienbare lampen en camera’s hebben aandacht nodig. Deze apparaten zijn vaak kwetsbaar voor hackers. Niemand wil worden afgeluisterd of worden bekeken door hun eigen camera’s, vergeet de beveiliging van deze apparaten dus niet!

Bescherm anderen

Valt het je op dat een collega, vriend(in) of familielid onveilig met het internet omgaat? Bijvoorbeeld omdat hij of zij onbeveiligde websites bezoekt (een veilige website is voorzien van een SSL-certificaat: https://)? Spreek diegene daar op aan en verwijs naar de website veiliginternetten.nl. Op deze website staan allerlei tips, vragen en antwoorden over veiliger internetten. Door elkaar te helpen verkleinen we de kans op incidenten en maken we het internet een veiligere en betere plek voor elkaar.

De grootste internetgevaren van dit moment

Het internet biedt veel kansen voor cybercriminelen. Wees extra op je hoede voor de volgende internetgevaren:

  1. Ransomware: deze vorm van cybercrime behoort al jaren tot de grootste internetgevaren. Ransomware is een malware die een computer en/of bepaalde gegevens die erop staan blokkeert. De computer en/of bestanden worden pas vrijgegeven als je een fors geldbedrag betaalt. In deze blog lees je meer over ransomware en hoe je jouw organisatie daartegen beschermt;
  2. Onbeveiligde WiFi: als er iets onverstandig is, dan is dat het gebruikmaken van onbeveiligde Wifi. Bijna iedereen heeft het wel eens gedaan: bij een restaurant gebruikmaken van de openbare Wifi. Niet doen! Openbaar zegt het al, iedereen kan op het netwerk. Dat maakt het voor hackers makkelijk om bijvoorbeeld jouw laptop of telefoon over te nemen. Maak in plaats daarvan gebruik van beveiligde WiFi of VPN;
  3. Phishing: deze vorm van cybercrime wordt veel gebruikt. Het is een eenvoudige en manipulatieve manier om aan gegevens en/of geld te komen. Bij phishing wordt er gebruik gemaakt van ogenschijnlijk veilige linkjes die worden verstuurd via communicatiediensten zoals SMS of e-mail of ze worden geplaatst op websites. Cybercriminelen krijgen toegang tot gegevens of installeren een malware wanneer er op zo’n link geklikt wordt. In deze blog lees je onder andere hoe je phishing herkent en wat je ertegen kunt doen.

AVAQ biedt advies over veilig internetten en verzorgt (online) workshops voor haar klanten. Neem voor vragen of meer informatie vrijblijvend contact met ons op.

Safer Internet Day 2021

Actueel

Meer avaq actueel

Nieuw AVAQ teamlid: Jette de Weerd

09/01/2024

Per november is Jette de Weerd gestart met haar afstudeerstage bij AVAQ. Maak kennis met […]

Lees meer

Daniël toegetreden tot Raad van Toezicht SVPB

05/01/2024

Per juni 2023 is Daniël de Jong toegetreden als lid van de Raad van Toezicht […]

Lees meer

Social Engineering: laat jij je verleiden?

04/02/2021

Wellicht heb je er al eens van gehoord: social engineering. Deze techniek voor misleiding wordt zowel fysiek als digitaal ingezet door (cyber)criminelen. Voor de bescherming van jouw organisatie en medewerkers is het belangrijk dat je op de hoogte bent van deze techniek. In deze blog lees je alles over social engineering én geven wij tips om jouw organisatie en medewerkers er zo goed mogelijk tegen te beschermen.

De kunst van het misleiden

Bij social engineering wordt er door middel van misleidende aanvalstechnieken misbruik gemaakt van menselijke eigenschappen zoals nieuwsgierigheid en vertrouwen. De (cyber)criminelen richten zich op de zwakste schakel van organisaties: de mens. Ze proberen medewerkers bepaalde handelingen te laten verrichten waar de criminelen voordeel uit halen. Denk hierbij bijvoorbeeld aan het afgeven van vertrouwelijke gegevens of het installeren van malware. Bekijk hieronder een interessante video over een journalist die hackers uitdaagt om hem te hacken.

De kans bestaat dat jouw organisatie al eens te maken heeft gehad met social engineering. Phishing is hier namelijk een (steeds meer voorkomende) vorm van. Een andere vorm van social engineering is het simpelweg meekijken over de schouders van een medewerker om zo bijvoorbeeld gebruikersnamen en wachtwoorden te achterhalen. Dit wordt ook wel shoulder surfing genoemd: “The act of surreptitiously gathering information from a user by means of direct observation of the user’s activity, typically by looking over their shoulder as they perform some action.”.

De misschien wel meest bekende vorm van social engineering is het daadwerkelijk communiceren met het slachtoffer. De crimineel zet het slachtoffer hierbij vaak onder druk door te doen alsof er een groot probleem is. Hierbij wordt er gebruik gemaakt van verschillende emoties, zoals woede en verdriet. Een voorbeeld: een receptioniste krijgt een wanhopige man aan de balie. De man beweert een vriend te zijn van Jan Bosman, een medewerker van het bedrijf. Hij zegt dat hij zo snel mogelijk naar Jan moet, omdat Jan’s vader een ongeluk heeft gehad. De crimineel, in dit geval de wanhopige man, speelt hier in op de gevoelens van de receptioniste. Voor de receptioniste is dit een lastige situatie: laat ze de man daar staan of laat ze hem naar binnen om ‘naar Jan te gaan’?

Zo bied je bescherming tegen social engineering

Bescherming tegen social engineering begint bij security awareness van medewerkers: de medewerker is ten slotte de zwakste schakel van de organisatie. Medewerkers moeten kennis hebben over de vormen en risico’s van social engineering, zodat zij weten wat ze moeten doen mochten ze te maken krijgen met social engineering.

Voordat je start met een bewustwordingsprogramma voor de medewerkers, is het verstandig om te beginnen met een nulmeting. Door een mystery guest te laten proberen toegang te krijgen tot de organisatie, op fysiek en/of digitaal gebied, kan de mate van security awareness onder de medewerkers worden vastgesteld. Op basis van deze resultaten kan er een passend bewustwordingsprogramma worden gemaakt.

Andere preventieve maatregelen zijn bijvoorbeeld het gebruikmaken van screenprotectors waardoor er vanaf de zijkant niet kan worden meegekeken op het scherm (tegen shoulder surfing) en standaard werkinstructies voor situaties die mogelijk kunnen voorkomen (zoals de situatie met de receptie).

Met een goed beveiligingsplan bescherm je jouw organisatie tegen risico’s zoals social engineering. De veiligheidsexperts van AVAQ helpen graag bij het verbeteren van de bedrijfsveiligheid van jouw organisatie. Neem vrijblijvend contact met ons op voor meer informatie.

Actueel

Meer avaq actueel

Nieuw AVAQ teamlid: Jette de Weerd

09/01/2024

Per november is Jette de Weerd gestart met haar afstudeerstage bij AVAQ. Maak kennis met […]

Lees meer

Daniël toegetreden tot Raad van Toezicht SVPB

05/01/2024

Per juni 2023 is Daniël de Jong toegetreden als lid van de Raad van Toezicht […]

Lees meer