Even voorstellen: Pieter

Even voorstellen: Pieter van den Houten

Lumen Group groeit en daarom stellen we je hierbij graag voor aan Pieter van den Houten. Wij stelden hem wat vragen, zodat je hem meteen een beetje leert kennen.

Wat is jouw rol bij Lumen Group?

De dag begint om half 9 met een heerlijke espresso. Het eerste uur van de dag werk ik mijn mail bij en probeer ik mijn netwerk binnen het privacy domein verder uit te breiden. Einde ochtend en begin van de middag heb ik vaak afspraken staan met (potentiële) klanten of met onze opdrachtgevers. Tussendoor maak ik tijd vrij om de sales campagnes verder uit te werken en uit te rollen, zodat we niet achterlopen op onze accountplanning.

Waarom heb jij ervoor gekozen om bij Lumen Group te gaan werken?

In mijn vorige rol bij SoftwareOne was ik als solution advisor verantwoordelijk voor alle back-up & recovery vraagstukken vanuit de klanten. Hier merkte ik dat de enorme berg aan data kansen creëerde maar ook risico’s met zich mee bracht. Ik wilde graag een verdiepingsslag maken en meer vanuit de inhoud sales doen. Bij de gesprekken met Lumen Group merkte ik dat ik te maken had met een echte kennis-club. Lumen Group staat op het punt om een volgende stap te zetten, daar hoort ook bij dat de commerciële processen moeten worden geoptimaliseerd en dat er een sales team gebouwd moet worden. Die uitdaging heeft mij uiteindelijk doen besluiten om een maand geleden de overstap te wagen.

Wat zijn jouw 3 opvallendste eigenschappen?

Sociaal, ondernemend en sportief.

Heb je onlangs een goede film gezien die je kan aanraden?

Nee, maar wel de miniserie Onorthodox op Netflix!

Staat er iets op de planning voor komend jaar dat je nog nooit hebt gedaan?

We gaan dit jaar de grote stad (Amsterdam) verlaten. We hebben namelijk een nieuwbouw huis in Muiden gekocht.

En tot slot: heb jij misschien nog een leuke boodschap voor de lezers van deze blog?

Boodschap!!

Even voorstellen: Zafer

Mogelijkheid tot collectieve schadevergoeding op basis van de AVG?

Sinds 2020 is het voor collectieve belangenbehartigers mogelijk om collectief schade te verhalen op basis van de Wet Afwikkeling Massaschade in Collectieve Actie (hierna: WAMCA). De vraag of het mogelijk is om collectief schadevergoeding te eisen op basis van schendingen van de Algemene Verordening Gegevensbescherming (hierna: AVG) ligt nu voor bij de rechter. In deze blog zullen de huidige ontwikkelingen tussen de verhouding van de WAMCA en de AVG verder uiteengezet worden. Op het moment van schrijven is het namelijk nog onduidelijk of een mogelijkheid bestaat om tegen privacyschendingen op te treden op basis van de WAMCA.

Een nieuw middel om privacyschendingen te voorkomen?

Een mogelijk gevolg van de intreding van de WAMCA is dat naast individuele schadevergoedingsclaims en optreden door de Autoriteit Persoonsgegevens, een extra middel beschikbaar is om privacyschendingen te voorkomen en aan te pakken. Nederland staat momenteel op de voorgrond met betrekking tot collectieve acties tegen het schenden van privacywetgeving. In andere Europese landen zijn er nog geen mogelijkheden gevonden om massaclaims tegen schendingen van privacywetgeving in te stellen.

De vraag of een nieuw handhavingsmiddel daadwerkelijk beschikbaar komt om privacyschendingen aan te pakken hangt af van het vonnis op onderstaande zaken en eventuele toekomstige rechtszaken die zich op dit onderwerp toespitsen. De rechter heeft in beide onderstaande zaken zich nog niet uitgelaten over de toepasbaarheid van de WAMCA op privacyschendingen. Een belangrijke vraag die daarbij gesteld moet worden is of de wetgever wel beoogd heeft om de WAMCA als grond voor privacyschendingen aan te wenden en of daar binnen het schadevergoedingsregime van de AVG wel ruimte voor is. In onderstaande zaken is het nu dus nog afwachten.

The Privacy Collective tegenover Oracle en Salesforce

In Nederland liggen momenteel Oracle, Salesforce en TikTok onder vuur door ingestelde vorderingen op basis van de WAMCA. De stichting The Privacy Collective (hierna: TPC) heeft een rechtszaak aangespannen ten behoeve van de Nederlandse internetgebruiker tegen Oracle en Salesforce. Zij vorderen 11 miljard euro voor de privacyschendingen van 10 miljoen Nederlandse internetgebruikers. TPC is van mening dat Oracle en Salesforce op grote schaal de gegevens van miljoenen Nederlanders binnenslepen en verkopen, zonder geldige toestemming. TPC meende een mandaat te hebben om op te treden ten behoeve van de Nederlandse internetgebruiker door gebruik te maken van een ‘steun met 1 klik-knop’ op hun website. De teller van de ‘steun met 1 klik-knop’ staat op het moment van schrijven op 113.000. Echter de rechtbank oordeelde dat niet kon worden vastgesteld dat TPC opkomt voor een voldoende groot deel van de groep getroffen benadeelden en verklaart TPC wegens gebrek aan representativiteit niet-ontvankelijk. TPC heeft hoger beroep ingesteld tegen het vonnis.

Take Back Your Privacy tegenover TikTok

Een andere zaak die momenteel voor ligt bij de rechter is de zaak tussen TikTok en de stichting Take Back Your Privacy (hierna: TBYP). TBYP startte vorig jaar een collectieve actie tegen TikTok namens alle minderjarige TikTok-gebruikers in Nederland. Zij eisen dat TikTok aan de Nederlandse minderjarige TikTok-gebruikers een schadevergoeding van minimaal 2 miljard betaalt voor het onrechtmatig verzamelen en verhandelen van hun gegevens. TikTok gaf aan dat zij van mening zijn dat de Nederlandse rechter niet bevoegd is om van deze zaak kennis te nemen omdat TikTok niet in Nederland gevestigd is. De rechtbank Amsterdam gaf op 9 november 2022 aan dat zij zich wel bevoegd achtte om de zaak te behandelen. Op het verdere verloop van deze zaak moeten wij nog wachten.

Mochten er ontwikkelingen zijn, dan zullen wij de updates in deze blog weergeven.

Vragen?

Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Wetsvoorstel wijziging UAVG: Een eerste analyse

Komende donderdag 9 februari wordt het wetsvoorstel voor de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) besproken in de Tweede Kamer. Minister Weerwind heeft namens het kabinet heeft een update voorgesteld. De UAVG mist op dit moment op bepaalde punten verduidelijking, sommige verwijzingen zijn verouderd en de rechter heeft zich uitgesproken tegen de strekking van een enkele bepaling. Kortom, er zijn updates verzameld in de bijna 5 jaar dat de wet nu van kracht is. Er is onder andere advies ingewonnen bij de Autoriteit Persoonsgegevens, werkgeversorganisaties en de Vereniging van Nederlandse Gemeenten. In deze blog zet ik de meest in het oog springende wijzigingen uiteen.

Wat is de UAVG?

Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden binnen de Europese Economische Ruimte (EER). Op sommige punten biedt deze wet ruimte om nadere invulling te geven aan sommige open normen. In Nederland is dit gedaan door middel van de UAVG. De UAVG wet regelt onder andere het bestaan en de positie van de Autoriteit Persoonsgegevens en geeft nadere invulling aan normen ten aanzien van gebruik van bijzondere persoonsgegevens.

Welke wijzigingen vinden plaats in het wetsvoorstel?

  1. Jongeren tussen 12 en 16 krijgen meer rechten

Nu is het in Nederland mogen jongeren vanaf 16 jaar zelf toestemming geven voor de verwerking van hun gegevens. Daaronder moet de ouder toestemming geven, als het bijvoorbeeld gaat online diensten als websites en apps. Enkel de ouders die toestemming voor bijvoorbeeld onlinediensten weer kunnen intrekken. In het wetsvoorstel mogen jongeren deze rechten nu ook gaan uitoefenen vanaf 12 jaar. Bijzonder in het wetsvoorstel is dat de jongere de gegeven toestemming kan intrekken en dat de ouders deze toestemming weer kunnen geven. Vervolgens is het dan aan de verwerkingsverantwoordelijke om te bepalen wat daarmee gebeurt. Zij moet hierbij de wens van de minderjarige zwaar meewegen.

Wat betreft verwerkingen van medische gegevens staat hier nog wel een strengere toets tegenover. Tenzij de Wet op de geneeskundige behandelingsovereenkomst zich hiertegen verzet, kunnen jongeren van 12 tot 16 jaar deze rechten van betrokkenen ook gaan uitoefenen.

  1. Strafrechtelijke verwerking

Op dit moment worden persoonsgegevens die nu als strafrechtelijke gegevens worden benoemd binnen de UAVG te ruim uitgelegd volgens een uitspraak van het Gerechtshof Den Haag. Een door een rechter opgelegd verbod naar aanleiding van onrechtmatig of hinderlijk gedrag, zoals een contactverbod, zijn namelijk geen strafrechtelijke persoonsgegevens. De opstellers van het wetsvoorstel kunnen zich vinden in deze opvatting. Deze definitie wordt dus smaller uitgelegd in het nieuwe wetsvoostel.

  1. Gebruik bijzondere persoonsgegevens wordt ruimer toegestaan

Volgens de AVG mogen bijzondere persoonsgegevens niet worden verwerkt, tenzij een uitzonderingsgrond van toepassing is. Tot nu toe was zo’n uitzonderingsgrond er niet voor accountants, bij de uitvoering van wettelijke taken. Het wetsvoorstel brengt daar verandering in: als het noodzakelijk is voor de uitvoering van een wettelijk verplichte controle, mag een accountant bijzondere persoonsgegevens verwerken.

Naast accountants wordt ook het werk van curatoren eenvoudiger gemaakt, doordat expliciet wordt toegevoegd aan de Faillissementswet dat zij bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en het BSN mogen verwerken als dat noodzakelijk is.

  1. Gebruik biometrische gegevens

De UAVG wordt in het wetsvoorstel aangepast met betrekking tot de uitzondering op het verbod om biometrische gegevens te verwerken met het oog op de unieke identificatie van een persoon indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Deze doelbeperking is in het wetsvoorstel expliciet gemaakt. Zo wordt het gebruik van biometrische gegevens toegestaan om de rechtmatige toegang tot bepaalde plaatsen, gebouwen, diensten, producten, informatiesystemen of werkprocessystemen te verkrijgen.

Verdere stroomlijning met andere wetgeving

In het wetsvoorstel worden verder bepalingen aangepast in bijvoorbeeld de Faillissementswet, Wegenverkeerswet 1994, de Wet administratiefrechtelijke verkeershandhaving, de Wet op de rechtsbijstand (Wrb) en de Wet op het financieel toezicht (Wft). Deze zullen echter inhoudelijk minimaal wijzigen.

Verder proces voor totstandkoming wetgeving UAVG

Zoals eerder genoemd, vindt de bespreking van deze wetswijziging in de Tweede Kamer plaats op 9 februari. Mochten zij na bespreking akkoord gaan dan zal dit voorstel naar de Eerste Kamer gestuurd worden. Wij blijven deze voorgestelde wetswijziging met aandacht volgen.

Vragen?

Heb je nog vragen naar aanleiding van deze blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Even voorstellen: Niels

De Amerikaanse CLOUD-Act: wat betekent dat voor Privacy in de Europese Unie?

Op 23 maart 2018 ondertekende President Trump de ’Clarifying Overseas Use of Data act’ (CLOUD-Act). Het gevolg van de CLOUD-Act is dat een Europese (cloud service)provider of communicatiedienstverlener (hierna: Europese provider) moet voldoen aan een verzoek van de Amerikaanse overheid om gegevens over te dragen, zelfs als deze gegevens zich buiten de VS bevinden. In dit blog behandelen we kort de inhoud en de gevolgen van de CLOUD-Act.

Wat is de CLOUD-Act?
De CLOUD-Act is een federale wet van de Verenigde Staten die in feite neerkomt op een uitbreiding van de huidige Amerikaanse dataretentiewet, de zogenoemde ‘Stored Communications Act’ uit 1986. De CLOUD-Act geeft de Amerikaanse overheid de bevoegdheid om via een bevelschrift of dagvaarding providers te dwingen persoonsgegevens over te dragen, ongeacht waar deze persoonsgegevens zich bevinden. Daarnaast maakt de CLOUD-act het ook mogelijk om bilaterale afspraken te maken tussen de VS en andere landen om persoonsgegevens uit te wisselen in het kader van opsporing.

De CLOUD-Act is geïntroduceerd nadat de FBI problemen ondervond bij het verkrijgen van persoonsgegevens vanuit Ierland. In deze zaak weigerde Microsoft persoonsgegevens over te dragen in een strafzaak. Destijds maakte de dataretentiewet het niet mogelijk om persoonsgegevens die zich buiten de VS  bevinden op te vragen. Door de inwerkingtreding van de CLOUD-Act is dat onder bepaalde omstandigheden nu wel mogelijk.

‘’A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such providers possession, custody, or control, regardless of whether such communication, record or other information is located within or outside of the United States’’

Voor wie is de CLOUD-Act van belang?
De CLOUD-Act heeft extraterritoriale werking. Dit houdt in dat de Amerikaanse overheid zich de bevoegdheid toeschrijft om gegevens op te vragen buiten haar eigen territoriale grondgebied. Dit geldt onder bepaalde omstandigheden dus ook voor Europese providers. Uit een onderzoek van GreenbergTraurig dat zij voor het Nationaal Cyber Security Centrum (NCSC) uitvoerde blijkt dat een Europese provider in twee gevallen niet aan een verzoek van de Amerikaanse overheid hoeft te voldoen. Allereerst hoeven Europese providers niet te voldoen aan verzoek op grond van de CLOUD-Act als deze geen enkele zakelijke relatie of contacten heeft met een bedrijf die actief is in de VS. Ten tweede zijn providers uitgesloten waarbij geen enkel Amerikaans bedrijf toegang, bezit of controle heeft over de opgeslagen persoonsgegevens in Europa. Europese providers waarvan het moederbedrijf Amerikaans is, vallen echter altijd onder de CLOUD-Act. Dit komt omdat niet kan worden uitgesloten dat dit moederbedrijf toegang tot de gegevens heeft.

Wat zijn de vereisten van een informatieverzoek op grond van de CLOUD-Act?
Een informatieverzoek op grond van de CLOUD-Act hangt af van verschillende factoren. Ten eerste moet er sprake zijn ‘probable cause’. Dit houdt in dat er een verwachting is dat de opgevraagde persoonsgegevens bewijs opleveren in een onderliggende strafzaak. Ten tweede moet de Amerikaanse overheid aantonen dat de Europese provider continue en systematische aanwezigheid in de VS had of dat de Europese provider ‘minimum contacts’ had met bedrijven uit de VS. Tot slot moeten de persoonsgegevens wel in bezit of controle van de Europese provider zijn.

De vraag of een Europese provider ‘minimum contacts’ of banden met de VS heeft kan worden ontleed in drie onderdelen. Allereerst moet onderzocht worden of het verzoek direct verband houdt met activiteiten in de VS. Daarnaast moet worden nagegaan of de Europese provider redelijkerwijs mocht verwachten dat haar Amerikaanse contacten voor een Amerikaanse rechter kon worden opgeroepen voor de activiteiten die zij uitvoeren in de VS. Tot slot moet de Amerikaanse overheid nagaan of de uitoefening van haar jurisdictie redelijk is.

Kan een Europese provider een verzoek van de Amerikaanse overheid aanvechten? 
Voor de ontvanger van een informatieverzoek is het moeilijk om een verzoek op grond van de CLOUD-Act aan te vechten, ondanks dat de CLOUD-Act wel deze mogelijkheid biedt. Uit de CLOUD-Act volgt dat een bezwaar van een provider aan twee cumulatieve vereisten moet voldoen. Allereerst moeten zij aantonen dat de gegevens niet van een Amerikaanse staatsburger zijn. Vervolgens moet de Europese provider aantonen dat toezegging aan het verzoek materiële schade oplevert en er een wet wordt overtreden van een ‘Qualifying Foreign Government’. Ten slotte is alleen de Amerikaanse rechter bevoegd om de rechtmatigheid van een verzoek op grond van de CLOUD-Act te beoordelen.

De eis dat er een wet van een ‘Qualifying Foreign Government’ moet worden overtreden maakt het voor Europese providers momenteel onmogelijk om een informatieverzoek van de Amerikaanse overheid aan te vechten. Dit komt omdat de Amerikaanse overheid momenteel nog geen enkel land als ‘Qualifying Foreign Government’ bestempeld.

Heb je nog vragen naar aanleiding van dit blog? Neem dan vrijblijvend contact met ons op om over dit onderwerp te sparren. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. Wil je meer lezen over dit onderwerp, lees dan het artikel van het NCSC.

Data Privacy en Data Protection: integraal onderdeel van het ESG framework

De Algemene Verordening Gegevensbescherming (AVG) is voor veel ondernemingen een thema geworden in de ESG-duurzaamheidsrapportages. Het wordt steeds vaker een integraal onderdeel van de bedrijfsvoering waaraan werknemers, sollicitanten en aandeelhouders steeds meer waarde hechten. Wat gebeurt er met de persoonsgebonden data en hoe verhoudt zich dat tot de transparantie waar bedrijven op worden getoetst?

Toenemende digitalisering biedt kansen en risico’s
De verwerking van onze persoonsgegevens door bedrijven neemt in rap tempo toe door de toenemende digitalisering en de mogelijkheden van data-analyse. Deze verwerkingen bieden veel bedrijven (commerciële) kansen en inzichten. Dit gebeurt vaak door gebruik te maken van data-analyses, profilering en algoritmes waarbij verschillende persoonskenmerken gecombineerd en verrijkt worden. Daarnaast kunnen bedrijven bijvoorbeeld ook fraudeurs of witwassers opsporen, risico’s inschatten of gerichte commerciële aanbiedingen doen aan de hand van de verzamelde en verrijkte persoonsgegevens en data.

Bedrijven zitten vaak op een schat aan (gevoelige) persoonsgegevens en hebben een plicht hier zorgvuldig mee om te gaan en deze te beschermen. Zij moeten hierover transparant zijn en er verantwoording over kunnen afleggen. Risico’s van een onzorgvuldige – of niet veilige bescherming van de persoonsgegevens – zijn voorkomende datalekken, phishing en ransomware, dat steeds vaker in het nieuws komt. Dit kan een onmiddellijke weerslag hebben op de reputatie van een bedrijf en zelfs het voortbestaan hiervan bedreigen. Ook individuele privacy inbreuken en boetes van de externe toezichthouders liggen op de loer.

De AVG reguleert een zorgvuldige verwerking en bescherming van onze persoonsgegevens
Vanuit Europa is er wetgeving van kracht die dit alles reguleert en invulling aan de zorgplicht geeft. De bekendste wet is de AVG, die diep ingrijpt bij bedrijven waar persoonsgegevens van klanten, medewerkers of andere betrokkenen worden verwerkt. Naar mate het bedrijf meer bijzondere of gevoelige persoonsgegevens verwerkt, zullen er meer maatregelen moeten worden getroffen om aan de verwachte zorgvuldigheid invulling te kunnen geven.

Privacy en data protection passen in het ESG framework
Bovenstaande is een reden om dit onderwerp serieus te nemen en toe te voegen aan het ESG framework van het bedrijf. De AVG als stuk wetgeving is hier op zichzelf al een goede reden voor. Maar de maatschappij verwacht ook dat bedrijven vanuit hun integriteit hun sociale voelsprieten uit hebben staan over wat voor soort verwerkingen acceptabel worden geacht en welke niet. Dit betekent dus niet dat als iets van de wet wel mag, dit ook automatisch door klanten of de maatschappij zal worden geaccepteerd. Bovendien is privacy één van de grondrechten uit de Grondwet en moet daarom worden nageleefd.

Een bedrijf dient vanuit haar governance structuur ook een goede Privacy & Data Protection policy te formuleren, waarin duidelijk is gemaakt hoe met persoonsgegevens wordt omgegaan en hoe persoonsgegevens worden verwerkt. De meeste bedrijven zullen privacy- en informatiebeveiliging als een compliance riskmanagementonderwerp benaderen. Binnen het bestaande riskmanagementprogramma worden de privacy – en data protection risico’s inzichtelijk, vindt monitoring plaats en worden beheersmaatregelen genomen. Tegelijkertijd is bijvangst van privacy en data protection wetgeving, dat gegevens niet langer bewaard mogen worden bewaard dan strikt noodzakelijk en daarna vernietigd moeten worden. Hierdoor draagt dit ook bij aan doelstelling van een bedrijf om ‘electronic waste’ te beperken.

De Functionaris Gegevensbescherming is onderdeel van de governance
Een belangrijke rol binnen de governance is weggelegd voor de binnen veel bedrijven wettelijk verplichte Functionaris Gegevensbescherming (FG), in het Engels de Data Protection Officer (DPO). Dit is een soort Compliance Officer die advies geeft en toezicht houdt op de verwerkingen van persoonsgegevens binnen het bedrijf. Dit kan zowel een interne als een externe FG zijn.

Heeft u vragen over de AVG, Privacy of Data Protection of de Functionaris Gegevensbescherming? Lumen Group kan u daarbij helpen. Neem contact op via info@lumengroup.nl of 030- 88965 75.

Even voorstellen: Michiel

2FA, de veiligheidsgordel voor persoonsgegevens

Inloggen met tweefactorauthenticatie (2FA) verkleint de kans dat hackers toegang krijgen tot je accounts of persoonsgegevens en voorkomt datalekken. In 2021 is het aantal meldingen van cyberaanvallen met 88% gestegen volgens het Rapportage Datalekken 2021 van de Autoriteit Persoonsgegevens (AP). Dit aantal lijkt ieder jaar opnieuw exponentieel verder te stijgen. De AP heeft in 2021 een boete opgelegd van 400.000 euro aan de luchtvaartmaatschappij Transavia, onder andere omdat 2FA ontbrak. 2FA is mede door deze ontwikkelingen een basisvereiste voor de beveiliging van je persoonsgegevens: Géén 2FA is als autorijden zonder het dragen van een veiligheidsgordel.

Uit onze praktijk blijkt al te vaak bezwaar te zijn op het installeren of het gebruik van 2FA. Lumen Group heeft daarom voor jou de meest voorkomende bezwaren in deze blog weerlegd. Lees ze in deze blog en gebruik het in de eigen praktijk.

 

  1. Ik heb niet meer beveiliging nodig, ik heb niets te verbergen.

Iedereen kan een doelwit zijn, omdat persoonlijke informatie waardevol is voor hackers die zij gebruiken voor fraudeleuze activiteiten. Alle accounts met persoonlijke informatie, slimme huishoudelijke apparaten en zelfs particuliere bankrekeningen zijn niet veilig. Je wilt toch ook niet jouw bankrekeningnummer en pincode afstaan?

 

  1. Mijn wachtwoord is sterk genoeg.

Sterke wachtwoorden kunnen ook gestolen worden. Alleen een sterk wachtwoord is onvoldoende om datalekken te voorkomen en je account te beschermen van hackers. Het Nationaal Cyber Security Centrum (NCSC) heeft dit in haar factsheet benadrukt. Met 2FA zal je account niet zo snel worden overgenomen mocht je wachtwoord gestolen worden.

 

  1. Ik wil mijn privé telefoon(nummer) niet gebruiken voor het 2FA inloggen.

Het aanleveren van je telefoonnummer of emailadres is niet nodig voor 2FA. Gebruik hiervoor eenvoudig een authenticatie app. Deze app kun je zelf downloaden en daarna log je super snel in met de ontvangen code via de authenticatie app. Lees meer hierover in het artikel “Mag ik van mijn werknemers verwachten dat zij een app installeren op hun eigen mobiel om 2FA mogelijk te maken?

Ook bestaat er als alternatief voor de applicatie een hardware token. Dit is een apparaatje die een unieke code genereert zodat je daarmee kan inloggen. Veel voorkomende tokens zijn smartcards, een USB-stick, of een nummergenerator. Dit zou een perfecte oplossing zijn voor de mensen die geen applicatie op hun telefoon willen installeren.

 

  1. Het risico is niet hoog genoeg om te investeren in 2FA.

Door onder meer het werken vanuit de Cloud en het thuiswerken zijn de tijden veranderd. Tegelijkertijd blijft het aantal cyberaanvallen exponentieel toenemen volgens het Rapportage Datalekken 2021 van de AP. Als 2FA niet wordt opgenomen in de beveiligingsstrategie, blijft jouw organisatie blootgesteld aan interne bedreigingen of externe inbreuken. Hiermee voorkom je onnodige schade. Het NCSC adviseert werkgevers daarom om 2FA te implementeren. Lees hierover meer in haar factsheet ‘Gebruik tweefactorauthenticatie’.

 

  1. Mijn privé telefoonnummer wordt gebruikt voor marketing of verkocht aan derden.

De AVG schrijft voor dat jouw persoonsgegevens alleen mogen worden verzameld en verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Wanneer de gegevens later voor een ander doel worden gebruikt, dan moet dat nieuwe doel verenigbaar zijn met het oorspronkelijke verzameldoel.

Jouw organisatie heeft beleid om te voorkomen dat jouw persoonsgegevens voor andere doeleinden worden gebruikt. Dit kun je terugvinden in het privacybeleid van jouw organisatie. Kijk hiervoor bijvoorbeeld in jullie privacyreglement of privacy statement.

 

  1. 2FA is te nieuw en onbewezen.

Het is zeker niet nieuw, ook niet voor jou. Betalingen gebeuren bijvoorbeeld met 2FA door middel van je bankpas met een pincode. Ook jij hebt dit via jouw bank en gebruik je bijna dagelijks.

 

  1. Het IT-team is al overladen met het oplossen van problemen met een hogere prioriteit.

Het IT-team zal veel meer overbelast raken als een ransomware-aanval iedereen uit het systeem blokkeert. Hackers worden steeds beter in het ontfutselen van wachtwoorden, door bijvoorbeeld social engineering technieken. Door hier niet in mee te gaan, wordt de veiligheid van de gehele organisatie op het spel gezet. Dit is het laatste wat het IT-team zou willen.

 

  1. 2FA instellen is teveel gedoe.

Tegenwoordig is het een belangrijk onderdeel in de aanmeldingsprocedure en met één klik geregeld. De meeste applicaties en websites maken nu gebruik van API’s  (Application Programming Interfaces), die eenvoudig kunnen schakelen met een ja of nee-vraag: ‘Wilt u push-authenticatie inschakelen, een op tijd gebaseerde, eenmalig tijdelijk wachtwoord, e-mailverificatie, sms-verificatie?”, enzovoorts.

 

  1. 2FA ondersteunt niet de oude applicaties en systemen.

Oude applicaties en systemen hoeven hier niet voor worden aangepast. De technische ontwikkelingen hebben ervoor gezorgd dat er op verschillende manieren 2FA kan worden ingesteld. 2FA werkt als twee van de drie factoren correct zijn gebruikt:

  • Iets wat weet – Dit is je wachtwoord, pincode, toegangszin of een vergelijkbare code.
  • Iets wat je hebt – Hierbij kun je denken aan een smartcard, een pas of andere hardware.
  • Iets wat je “bent” – Dit is bijvoorbeeld je vingerafdruk, patroon van je iris, stemherkenning of je hartslag.

 

  1. Ik weet onvoldoende over 2FA om er comfortabel mee te zijn.

Voorlichting over het belang van nieuwe, effectieve beveiligingsmethoden is van groot belang voor jouw organisatie. Lumen Group helpt je graag verder hierbij.

Tip: Lees bijvoorbeeld meer over 2FA in het artikel 2FA, hoe werkt het? en in de factsheet ‘Gebruik tweefactorauthenticatie’ van het NCSC.

Vragen?

Heeft u vragen of opmerkingen, of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.