Is het raadzaam om een cyberverzekering af te sluiten?

/in /door

Voor een optimale uitvoering van werkzaamheden zijn organisaties voortdurend bezig met het automatiseren en digitaliseren van processen en strategieën. Naast de grote voordelen die dit met zich meebrengt, gaat het ook gepaard met (nieuwe) risico’s. Cyberaanvallen, hacks, en ransomware zijn tegenwoordig voor veel organisaties niet meer onbekend. Het afsluiten van een cyberverzekering om de risico’s te dekken, lijkt daarom een logische stap. Cyber begon voor veel verzekeraars als een rendabele markt. Tegenwoordig blijkt juist dat cyberpolissen heel verlieslatend kunnen zijn, zeker in het geval van cyberschade bij grote bedrijven.[1] Dit is een reden voor cyberverzekeraars om extra kritisch te zijn bij het aannemen van nieuwe klanten. Zeker omdat cyberrisico’s zich de afgelopen jaren steeds vaker voordoen, met als gevolg een stijging van het aantal claims. In dat licht krijgt Lumen Group dan ook vaak de vraag of het nuttig is een dergelijke verzekering af te sluiten. Op deze vraag is geen eenduidig antwoord te geven, aangezien dat per situatie zal verschillen. Het is daarom voor organisaties van belang om een doordachte afweging te maken. Om hierbij te helpen, hebben wij onze visie met betrekking tot de cyberverzekering uiteengezet. Zo kunt u op basis hiervan zelf een afweging maken of een cyberverzekering voor uw organisatie wenselijk is. Wij raden wel aan om hiervoor ook advies in te winnen bij een assurantieadviseur.

Cyberverzekering

Met een goede cyberverzekering kunnen bepaalde kosten worden gedekt op het moment dat uw organisatie te maken heeft met een cyberincident. Schade anders dan financiële schade, zoals reputatieschade na een datalek, wordt niet gedekt door een cyberverzekering. Als onderdeel van een cyberverzekering ondersteunt de cyberverzekeraar meestal bij het crisismanagement na een aanval. Daarnaast ondersteunen de meeste cyberverzekeraars bij risicopreventie om het risico op cyberincidenten voor uw organisatie te verkleinen. Naast de omzet of het budget van een organisatie is dit een belangrijke factor in het bepalen van de hoogte van de verzekeringspremie. Sterker nog, dit is vaak een basisvoorwaarde om in aanmerking te komen voor de verzekeringsdekking. Pas bij een goede risico-inventarisatie is er zicht op de risico’s en kunt u een kosten-batenanalyse maken voor uw organisatie. In het licht hiervan kunt u bepalen welke beheersmaatregelen voor uw organisatie nodig zijn. Het raadplegen van een assurantieadviseur is daarnaast aan te raden.

Twee zijden van dezelfde medaille

Uiteraard kan het voor bepaalde organisaties nuttig zijn om een cyberverzekering af te sluiten. Hierbij is er echter ook een andere kant van de medaille. Het uitgangspunt is dat organisaties sowieso verplicht zijn om aan wettelijke eisen zoals de AVG te voldoen. Dit is niet ‘af te kopen’ waarbij een cyberverzekering als ‘aflaat’ dient. Het is goed om hierbij aan te geven dat een cyberverzekering vaak alleen financiële schade dekt. Met cyberverzekering worden dus bijvoorbeeld niet (altijd) reputatierisico’s beheerst. Een cyberverzekering moet dus eigenlijk worden gezien als een sluitstuk voor het restrisico: een soort vangnet waarbij organisaties zich verzekeren tegen schade die zij niet willen of kunnen dragen.

Ook eisen cyberverzekeraars, zoals hierboven ook al aangegeven, doorgaans dat organisaties de risico’s goed in kaart hebben gebracht en beheersmaatregelen hebben getroffen als voorwaarde voor het afsluiten van een verzekering. Bovendien willen ze dat een organisatie zijn noodprocedures op orde heeft voor het geval er toch een cyberincident plaatsvindt, anders komt een organisatie niet in aanmerking voor een verzekering of zullen minder kosten worden gedekt. Daarbij komt dat er niet altijd consensus bestaat omtrent de omvang van de dekking van de risico’s. De schadedekking is dus verlaagd en daarbij zijn de premies verhoogd. Vanwege deze hogere premies en extra eisen die worden gesteld, kan niet elke organisatie zomaar een cyberverzekering afsluiten of zich herverzekeren.

Risico-inventarisatie en risicobeheersing

Het uitvoeren van een risicoanalyse is een logische eerste stap. In de meeste gevallen worden organisaties zich pas bewust van cyberrisco’s op het moment dat ze gehackt zijn of getroffen worden door een datalek. Dit is eigenlijk te laat, aangezien voorkomen beter is dan genezen. Belangrijk is dus om terug te gaan naar de kern en dat betekent een gedegen risico-aanpak. Een goede risico-inventarisatie en risicobeheersing is dan ook de eerste stap. Enerzijds om zodoende op adequate wijze risico’s te beheersen. Anderzijds omdat een verzekeraar hier doorgaans om zal vragen alvorens ze hun premie opgeven. Bovendien krijgt u op deze wijze inzicht in welke gegevens voor uw organisatie van belang zijn en welke processen hieraan zijn gekoppeld. Het is van groot belang dat deze gegevens op de juiste manier beveiligd zijn, om de risico’s van een cyberaanval te voorkomen of in te perken. Lumen Group kan uw organisatie hierbij ondersteunen. Hier vindt u meer informatie wat wij voor u kunnen betekenen in het kader van risico-inventarisatie.

Beheersmaatregelen

Nadat de risico’s in kaart zijn gebracht, is het belangrijk om te bepalen hoe dergelijke risico’s beheerst kunnen worden. Hiervoor nemen organisaties in lijn met hun risicohouding (risk appetite) beheersmaatregelen. Afhankelijk van de risicohouding kunnen organisaties beheersmaatregelen nemen op het gebied van preventie, detectie, repressie, correctie, acceptatie of het overdragen van risico’s. Het afsluiten van een cyberverzekering valt bijvoorbeeld onder het overdragen van risico’s. Andere voorbeelden van beheersmaatregelen zijn het tijdig of automatisch uitvoeren van beveiligingsupdates of het toepassen van twee-factor-authenticatie (2FA). Ook kunt u netwerken segmenteren en de toegang van personen tot systemen en persoonsgegevens verscherpen. Daarnaast kunt u controleren welke apparaten en diensten bereikbaar zijn vanaf het internet en deze beschermen met een goede firewall en virusscanners. Het versleutelen van gegevensdragers kan bijvoorbeeld met een online passwordmanager. Een andere maatregel is het regelmatig maken van back-ups en deze testen. Bovendien dient u ervoor te zorgen dat elke applicatie en elk systeem voldoende loginformatie genereert. Tenslotte is het van belang dat het beleid omtrent cyberveiligheid in orde is en dat werknemers zich tevens bewust zijn van dit beleid. Lumen Group kan uw organisatie hierbij ondersteunen. Hier vindt u meer informatie wat wij voor u kunnen betekenen in het kader van het nemen van beheersmaatregelen.

Conclusie

Een cyberverzekering kan een goede beheersmaatregel zijn. Het is aan organisaties zelf om te besluiten of zij een cyberzekering een wenselijke beheersmaatregelen achten. Een eerste noodzakelijke stap is dus dat organisatie hun risico’s goed in kaart brengen. Vervolgens moeten organisaties in lijn met hun risicohouding besluiten welke beheersmaatregelen zij willen nemen, om deze daarna ook daadwerkelijk te nemen. Hiertoe kan het afsluiten van een cyberverzekering horen. In deze afweging is het belangrijk om in het achterhoofd te houden dat een cyberverzekering geen ‘aflaat’ is. Organisaties moeten namelijk altijd aan de AVG voldoen en de nodige beheersmaatregelen nemen. Daarbij komt dat de premies voor cyberverzekeringen vaak hoog zijn. U kunt zich daarom afvragen of het betalen van de premie voor uw organisatie opweegt tegen het risico dat met de verzekering wordt gedekt. 

Vragen?

Heeft u vragen of opmerkingen, of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

[1] S. van Gils, ‘Cyberverzekeraars zien aantal claims sterk stijgen en verhogen premie’, fd.nl. https://fd.nl/tech-en-innovatie/1412525/cyberverzekeraars-zien-aantal-claims-sterk-stijgen-en-verhogen-premie#:~:text=Verzekeraars%20zien%20het%20aantal%20claims,en%20cyberveiligheidsbedrijf%20Kivu%20werd%20opgesteld.

Nieuwe Standard Contractual Clauses (SCC’s)

/in /door

Op 16 juli 2020 heeft het Europese Hof van Justitie (HvJ EU) in de Schrems II-zaak het zogenoemde ‘Privacy Shield’ nietig verklaard. Dit heeft tot gevolg dat het Privacy Shield niet langer gebruikt mag worden voor de doorgifte van persoonsgegevens naar de Verenigde Staten (VS). Organisaties die persoonsgegevens doorgeven aan organisaties gevestigd in de VS moeten als gevolg hiervan aanvullende waarborgen treffen, indien zij BCR of een modelcontract gebruiken. Wat betekent dit voor uw organisatie? En heeft de Schrems II-uitspraak ook gevolg voor u indien u geen persoonsgegevens wisselt met de VS, maar wel met andere niet-Europese landen?

Achtergrond

Het doorgeven van persoonsgegevens buiten de Europees Economische Ruimte (EER) mag volgens de Algemene Verordening Gegevensbescherming (AVG) alleen indien het ontvangende land voldoende bescherming biedt. Binnen de EER is het beschermingsniveau gelijk. Er gelden daarom bijzondere regels voor doorgifte van persoonsgegevens aan organisaties en instanties gevestigd in derde landen naar zogenoemde ‘derde landen’. Deze doorgifte is dan ook alleen toegestaan indien het betreffende land een passend beschermingsniveau biedt. In dat geval kunnen persoonsgegevens worden doorgegeven op basis van een adequaatheidsbesluit, binding corporate rules (BCR), passende waarborgen of specifieke uitzonderingen.

  • Adequaatheidsbesluit

De Europese Commissie (EC) kan vaststellen dat het beschermingsniveau van een derde land vergelijkbaar is met dat van de landen waar de AVG van toepassing is via een adequaatheidsbesluit. Voor doorgifte van persoonsgegevens naar dat derde land hoeven organisaties dan geen aanvullende waarborgen te treffen. Het Privacy Shield tussen de EU en de VS was een voorbeeld van een adequaatheidsbesluit.

  • BCR

Binding Corporate Rules (BCR) zijn ‘global privacy policies’ die gelden binnen een wereldwijd opererende organisatie voor doorgifte van persoonsgegevens naar derde landen, mits deze landen een gelijkwaardig beschermingsniveau kennen.

  • Passende waarborgen

Indien geen sprake is van een adequaatheidsbeslissing is een andere passende waarborg noodzakelijk voor doorgifte van persoonsgegevens naar een derde land. Dit kan met ‘Standard Contractual Clauses’ (SCC’s). Een SCC is een modelcontract dat door de EC is vastgesteld om persoonsgegevens door te geven naar derde landen. Een SCC kan gebruikt worden mits het derde land een gelijkwaardig beschermingsniveau kent.

Naast SCC’s kunnen een goedgekeurde gedragscode of een certificeringsmechanisme als waarborg gelden voor een passend beschermingsniveau. Hiervoor stelt de AVG nog wel aanvullende voorwaarden.

  • Specifieke uitzonderingen

Tenslotte is doorgifte naar derde landen mogelijk op basis van specifieke uitzonderingen, zoals uitdrukkelijke toestemming van betrokkenen of gewichtige redenen van algemeen belang. Op de website van de Autoriteit Persoonsgegevens (AP) leest u meer over specifieke uitzonderingen.

Schrems II

Voorafgaand aan Schrems II kon doorgifte van persoonsgegevens naar de VS op een veilige manier via het Privacy Shield. Met het Schrems II-arrest is het Privacy Shield ongeldig verklaard met als gevolg dat veel Europese organisaties geen rechtsgrond meer hebben voor het doorgeven van persoonsgegevens aan Amerikaanse organisaties.

Het HvJ EU constateerde dat de Amerikaanse wetgeving verschillende tekortkomingen kent die een belemmering vormen voor een veilige doorgifte van persoonsgegevens. Dit betekent dat het beschermingsniveau van de VS niet gelijkwaardig is aan de bescherming die de AVG biedt, waardoor de VS niet langer als adequaat land wordt aangemerkt. Organisaties binnen de EER zullen doorgifte van persoonsgegevens naar de VS daarom met andere passende waarborgen, zoals bijvoorbeeld SCC’s, moeten realiseren.

Daarnaast heeft het HvJ EU in Schrems II bepaald dat partijen bij het sluiten van een SCC de garantie bieden dat de wetgeving in het derde land er niet voor kan zorgen dat de gegevensimporteur (de verwerkingsverantwoordelijke) niet kan voldoen aan de SCC. De reden hiervoor is dat de huidige door de EC vastgestelde SCC’s uit 2001, 2004 en 2010 afkomstig zijn, dus ruim voordat de AVG (2018) van kracht werd. De huidige SCC’s blijven voorlopig nog wel geldig voor doorgifte van persoonsgegevens vanuit de EEC naar een derde land, maar partijen moeten nagaan: i) of het recht van het derde land bescherming biedt in overeenstemming met de AVG, ii) welke richtlijnen gelden, iii) of er aanvullende maatregelen getroffen zijn en iv) welke omstandigheden toepasselijk zijn op de doorgifte op grond van die SCC’s. Indien de gegevensimporteur verwacht toch niet aan de SCC te kunnen voldoen, dient  hij de gegevensexporteur hierover te informeren. Het gevolg hiervan is dat exporterende organisaties zich zullen moeten inspannen voor een adequate bescherming van de gegevens en uiteindelijk de bestaande SCC’s zullen moeten vervangen.

Nieuwe SCC’s

Gezien Schrems II zijn de huidige SCC’s dan ook niet meer geschikt. Op 12 november 2020 kondigde de EC publicatie van nieuwe SCC’s aan om de doorgifte van persoonsgegevens tussen landen in de EER en derde landen te vergemakkelijken. De nieuwe SCC’s bestaan dan ook uit vier modules. Partijen kunnen op deze wijze het document verfijnen door alleen de modules op te nemen die van toepassing zijn op hun situatie. Zo zijn de nieuwe SCC’s toepasbaar in meerdere situaties.

De geformuleerde modules sluiten tevens nauw aan bij de AVG, in die zin dat een aparte verwerkersovereenkomst niet meer nodig is. Ook moet verdere doorgifte, naar bijvoorbeeld een adequaat land, ook voldoen aan de AVG. Daarbij moeten beide partijen dus kunnen aantonen dat ze voldoen aan de SCC’s. De bepalingen kunnen ook geïntegreerd worden in bredere (commerciële) overeenkomsten.

De nieuwe SCC’s kunnen worden gebruikt in de volgende situaties:

  • EU-verwerkingsverantwoordelijke naar niet-EU-verwerkingsverantwoordelijke
  • Niet-EU-verwerkingsverantwoordelijke naar niet-EU-verwerkingsverantwoordelijke
  • EU verwerker aan niet-EU-verwerkingsverantwoordelijke
  • Niet-EU-verwerker naar EU-verwerker

Tenslotte zal per doorgifte een risicoanalyse gedaan moeten worden. Alleen het sluiten van een SCC is niet meer voldoende. Een zogenoemde Data Transfer Impact Assessment (DTIA) bevat een omschrijving van de diensten die de organisatie in een derde land aanbiedt. Verder moet uit een DTIA blijken welke passende waarborgen worden getroffen en welke maatregelen zijn genomen om persoonsgegevens te beschermen, naast de SCC’s.

Wat betekent dit voor uw organisatie?

SCC’s hoeven alleen gesloten worden voor verwerkingen waarop de AVG niet van toepassing is. Om huidige SCC’s te kunnen blijven gebruiken, is het voor organisaties van belang te inventariseren welke grensoverschrijdende overdracht van persoonsgegevens onder hun verantwoordelijkheid valt. Vervolgens dienen ze een risicoanalyse uit te voeren van het gegevensbeschermingsniveau van het ontvangende land. Uiterlijk 27 december 2022 moeten bestaande SCC’s die als doorgifte-instrument worden gebruikt, worden omgezet naar een van de varianten van de  nieuwe SCC’s.

Lumen Group kan ondersteunen bij het inventariseren en implementeren van SCC’s. Ook bij het uitvoeren van een DTIA kan Lumen Group ondersteunen. Neem vrijblijvend contact op via fg@lumengroup.nl of 030 889 65 75 om de mogelijkheden te bespreken.

Wijziging Telecommunicatiewet: nieuwe regels voor telemarketing

/in /door

Per 1 juli 2021 is de Telecommunicatiewet gewijzigd. De wetswijziging heeft betrekking op regels voor telemarketing. Tot 1 juli 2021 gold een “opt-out-systeem” voor het bellen van particulieren voor marketingdoeleinden. Dit betekent dat abonnees die geen rechtspersoon zijn ongevraagd telefonisch konden worden benaderd door verkopers, tenzij ze stonden ingeschreven in het bel-me-niet-register. Vanaf 1 juli 2021 moeten telemarketeers vooraf toestemming hebben van de particulieren die ze benaderen via de telefoon. In deze blog leggen wij uit wat deze wetswijziging betekent voor uw organisatie.

Opt-in-systeem

Met de wetswijziging is een algemeen “opt-in-systeem” ingevoerd voor directmarketing via de telefoon. Het opt-out-systeem is daarmee vervallen en het bel-me-niet-register is opgeheven. Onder het oude regime konden particulieren in beginsel via de telefoon benaderd worden door marketeers, tenzij ze zich hadden ingeschreven in het bel-me-niet-register. Het nieuw ingevoerde opt-in-systeem houdt in dat particulieren vooraf expliciet toestemming moeten geven voor ongevraagde commerciële en ideële communicatie en communicatie voor goede doelen (artikel 11.7 Telecommunicatiewet). Zonder dergelijke toestemming is ongevraagde telemarketing niet toegestaan. Onder “particulieren” wordt verstaan: consumenten, eenmanszaken, vennootschappen onder firma, commanditaire vennootschappen of maatschappen waar zzp’ers vaak gebruik van maken.

Aanleiding wijziging

Op grond van signalen, meldingen, onderzoeken en gevoerde gesprekken vanuit de samenleving, consumenten belangenbehartigers en de Autoriteit Consument en Markt (ACM), die toeziet op de naleving van de regels voor telemarketing, zijn een aantal problemen geconstateerd met betrekking tot de bescherming van consumenten tegen ongewenste telemarketing:

  • Consumenten zijn over het algemeen niet gediend van ongevraagde telemarketinggesprekken;
  • Natuurlijke personen zijn een relatief kwetsbare groep voor telemarketing, in die zin dat ze ieder moment van de dag ermee geconfronteerd kunnen worden en daar hinder, irritatie en privacyinbreuken van kunnen ondervinden;
  • Telemarketing veroorzaakt onbegrip en irritatie over dat natuurlijke personen steeds voor onbepaalde tijd gebeld kunnen worden, indien zij bij een partij een product of dienst hebben gekocht;
  • Natuurlijke personen zijn onbekend met het recht van verzet, waardoor zij zichzelf niet effectief kunnen beschermen tegen ongewenste telemarketing;
  • Er bestaat problematiek omtrent de effectiviteit van toezicht door de ACM.

Gevolgen

Vanaf 1 juli 2021 moeten telemarketeers van tevoren toestemming hebben van particulieren om ze te benaderen via de telefoon voor marketingdoeleinden. Dit is anders indien sprake is van betalende klanten die hiervan op de hoogte zijn gesteld toen ze klant werden en op dat moment tevens in de gelegenheid zijn gesteld om hiertegen bezwaar te maken . Indien zij geen bezwaar hebben gemaakt, mogen zij ongevraagd gebeld blijven worden.

Verdere uitzonderingen op het toestemmingsvereiste zijn rechtspersonen die handelen in de uitoefening van een beroep of bedrijf en hun telefoonnummer speciaal voor dergelijke doeleinden openbaar hebben gemaakt.

Ten slotte vallen ook abonnees die zijn gevestigd buiten de Europees Economische Ruimte buiten het toepassingsbereik van artikel 11.7 Telecommunicatiewet, indien is voldaan aan de daar toepasselijke regels voor telemarketing via de telefoon.

Wat betekent dit voor uw organisatie?

Indien uw organisatie gebruik maakt van telemarketing, dan moet u in eerste instantie kijken of er een of meerdere uitzonderingen van toepassing zijn, zodat u geen toestemming hoeft te vragen. Als deze uitzonderingen niet van toepassing zijn, dan zult u ervoor moeten zorgen dat u wel vooraf toestemming heeft gekregen.

Om te voldoen aan het toestemmingsvereiste moet de toestemming vrij, specifiek en geïnformeerd zijn. Bovendien moet het blijken uit ondubbelzinnige wilsuiting. Dit houdt in dat de particulier vrij moet zijn om toestemming te weigeren, de particulier goed moet weten aan wie en waarvoor hij toestemming geeft en dat het geven van toestemming moet voortkomen uit een actieve handeling.

De ACM heeft aangekondigd dat ze particulieren actief zullen informeren over de aangepaste regeling en de mogelijkheid tot klagen. De Autoriteit Persoonsgegevens (AP) kan tevens handhaven wanneer sprake is van een onrechtmatige verwerking van persoonsgegevens, wat snel aan de orde zal zijn bij het gebruik van telefoonnummers van particulieren die geen toestemming hebben gegeven.

Vragen?

Heeft u vragen of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. Het is mogelijk een afspraak in te plannen via deze link

Drie jaar AVG: hoe staat het met de FG?

/in /door

Met de komst van de AVG zijn organisaties die zelf een FG aanstellen verplicht deze aan te melden bij de Autoriteit Persoonsgegevens (AP). Voorheen werden deze gegevens door de AP in een openbaar FG-register gepubliceerd. Tegenwoordig is dit register echter niet meer openbaar. Onlangs is daarom via een Wob-verzoek het FG-register van de AP opgevraagd (door Gosse Bijlenga), om op deze manier een duidelijk beeld te krijgen van de geregistreerde FG’s. Op basis van deze gegevens hebben wij een globaal overzicht gemaakt van de geregistreerde FG’s per sector en hier zijn een aantal bevindingen uitgekomen. Hieronder hebben wij onze bevindingen in drie tabellen weergegeven.

 

Geregistreerde FG’s per sector

In het totaal zijn er 11.341 FG’s geregistreerd bij de Autoriteit Persoonsgegevens. Allereerst blijkt uit de cijfers dat van het totaal geregistreerde FG’s de sector gezondheid en welzijn het grootste aandeel in geregistreerde FG’s heeft (38%). Van het totaal aantal geregistreerde FG’s werkt 15% in de sector Onderwijs, 10% in de sector Informatie en Communicatie en 8% in de sector Zakelijk dienstverlening, respectievelijk Openbaar bestuur.

Verplicht en niet verplicht FG’s per sector

Verder geven de cijfers weer dat in de sector openbaar bestuur, in verhouding tot de andere sectoren, een relatief hoog percentage aangeeft dat er een verplichte FG is (99%). Ook in de sector Onderwijs (94%) en Gezondheid en welzijn (88%) liggen deze percentages hoog. Dit ligt ook voor de hand omdat in deze sectoren het aanstellen van een FG over het algemeen verplicht is. In de sectoren Zakelijke dienstverlening en Informatie en Communicatie geeft ongeveer meer dan de helft van de organisaties aan dat een FG verplicht is (54% en 55%). Over het algemeen kan geconcludeerd worden dat als een organisatie een FG registreert, dat het aanstellen van een FG door de organisatie ook doorgaans verplicht is. Slechts 24% van de organisaties geeft aan dat zij vrijwillig een FG hebben aangesteld.

Interne of externe FG’s per sector

Het is aan de organisaties zelf om een keuze te maken tussen het intern of extern regelen van de FG-functie. In dat kader hebben wij tevens geconstateerd dat op dit moment in bijna alle sectoren het aanstellen van een FG grotendeels intern wordt ingericht (60% is intern). Desondanks zien wij op basis van eerdere gegevens dat steeds meer organisaties de voordelen van het uitbesteden aan een onafhankelijke gespecialiseerde FG inzien en daar dan ook de voorkeur aan geven. In de sector Openbaar bestuur is 66% van de FG’s intern, in de sector Zakelijke dienstverlening is dat 75% en in de sector Informatie en communicatie is dat 72%. In de sector Gezondheid en welzijn is de helft intern (50%). De enige sector waar meer externe FG’s dan interne FG’s zijn aangesteld is de sector Onderwijs (slechts 40% is intern).

Is de FG-functie binnen uw organisatie toekomstbestendig ingericht?

Lumen Group biedt een handreiking met praktische checklist voor directeuren, bestuurders en commissarissen. Krijg duidelijkheid en download onze handreiking met praktische checklist hier. Via ons FG-abonnement helpen wij organisaties aan een onafhankelijke externe toezichthouder, teneinde te voldoen aan artikel 37 AVG. Klik hier voor meer informatie over ons FG-abonnement.

Heb je vragen over de FG-functie?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75. Het is mogelijk een afspraak in te plannen via deze link.

Op welke manier kun je veilig thuiswerken? (checklist)

/in /door

Onlangs publiceerde het Centrum Informatiebeveiliging en Privacy (CIP) een praktische handreiking voor Veilig Thuiswerken. Hierin heeft zij tips voor organisaties en adviezen aan medewerkers opgenomen. Hoewel dat de handreiking het CIP primair gericht is op overheidsinstanties, vinden wij dat de tips en adviezen ook voor andere sectoren nuttig en van belang zijn. Daarom hebben wij de checklist hieronder weergegeven. De volledige handreiking van het CIP kun je hier terugvinden.

Checklist voor Veilig Thuiswerken

 

1.  Basisinstellingen van je thuiswerksituatie

Stel de juiste basisinstellingen voor veiligheid en privacy in op al je middelen in je thuiswerksituatie (laptop, computer, printer, telefoon, enz.). Wanneer je twijfelt, lees de handleiding van het apparaat of neem contact op met de helpdesk.

2. Zakelijk

  • Zorg goed voor je apparatuur en maak een veilige verbinding met internet (geen openbare verbinding zonder wachtwoord);
  • Bewaak de actualiteit van je hard- en software (dus installeer aangeboden updates zo snel mogelijk), i.v.m. de support van de leverancier;
  • Gebruik alleen vertrouwde draadloze netwerken;
  • Beveilig je draadloze netwerk met een veilig en sterk wachtwoord;
  • Update het besturingssysteem en de software op je apparatuur zeer regelmatig;
  • Gebruik voor je zakelijke activiteiten altijd je virtuele werkplek binnen de Citrix-omgeving, ook als je thuiswerkt (of managed laptop, VPN en andere MFA oplossingen);
  • Gebruik liefst een veilige app Signal of Threema i.p.v. WhatsApp, zeker als het gaat om het delen van zeer vertrouwelijke informatie;
  • Gebruik een wachtwoordenkluis.

3. Werk je op een apparaat van jezelf?

  • Installeer alle software updates direct;
  • Gebruik een goede virusscanner;
  • Verwijder eventueel lokaal opgeslagen werkinformatie onmiddellijk na gebruik (ook uit de prullenbak!);
  • Mailen naar je privé account is niet toegestaan.

4. Privé

Zet op al je privé-accounts tweefactor-authenticatie, denk aan Twitter, Facebook, Whatsapp, Gmail, Signal, Linked-in, enz. en check geregeld of je wachtwoorden zijn gelekt (bijv. op de website Scattered Secrets).

5. Je werkruimte

  • Werk thuis volgens het clean desk principe: sluit je computer na gebruik af, laat geen documenten liggen. Vergrendel ook thuis het scherm als je weggaat van de werkplek;
  • Zorg ervoor dat je de werkruimte goed opruimt, weet wat je wel en niet kunt bespreken als er mensen op gehoorafstand zijn. Bespreek vertrouwelijke informatie alleen in een afgesloten ruimte
  • Moet je echt iets printen? Gooi deze documenten na gebruik dan niet zomaar weg maar versnipper ze eerst. Of bewaar ze op een veilige plaats thuis en gooi later weg op kantoor;
  • Deel bedrijfsapparatuur nooit met familie of vrienden/bekenden. Laat hen niet meelezen op het scherm;
  • Wees voorzichtig met het plaatsen van foto’s van je thuiswerkplek/apparatuur op sociale media. Wees bewust van informatie die op de foto in te zien is.

6. Wees alert op verdachte contacten via telefoon, sms, e-mail en sociale media

  • Open geen bijlagen, klik niet op links en vul geen gegevens in, als je de afzender niet kent of vertrouwt. Dit geldt ook voor SMS- en Whatsapp-berichten en telefoontjes;
  • Verifieer of een onbekende persoon daadwerkelijk is wie hij/zij zegt te zijn (check bijvoorbeeld het e-mailadres van de afzender;
  • Verstrek nooit vertrouwelijke gegevens aan onbekenden;
  • Meld berichten die je niet vertrouwt. Je service-desk kan je waarschijnlijk helpen.

7. Online vergadersoftware

Gebruik alleen een video-vergader toepassing die door je werkgever is goedgekeurd. Niet alle programma’s voldoen aan de eisen van privacybescherming en informatiebeveiliging.

Meer tips voor Veilig Thuiswerken

Naast de checklist van het CIP voor Veilig Thuiswerken zijn er nog meer tips voor handen. Wij raden aan om de adviezen van het NCSC op te volgen. Hier vind je de link naar de website van het NCSC. Verder raden wij aan om ook de adviezen van de Autoriteit Persoonsgegevens (AP) in het achterhoofd te houden. Hier vind je de link naar de website van de AP.

Heb je vragen over veilig thuiswerken?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Hoe kan ik privacyvriendelijk online vergaderen?

/in /door

Hoe kan ik privacyvriendelijk online vergaderen?

Voor het laatst geüpdatet: 14 april 2022. De update ziet op de aanpassing van de privacyvoorwaarden van Zoom.

Lumen Group volgt de privacyontwikkelingen zowel in binnen- als buitenland. Onlangs publiceerde de Spaanse toezichthouder (AEPD) een interessant artikel over privacy bij het online vergaderen. Hierin geeft de AEPD aan waar je vanuit privacyoogpunt op moet letten bij online vergaderen. Wij hebben dit hieronder samengevat.

Online vergaderingen door middel van videobellen en spraakoproepen via video- of webservices zijn aan de orde van de dag, vooral als gevolg van de COVID-19-pandemie. Hoewel we ons steeds meer bewust zijn van de noodzaak om onze privacy en veiligheid online te beschermen, vereisen deze vergaderingen wel specifieke maatregelen.

Een recent voorbeeld hiervan vond afgelopen november plaats, toen een Nederlandse journalist Daniël Verlaan een videoconferentie van de EU defensieministers bezocht na een fout van het team van de Nederlandse minister van Defensie: de toegangscode voor de bijeenkomst was op sociale media geplaatst.

Bij het voorbereiden van een  online vergadering moet je daarom rekening houden met privacyrisico’s en ervoor zorgen dat ongewenst gedrag van gesprekspartners, (voormalige) collega’s, ontevreden werknemers of zelfs cybercriminelen wordt voorkomen. Door een aantal simpele voorzorgsmaatregelen te nemen, kun je effectief en veilig  online vergaderen én tegelijkertijd incidenten vermijden die een inbreuk op persoonsgegevens vormen of anderszins de privacy in gevaar brengen.

Basisregels voor veilige en privacyvriendelijke online vergaderingen

Hieronder zijn er een aantal basisregels voor het veilig en privacyvriendelijk online vergaderen. Deze lijst is niet uitputtend, maar geeft wel goede basistips die je kunt overwegen en toepassen. 

  • Houd je aan het organisatiebeleid met betrekking tot online vergaderingen: maak bijvoorbeeld alléén gebruik van door de organisatie goedgekeurde technologieleveranciers.
  • Wijs bij vergaderingen met een groot aantal deelnemers van meerdere organisaties één deelnemer aan die de organisator helpt met controle van deelnemers en met privacy- en beveiligingskwesties.
  • Denk van tevoren na over de gevoeligheid van de te bespreken onderwerpen, de identiteit van de aanwezigen en de mogelijke verspreiding als de meeting wordt opgenomen.
  • Beperk het hergebruik van toegangscodes/links. Als je al een tijdje dezelfde code/link gebruikt, heb je deze waarschijnlijk met meer mensen gedeeld dan je je nog kunt herinneren.
  • Als het onderwerp van de vergadering gevoelig is (t.a.v. het onderwerp en/of de identiteit van de deelnemers), moet je werken met codes, koppelingen en/of toegangspins voor éénmalig gebruik. Denk ook na over de noodzaak om tweefactorauthenticatie te gebruiken. Dit voorkomt dat iemand kan deelnemen door simpelweg de URL of code van de toegangslink te achterhalen.
  • Schakel onnodige functies zoals chatten, het delen van bestanden of het delen van schermen uit.
  • Beperk waar nodig wie het scherm kan delen om ongewenste of onverwachte beelden te voorkomen. Voordat iemand zijn of haar scherm deelt, moet je hem of haar herinneren aan het risico van het delen van gevoelige informatie.
  • Stuur de uitnodiging alléén naar specifieke contactpersonen en bij voorkeur niet naar groepen of mailinglijsten, zodat je controle houdt over de identiteit van de deelnemers.
  • Gebruik een ‘wachtkamer’ om deelnemers toe te laten en start de vergadering pas als de ‘host’ deelneemt.
  • Schakel de meldingsfunctie in wanneer deelnemers in de vergadering komen, bijvoorbeeld door een signaal/geluid of melding van hun naam. Als je provider deze optie niet biedt, vraag als host dan of nieuwe deelnemers zich willen identificeren.
  • Gebruik indien beschikbaar een paneel ter controle van de actieve deelnemers en voor identificatie van de overige deelnemers.
  • Neem de vergadering alléén op als dat nodig is. Informeer in dat geval de deelnemers van tevoren goed over het doel van de opname en wanneer deze start/stopt. Sommige providers doen deze aankondigingen automatisch.
  • Controleer voor de vergadering wat er achter je zichtbaar is en of je persoonlijke informatie onthult. Overweeg een virtuele achtergrond om de ruimte achter je te verbergen.
  • Waarschuw eventuele huisgenoten dat je een vergadering begint en neem de nodige maatregelen om hun activiteit buiten het bereik van de microfoon en camera te houden.
  • Schakel je microfoon en camera uit tijdens de vergadering wanneer dit niet nodig is, vooral als je iets gaat doen buiten de focus van de camera. Let vooral op draadloze microfoons.
  • Houd er rekening mee dat video- en audio-opname kan doorgaan, als gevolg van een menselijke of systeemfout, wanneer je denkt dat de vergadering voorbij is.
  • Wanneer de vergadering is afgelopen, moet je de camera fysiek uitschakelen (tabblad, sticker of iets dergelijks). Verwijder het niet totdat je een nieuwe verbinding opstart.

Online vergaderingen met (zeer) gevoelige gegevens

In die gevallen waarin zeer gevoelige gegevens of informatie worden besproken, is het raadzaam om een IT- en beveiligingsprofessional in je organisatie te raadplegen en, indien nodig, aanvullende voorzorgsmaatregelen te nemen:

  • Gebruik alléén door je organisatie goedgekeurde virtuele vergaderservices voor deze specifieke situaties met end-to-end-encryptie en verschillende codes of wachtwoorden voor elke deelnemer. Geef instructies zodat ze niet worden gedeeld.
  • Gebruik deelnemersdashboards ter controle wie er aan de vergadering deelnemen.
  • Blokkeer de toegang tot de vergadering zodra alle deelnemers zijn geïdentificeerd.
  • Sta alleen hosts toe om hun scherm te delen.
  • Als er opnames worden gemaakt, moeten ze worden versleuteld met een sterk algoritme en sterke wachtwoorden. Verwijder alle opnamen die mogelijk bij de provider zijn opgeslagen.
  • Vraag deelnemers expliciet om alleen apparaten te gebruiken die door de organisatie zijn geleverd en/of goedgekeurd.

UPDATE D.D. 14-04-2022: Aanpassing privacyvoorwaarden Zoom na intensief overleg met SURF

‘Na intensief overleg met SURF brengt Zoom wijzigingen aan in de privacy-afspraken voor alle Education- en Enterprise-gebruikers in Europa. Naast deze aanpassingen en nieuwe contractuele afspraken adviseert SURF instellingen zelf een aantal aanbevolen maatregelen door te voeren en nieuwe afspraken met Zoom te maken. Zodra deze zijn uitgevoerd zijn er geen hoge privacy-risico’s meer verbonden voor betrokkenen aan het gebruik van Zoom videoconferencing services, dit geldt ook voor hoog vertrouwelijke communicatie.’  Je leest hier alles over op de website van SURF.

Heb je vragen over dit artikel?

Heb je vragen of wil je meer weten? Neem dan contact met ons op. Wij helpen graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.

Benchmarkrapport AVG in het onderwijs 2020

/in /door

Hoe staat het onderwijs ervoor met de implementatie van de AVG?

De afgelopen tijd heeft Lumen Group, als marktleider in de functie van Functionaris Gegevensbescherming in het onderwijs, vele steekproeven uitgevoerd naar de invoering en naleving van de AVG in de onderwijssector. De steekproeven zijn een onderdeel van de diensten die Lumen Group verzorgt. Dit heeft een uitgebreide set aan betrouwbare data opgeleverd die is gebruikt voor deze benchmark over de stand van zaken rondom de invoering en naleving van de AVG-verplichtingen in de onderwijssector (primair onderwijs, voortgezet onderwijs en de samenwerkingsverbanden passend onderwijs).

Concrete ‘best en poor practices’
Naast de kwantitatieve en kwalitatieve resultaten hebben wij ook ‘best en poor practices’ opgenomen die wij zijn tegengekomen bij onze klanten en waarvan geleerd kan worden. Wij publiceren dit rapport met als doel om waarde toe te voegen aan de gehele sector en om de AVG goed na te leven en de privacy van o.a. leerlingen en leerkrachten te kunnen beschermen.

Voor wie is dit benchmarkrapport?
De uitkomsten van dit rapport zijn interessant voor iedereen in de onderwijssector, van besturen, brancheorganisaties tot beleidsmakers. En voor onze klanten, voor wie dit rapport de mogelijkheid biedt om resultaten van de eigen steekproef-uitkomsten te vergelijken met die uit het veld.

Geïnteresseerd?
Ben je benieuwd hoe het onderwijs ervoor staat met de implementatie van de AVG? Je kunt ons Benchmarkrapport AVG in het onderwijs 2020 aanvragen via onderstaande button.

Aanvragen

Geef jij persoonsgegevens door naar de VS? Let op: het Privacy Shield is ongeldig!

/in /door

Op 16 juli 2020 heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard. Dit heeft aanzienlijke gevolgen als jouw organisatie persoonsgegevens doorgeeft aan de Verenigde Staten, bijvoorbeeld naar Google of Microsoft. Wat het ongeldig verklaren van het Privacy Shield voor jouw organisatie betekent, leggen wij uit in deze blog.

 

Wat is het Privacy Shield en waarom werd het ongeldig verklaard?

Het Privacy Shield is een overeenkomst tussen de Verenigde Staten en de Europese Unie. Het Privacy Shield was gecreëerd om de privacy van Europese burgers te beschermen wanneer hun persoonsgegevens met Amerikaanse bedrijven werden gedeeld. Amerikaanse bedrijven die zich hebben aangesloten bij het Privacy Shield tonen aan zij dat de rechten en vrijheden van Europese burgers waarborgen. Hierdoor was het doorgeven van gegevens van Europese burgers naar bedrijven gevestigd in de Verenigde Staten toegestaan. Het Europese Hof van Justitie heeft nu geoordeeld dat er geen adequate bescherming aanwezig is, omdat Amerikaanse overheidsinstanties vrijwel onbeperkte toegang hebben tot persoonsgegevens die door Amerikaanse bedrijven worden verwerkt. Om deze reden heeft het Europese Hof van Justitie het Privacy Shield ongeldig verklaard.

De rechtszaak is een tijd geleden aangespannen door privacy activist Max Schrems. Hij voerde een zaak tegen Facebook Ierland dat gegevens deelde met Facebook California Inc. De zaak had betrekking tot de regelgeving over surveillance die nog geldt in de Verenigde Staten. Deze Amerikaanse wetgeving geeft geen beperking tot strikt noodzakelijke gegevens, zoals is vereist onder de AVG. Ook is er onvoldoende transparantie in wat er met de persoonsgegevens wordt gedaan. Hierdoor kan er ook geen controle plaatsvinden op de juistheid van de verwerkingen van persoonsgegevens én kan een burger niet optreden tegen een inbreuk op haar of zijn privacyrechten.

 

Wat zijn de gevolgen van het ongeldig verklaren?

De uitspraak heeft enorme gevolgen, en waarschijnlijk ook voor jouw organisatie. Er wordt meestal naar het Privacy Shield verwezen in de verwerkersovereenkomsten wanneer er gebruik gemaakt wordt van Amerikaanse leveranciers van diensten of software. Dit is natuurlijk van toepassing op veel clouddiensten, aangezien zij doorgaans in de VS zijn gevestigd. Toen het Privacy Shield nog geldig was, was het doorsturen van gegevens naar de Verenigde Staten nog rechtmatig (indien een organisatie hierbij was aangesloten), maar dit is nu niet meer het geval.

De Standaard Contractbepalingen (SCC) zijn nog wel geldig. Momenteel kunnen deze dus nog worden ingezet wanneer er data naar een land wordt doorgestuurd buiten de Europese Unie. Daarbij moet echter wel worden afgevraagd of dit wél de juiste bescherming biedt. Het land moet namelijk kunnen garanderen dat ze de privacy kunnen waarborgen, en dat is juist bij de Verenigde Staten nu niet het geval. De enige andere mogelijkheden zouden de Binding Corporate Rules (BCR) zijn. Deze zijn echter alleen geschikt voor grote internationale bedrijven en momenteel is er een doorlooptijd van ongeveer 5 jaar (!) voor het goedkeuren door de Autoriteit Persoonsgegevens van de BCRs.

 

En hoe nu verder?

De Verenigde Staten dienen eerst veranderingen aan te brengen in de surveillance wetgeving zodat er een juiste bescherming van persoonsgegevens van toepassing is. Hierdoor is ook de SCC op dit moment geen betrouwbare oplossing aangezien de Verenigde Staten géén juiste bescherming van persoonsgegevens kunnen bieden. Als jouw organisatie wel gebruik maakt van SCCs, dan blijven deze wel geldig, maar het is wel van belang dat er regelmatig gecheckt wordt of de wetgeving van het derde land voldoet aan de privacywetgeving in de EU. In derde landen worden persoonsgegevens mogelijk minder goed beschermd dan in de EU. Deze ‘check’ zal in de praktijk wel een behoorlijke uitdaging zijn.

Tot de tijd dat er een werkbare en praktische oplossing is voor deze situatie, staan organisaties nog voor flinke uitdagingen. Omdat er nog geen praktische oplossingen zijn, raden wij voor nu aan om in ieder geval de volgende stappen te ondernemen:

  • Ga na bij je verwerkers of zijzelf of hun sub-verwerkers persoonsgegevens doorgeven naar de VS op basis van het Privacy Shield.
  • Controleer in het verwerkingsregister bij welke verwerkingen er (mogelijk) persoonsgegevens worden doorgegeven naar de VS. Ook is het verstandig om na te gaan waar de risico’s precies zitten en daarbij te checken of de gegevens op basis van het Privacy Shield worden doorgegeven of via de SCCs.
  • Zorg er in ieder geval voor dat er op dit moment geen nieuwe verwerkersovereenkomsten worden afgesloten waarbij er persoonsgegevens met de VS worden gedeeld op basis van het Privacy Shield. Probeer de data altijd binnen de EU te houden om de bescherming van persoonsgegevens te kunnen waarborgen.

 

Update 10/11/2020:

De European Data Protection Board (hierna: EDPB) heeft op 10 november 2020 voorlopige aanbevelingen opgesteld voor de doorgifte van persoonsgegevens naar derde landen. De EDPB hoopt bedrijven hiermee meer duidelijkheid te bieden. De EDPB noemt verschillende aanvullende maatregelen die bedrijven kunnen overwegen, zoals goede encryptie en pseudonimisering. Bedrijven dienen per geval te beoordelen welke maatregel of combinatie van maatregelen nodig is om persoonsgegevens goed te beschermen.

De aanbevelingen die zijn opgesteld door de EDPB kunnen via de links hieronder geraadpleegd worden:

 

Mocht je naar aanleiding van deze blog nog een vraag hebben, stel deze dan gerust door te mailen naar info@lumengroup.nl of te bellen naar 030 – 889 65 75

Effectief AVG kennis en bewustwording waarborgen tijdens de coronamaatregelen

/in /door

Juist in tijden van corona is het erg van belang om kennis en bewustwording rondom privacy- en informatiebeveiliging actueel te houden. Waar gewerkt wordt, worden fouten gemaakt. Ook op het gebied van privacy. Zeker nu leraren (deels) op afstand werken en lesgeven, wordt de kans op bijvoorbeeld datalekken vergroot. Vooral omdat ze dit waarschijnlijk ook in de toekomst blijven doen.

Lumen Group heeft daarom in samenwerking met Academy4Learning een online leerlijn (door)ontwikkeld, genaamd ’AVG in het klaslokaal: praktische handvatten voor kennis en bewustwording’. Deze leerlijn bestaat uit een e-learning, met aanvullend een verdiepende opfriscursus. We merken in toenemende mate interesse vanuit PO, VO en MBO voor deze online leerlijn, en met goede redenen!

Waarom kiezen voor onze online leerlijn?

De e-learning is een erg effectief middel om binnen het hele lerarenteam kennis en bewustwording te vergroten. Leraren kunnen overal ter wereld en in hun eigen tijd met de e-learning aan de slag, wat juist nu heel handig is. Op laagdrempelige wijze wordt – op basis van lastige juridische termen – een praktisch denkkader aangereikt omtrent de AVG. Ook kunnen leraren vanuit huis de informatie op hun eigen tempo tot zich nemen en worden daarnaast echt uitgedaagd om meer na te denken over de privacy in het klaslokaal. De opfriscursus biedt verdieping in de onderwerpen over privacy- en informatiebeveiliging in relatie tot de AVG. Dit gebeurt aan de hand van praktijkvoorbeelden en actuele thema’s.

Na het doorlopen van de online leerlijn hebben de deelnemers kennis genomen van een praktisch én toepasbaar denkkader, hebben ze veel praktijkvoorbeelden gezien en zijn ze beter op de hoogte hoe ze om kunnen gaan met persoonsgegevens.

Waaruit bestaat de online leerlijn?

De online leerlijn loopt gedurende een periode van 12 maanden. Leraren starten met het basisdeel van ± 45 minuten, waarbij ze op een praktische manier worden meegenomen in de AVG. Na afronding van deze e-learning ontvangen deelnemers een deelcertificaat, als bewijs dat ze hebben deelgenomen.

Vervolgens wordt er 10 maanden lang iedere maand een nieuw thema beschikbaar gesteld, waarin dieper wordt ingegaan op de materie en actualiteiten. Hierbij komen thema’s als veilig thuiswerken, omgaan met rechten van betrokkenen en wachtwoorden aan bod.  Na de afronding van alle casuïstiek ontvangen deelnemers een certificaat van afronding, wat bijdraagt aan de aantoonbaarheid.

Interessant voor het bestuur: Rapportage van de vorderingen

Het is mogelijk dat de voortgang van de leraren wordt gemonitord aan de hand van een dashboard of (anonieme) rapportage. Zo kan bijvoorbeeld het bestuur op schoolniveau zien wat de vorderingen zijn. Daarbij is zichtbaar op welke vragen er goed gescoord wordt en met welke vragen de deelnemers meer moeite hebben. Dit biedt de mogelijkheid voor het voeren van verdere gesprekken over privacy- en informatiebeveiliging, zodat bewustwording op diverse manieren in de onderwijsorganisatie wordt gebracht. Ook draagt een dashboard of rapportage bij aan de aantoonbaarheid dat de onderwijsorganisatie privacy- en informatiebeveiliging serieus neemt en hierop actie onderneemt.

Meer weten?

Download de Flyer of vraag een demo aan. Voor andere vragen kunt u contact opnemen via info@academy4learning.nl.  Goed om te weten: bestaande klanten van Lumen Group ontvangen 30% korting.