Privacy in de spotlight: Een phishingmail. Wat nu?

De afgelopen periode is het onderwerp steeds vaker in het nieuws geweest: Phishingmails. Phishing is een vorm van internetfraude, wat bestaat uit het oplichten van mensen door ze via een valse e-mail te lokken naar websites om persoonlijke en gevoelige gegevens ‘binnen te hengelen’.

Hoe ziet een phishingmail er uit?

Een phishingmail ziet er uit als een gewone e-mail, waarin cybercriminelen zich voordoen als bijvoorbeeld je bank, overheidsinstelling, postbedrijf, webwinkel of een collega. Er wordt een verzoek gedaan om op linkjes te klikken, bijlages te openen, geld over te maken of gegevens in te vullen. Op die manier kunnen ze zorgen voor de verspreiding van virussen of geldsommen aftroggelen. Via een phishingmail kan een cybercrimineel ook toegang krijgen tot je systemen, met de persoonlijke gegevens die daarin te vinden zijn. Het systeem wordt dan als ware gehackt. Dit kan leiden tot een potentieel datalek.

Makers van phishingmails gaan steeds professioneler te werk, waardoor de kans op een hack via zo’n mail ook bij jouw organisatie kan voorkomen. Het kan lastig zijn om te bepalen wat je moet doen op het moment dat jouw organisatie te maken krijgt met phishing.

Een phishingmail. Wat nu?

Probeer allereerst kalm te blijven. Het volgende stappenplan kan je helpen om de situatie weer onder controle te krijgen.

1. Doe vooronderzoek

Probeer zo snel mogelijk vast te stellen of er sprake is van een beveiligingsincident. Gaat het om phishing, of toch iets anders? Schakel met je IT-afdeling en check of meerdere medewerkers dezelfde e-mail hebben ontvangen.

2. Beperk de schade

Het is van belang om de schade zoveel mogelijk te beperken. Dit kan gedaan worden door de link uit de phishingmail direct te laten blokkeren door de IT-afdeling. Ook moet de oorspronkelijke phishingmail door IT verwijderd worden. Stuur vanuit de organisatie een bericht naar alle medewerkers over de phishingmail, met instructies om nergens op te klikken en het eigen wachtwoord direct te wijzigen.

3. Verzamel de feiten

De volgende stap is om te achterhalen welke medewerkers wel op de link hebben geklikt en gegevens hebben verstuurd. Kortom: de impact vaststellen. Kan de IT-afdeling dit niet zelf, dan raden wij aan om zo snel mogelijk een externe partij in te schakelen.

Stel de feiten vast door een aantal vragen te stellen. Bijvoorbeeld:

  • Hoeveel medewerkers binnen de organisatie hebben de e-mail ontvangen?
  • Hoeveel medewerkers hebben op de link geklikt?
  • Wat voor gegevens bevat de phishingmail? Bevat deze alleen inhoud om inloggegevens te achterhalen, of ook inhoud om persoonsgegevens of andere gevoelige gegevens op te vragen?  
  • Bevat het gehackte e-mailaccount van de medewerker(s) veel gevoelige e-mails en/of persoonsgegevens?
  • Is het uit te sluiten dat de hacker toegang heeft gekregen tot andere gevoelige informatie?

4. Overleg met je FG en doe eventueel een (voor)melding bij de Autoriteit Persoonsgegevens

Wanneer het beveiligingsincident is vastgesteld, de feiten zijn onderzocht en duidelijk is dát er persoonsgegevens zijn gelekt, moet besloten worden of er gemeld gaat worden bij de Autoriteit Persoonsgegevens. Wanneer het langer duurt om de juiste feiten vast te stellen, kan er altijd overwogen worden om een voormelding te doen bij de Autoriteit Persoonsgegevens.

Overleg altijd met je Functionaris Gegevensbescherming. Om je zo goed mogelijk te helpen in dit soort situaties heeft Lumen Group een ‘Datalek Loket’ in het leven geroepen. Het Datalek Loket is te bereiken via 030 – 889 65 75 en via e-mailadres datalekloket@lumengroup.nl.

5. Tref maatregelen

Denk na over hoe in de toekomst dergelijke incidenten minder snel kunnen voorkomen. Zorg er ervoor dat je internetbeveiligingssoftware up to date is.  Ook is het aan te raden om alle e-mailaccounts met 2-factor authenticatie te beveiligen. Daarmee is er een extra verificatie van de identiteit bij het inloggen op de mailbox nodig, en is het account moeilijker te hacken via een phishingmail.

Bovenstaande maatregelen nemen niet weg dat de meeste incidenten en datalekken worden veroorzaakt door menselijk handelen. Zorg daarom voor voldoende bewustwording onder je medewerkers. Dit kan  gedaan worden door bewustwordingssessies gericht op phishing uit te voeren, zoals bijvoorbeeld een nep phishingsmail te versturen of door medewerkers een ‘herken de phishingmail’-test te laten doen.

Betere privacy voor oud-leerlingen met Wet register onderwijsdeelnemers

Het wordt mogelijk om langer dan één jaar oud-leerlinggegevens te verkrijgen voor evaluatie van het gegeven basisschooladvies. PO/SO scholen vragen al jaren de resultaten op van hun oud-leerlingen bij VO/VSO scholen. Dit is een belangrijke gegevensstroom waarbij PO/SO scholen een beeld krijgen of het door hun gegeven schooladvies juist is. Hierdoor kan ook de kwaliteit van het basisschoolonderwijs worden geëvalueerd.  Vooralsnog is deze gegevensoverdracht alleen mogelijk voor het eerste VO/VSO leerjaar van de oud-leerling. De wettelijke grondslag hiervoor ligt in artikel 5 Inrichtingsbesluit WVO.

PO/SO scholen hebben behoefte naar een verruiming van deze termijn. In de praktijk is gebleken dat er ook na het eerste leerjaar vaak nog gegevens worden verstrekt. Soms worden zelfs volledige dossiers of rapporten gedeeld, terwijl dit wettelijk gezien eigenlijk niet mag en niet in het belang van de privacy van de leerlingen is. Privacygevoelige gegevens worden in grote aantallen gedeeld en opgeslagen, wat de kans op bijvoorbeeld datalekken vergroot. 

Nieuwe wet: De Wet register onderwijsdeelnemers

In de nieuwe Wet register onderwijsdeelnemers wordt de termijn voor de gegevensoverdacht uitgebreid naar drie leerjaren, waardoor scholen in staat worden gesteld de kwaliteit van de advisering te verbeteren. De grondslag hiervoor is artikel 20 van de nieuwe wet Register Onderwijsdeelnemers. Dit is mede omdat er sinds 2014-2015 meer gewicht wordt toegekend aan het door de PO/SO school gegeven schooladvies. Het wetsvoorstel is op 19 februari 2019 aangenomen door de Eerste Kamer. Er wordt gestreefd naar een inwerkingtreding met ingang van 1 januari 2020.

Hoe werkt de wet in de praktijk?

De positie van individuele oud-leerlingen worden in het eerste, twee én derde leerjaar van het VO/VSO via het register onderwijsdeelnemers door DUO geleverd aan scholen voor PO of SO. PO/SO scholen krijgen dus de gegevens voortaan geautomatiseerd uit BRON verstrekt. Hierdoor hoeven scholen onderling geen gegevens meer uit te wisselen. Dit levert een groot voordeel op het gebied van informatiebeveiliging en privacy op.

Naast basisgegevens worden het leerjaar en het niveau van de leerling (schoolsoort, leerweg, uitstroomprofiel VSO) verstrekt. Onder de basisgegevens vallen in ieder geval: Identificerende gegevens, inschrijvingsgegevens, opleidingsgegevens, resultaatgegevens en overige basisgegevens. Daarnaast wordt ook het registratienummer van de VO- of VSO-school verstrekt. Uit het wetsvoorstel wordt duidelijk dat het enkel over de gegevens van de eerste drie leerjaren van het VO of het VSO kan gaan. Dit is, vergeleken met de huidige situatie, een flinke verbetering voor PO/SO scholen.

Wat is de bewaartermijn voor de teruggekoppelde gegevens?

Er is gekozen voor een bewaartermijn van vijf jaren voor de teruggekoppelde gegevens.

Levert deze nieuwe manier van gegevensoverdracht niet veel risico’s op voor de privacy van de leerlingen?

Ten aanzien van de uitbreiding van de gegevenslevering is een DPIA uitgevoerd (data protection impact assessment). Daaruit is gebleken dat de nieuwe regelgeving voldoet aan de vereisten van doelbinding en dataminimalisatie. Er is gekeken naar of er geschikte alternatieven voorhanden zijn om  het beoogde doel, namelijk het verbeteren van de kwaliteit van schooladvies, te bereiken. Het is gebleken dat dit niet het geval is.

Toekomstige ontwikkelingen

Omdat de wet nog niet inwerking is getreden, weten wij ook  nog niet precies hoe het in de praktijk zal gaan uitvallen. Wij houden de actualiteiten in de gaten en zullen updates geven waar nodig.

Privacy in de spotlight: ‘AVG-tooling’

Lumen Group vervult inmiddels al voor veel organisaties de functie van Functionaris Gegevensbescherming / Data Protection Officer. Hierdoor hebben wij een goed beeld van de privacy-volwassenheid bij onze klanten. Wij weten daarom ook welke hulpmiddelen daadwerkelijk helpen bij een structurele implementatie van de AVG/GDPR en om te groeien in privacy-volwassenheid. Eén van die hulpmiddelen is een zogenaamde ‘AVG-tooling’. In deze blog zullen wij uitleggen welke voordelen tooling heeft voor een organisatie.

Wat is AVG-tooling?

In feite creëert tooling een AVG-werkprogramma met daarin diverse relevante templates en documenten, zoals het privacybeleid en het register van verwerkingsactiviteiten. Binnen het werkprogramma zijn diverse activiteiten/werkzaamheden opgenomen die moeten worden verricht om aan de AVG te voldoen. Deze werkzaamheden kunnen worden toegewezen aan specifieke personen. Zij krijgen vervolgens (automatisch) bericht over wat, wanneer en hoe zij deze taken moeten uitvoeren.

Daarnaast beschikt de tooling over een dashboard waarin altijd een actueel overzicht van alle statussen zijn te zien. Daarmee is het mogelijk om uiteindelijk naleving van de AVG-vereisten aan te tonen. Met één klik op de knop wordt inzichtelijk wat er nog gedaan moet worden.

Wat zijn de voordelen van AVG-tooling?

Het gebruik van tooling zorgt ervoor dat het inzichtelijk en overzichtelijk is waar nog niet aan de AVG vereisten wordt voldaan. Daardoor is het makkelijker om de werkzaamheden toe te wijzen en op een efficiënte en effectieve manier uit te voeren. Ook zorgt het ook voor efficiëntere bijeenkomsten met de bestuurder en/ of raad van toezicht.

Een ander voordeel van tooling is dat continu kan worden voldaan aan de aantoonbaarheidsverplichting die de AVG kent. Binnen de workflow is namelijk ook de zogenoemde PDCA-cyclus opgenomen. Daardoor krijgen actiehouders automatisch een bericht toegestuurd met de benodigde acties. Dit zorgt er uiteindelijk ook voor dat aan de vanuit de AVG verplichte risico-gebaseerde aanpak wordt voldaan.

Tot slot is er ook een groot voordeel voor de Privacy Officer, en uiteindelijk ook de Functionaris Gegevensbescherming. Door het overzicht dat de tooling brengt is het makkelijker voor de FG/ DPO om te monitoreren en de juiste (toezichts)acties uit te voeren. Daarnaast merken wij, in onze hoedanigheid als FG, dat onze klanten die een dergelijke tooling gebruiken ook daadwerkelijk (een stuk) verder zijn in een implementatie van de AVG/GDPR in vergelijking tot klanten die geen tooling gebruiken.

Welke opties zijn er voor AVG-tooling?

Indien u of uw organisatie overweegt om tooling aan te schaffen, dan is het raadzaam om hierover advies te vragen. Wij hebben ervaring met diverse soorten tooling en kunnen u dan ook een passend advies verzorgen. Zowel wij, als onze klanten, hebben goede ervaringen met de AVG-tooling van EasyPrivacy en YourSafetyNet.

Wilt u meer weten? Nemen dan gerust contact met ons op. Wij zijn bereikbaar via telefoonnummer 030 – 889 65 75 en via e-mailadres info@lumengroup.nl.