Aflevering 32 - Meint Post - Veilig E-mailen
In deze nieuwe aflevering van de Come Get IT Podcast hebben we onderzoek gedaan naar de mogelijkheden van het veilig versturen van e-mails.
Mail ik niet veilig dan?
Wij merken op dat dit een vraag is die regelmatig aan ons wordt gesteld. Daarnaast spelen een groot aantal van onze collega’s met deze vraag.
Hoe los je het op? Wat is eigenlijk veilig e-mailen? Wat moeten we als organisatie allemaal veilig versturen via email?
Allemaal vragen waarmee wij jou een handje willen helpen. Dat hebben we niet alleen gedaan, maar samen met Meint Post.
Meint is de COO van Secumailer, een organisatie die zich bezighoudt met alleen maar het veilig versturen en ontvangen van beveiligde email.
Meint is een gedreven Senior-executive die met veel passie kan vertellen hoe veilig e-mailen werkt, welke meerwaarde Secumailer heeft in het huidige IT landschap en niet geheel onbelangrijk; hoe hun product ingezet kan worden.
Reden genoeg om te luisteren naar deze aflevering.
Vergeet ook niet om de podcast te abonneren om niets te missen.
Wij vinden het heel tof als je een recensie achterlaat in je favoriete podcast app.
Podcast aflevering 4 - Informatie beveiliging en privacy in de cloud
“Security, bescherming van persoonsgegevens, AVG, staat mijn data wel veilig in de cloud”
Dit lijken vrij standaard vragen en termen die je met regelmaat wel hebt gehoord. Maar hoe zit het met Informatie beveiliging en bescherming van de data. Waar kun jij samen met je klant helpen om dit op orde te krijgen? Waar moet jij zelf als consultant aan denken?
Een aantal vragen die wij voor je gesteld hebben aan Jaap Ruijgrok (Security Consultant - Avensus) en Gerhard Mars (Audit Manager - AuditConnect)
Nieuwsgierig? Just Listen and Come and Get IT!
28 januari, de dag van de privacy
Vandaag, 28 januari 2019 is de dag van de privacy. Deze dag is enkele jaren geleden in het leven geroepen door de Raad van Europa met steun van de Europese Commissie. Het doel van deze dag is om burgers beter te informeren over hun rechten als het gaat om het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties.
Bij de dag van de privacy denken we al gauw aan de Algemene verordening gegevensbescherming (hierna: AVG). Toch verwijst de dag van de privacy niet naar de invoeringsdatum van de AVG: 25 mei 2018. Er is gekozen voor de invoeringsdatum van het Dataportectieverdrag: 28 januari 1981. Het Dataprotectieverdrag kan worden gezien als de grondlegger van het privacy-recht in Europa.
Als we artikel 5 uit het Dataprotectieverdrag vergelijken met artikel 5 lid 1 AVG dan zien we veel overeenkomsten. Beide artikelen beschrijven de basisbeginselen van het privacy-recht: persoonsgegevens mogen alleen worden verwerkt voor legitieme doeleinden. Daarnaast moeten persoonsgegevens: toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het grote verschil tussen beide artikelen staat in artikel 5 lid 2 AVG:
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
De Autoriteit Persoonsgegevens beschrijft deze verplichting als volgt:
De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht. De verantwoordingsplicht houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.
Hoe kan een organisatie inzicht krijgen in hoeverre ze voldoet aan de AVG?
Hiervoor zijn verschillende invalshoeken denkbaar:
- Nulmeting: inventarisatie van de huidige situatie op basis van de belangrijkste artikelen uit de AVG; de resultaten geven input aan de organisatie over het opstellen van een plan van aanpak voor het implementeren van beheersmaatregelen voor de beheersing van privacy aspecten om te voldoen aan de AVG;
- Toetsing op Volwassenheidsniveau: Bepalen van het niveau van beheersing van privacy aspecten door een organisatie. Hierbij spelen de inrichting van processen, gebruikte tooling en de uitvoering van de processen een belangrijke rol om de mate van volwassenheid te bepalen. Het onderzoek wordt uitgevoerd op basis van bijvoorbeeld het volwassenheidsnormenkader van het Centrum informatiebeveiliging en privacybescherming(hierna: CIP) voor dit onderzoek; Met de resultaten van het volwassenheidsonderzoek heeft de organisatie inzicht in het volwassenheidsniveau met betrekking tot het beheersen van de privacy aspecten in de organisatie, met deze informatie kan de organisatie bepalen of zij op het gewenste volwassenheidsniveau staat en op welke aspecten verbeteracties ondernomen dienen te worden om op het gewenst niveau te komen.
- Assurance audit: op basis van een bepaald normenkader wordt conform de ISAE-3000 richtlijn Assurance gegeven over de mate waarin de organisatie in control is op de privacy aspecten en de geïmplementeerde maatregelen. Het te hanteren normenkader hiervoor kan het Privacy Control Framework(hierna: PCF) van NOREA (de beroepsorganisatie van IT-auditors)
Een privacy-audit is hét geschikte middel om te voldoen aan de verantwoordingsplicht uit de AVG.
Het belangrijkste van een privacy-audit is het bepalen van het normenkader. De AVG is voor een privacy-audit geen geschikt normenkader omdat de AVG geen concrete normen bevat die een auditor kan toetsen. Voor een nulmeting is de AVG wel een geschikt kader. Er zijn verschillende normenkaders beschikbaar voor een privacy-audit die een auditor wel kan toetsen en dus gebruiken.
Eén hiervan is het Privacy Control Framework(PCF) van de NOREA . Het PCF maakt geen onderscheid in beheersmaatregelen voor verwerkers en verwerkingsverantwoordelijke. Het PCF kan hierdoor in veel gevallen niet integraal gebruikt worden voor een privacy-audit: bepaalde normen zullen buiten scope worden geplaatst omdat ze niet van toepassing zijn voor verwerkers.
Een privacy-audit is hiermee altijd maatwerk. Uiteindelijk moeten organisaties volgens de huidige wetgeving voldoen aan de AVG. Het voldoen aan bijvoorbeeld het PCF is enkel een middel om aan te kunnen tonen dat een organisatie voldoet aan de AVG.
Een volgende stap in de wereld van privacy-audits is het behalen van een AVG-certificaat. In artikel 42 AVG wordt de basis hiervoor gelegd. Het behalen van een AVG-certificaat is momenteel nog niet mogelijk omdat er momenteel nog geen zogenoemde certificatieschema’s zijn goedgekeurd door de Autoriteit Persoonsgegevens.
De voorzichtige verwachting is dat de eerste certificatieschema’s in 2019 worden goedgekeurd. AuditConnect houdt de ontwikkelingen hierin met belangstelling nauwlettend in de gaten.
AuditConnect heeft IT-experts op het gebied van Privacy en IT-Security en voert regelmatig o.a. privacy audits bij organisaties uit. Onze aanpak is no-nonsense en resulteert in pragmatische en betrouwbare oplossingen en adviezen. Wij realiseren deze oplossingen tegen betaalbare tarieven.
Bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.
Auteur: Gosse Bijlenga, Privacy Consultant AuditConnect
Tech Sessie Netwrix Auditor GDPR-AVG bij SBC Solutions (8 maart 2018)
Afgelopen donderdag 8 maart was het weer tijd voor een tech-sessie op het SBC kantoor in Rotterdam.
De insteek van deze tech-sessie was dit keer de GDPR/AVG wetgeving die vanuit de EU is opgelegd. Om goed om te gaan met de uitdagingen die deze regelgeving met zich meebrengt zijn er een aantal software oplossingen op de markt beschikbaar en deze avond hebben we Netwrix auditor nader onder de loep genomen. Voor Nederland is UBM Global de officiele reseller.
Vanuit Netwrix en UBM Global waren Richard Nootebos en Dennis van Leur aanwezig om te laten zien hoe de Netwrix Auditor tooling aansluit op deze wetgeving.
Om het geheugen nog een keer op te frissen wat GDPR ook alweer is, hierbij een link naar een korte uitleg hierover: GDPR in het kort
Hier een korte samenvatting wat GDPR is op video, verzorgd door Netwrix: What is GDPR?
Netwrix en GDPR
De avond begon met een korte presentatie door Richard Nootebos over Netwrix en de relatie tussen Netwrix Auditor en de GDPR-wetgeving in het bijzonder.
Richard heeft haarfijn uitgelegd dat één van de grote consequenties van de GDPR wetgeving inhoudt dat alle bedrijven in de EU zich moeten conformeren aan de zogenaamde “Need For Better Threat Detection”. Dat betekent onder andere dat er nauwkeurig in kaart gebracht moet worden wie er toegang heeft tot privacygevoelige data binnen een bedrijf en welke autorisaties daarbij een rol spelen.
Netwrix Auditor
Na een korte pauze werd het tijd voor een diepgaandere sessie welke werd verzorgd door Dennis van Leur die ons meenam in de demo van Netwrix Auditor. In de demo werden een aantal scenario’s doorgenomen die een direct gevolg kunnen zijn van de GDPR wetgeving.
Change Audits en Video Recording
Richard liet in de demo onder andere zien hoe makkelijk het is te zien door wie, wanneer en welke data benaderd dan wel gewijzigd is (de zgn. ‘change audits’) en tevens welke personen er normaal gesproken toegang toe zouden moeten hebben. Het werd vrij snel duidelijk dat Netwrix Auditor goed in staat is om deze informatie op een gemakkelijke en overzichtelijke manier weer te geven.
De meest indrukwekkende eigenschap die hij liet zien was de mogelijkheid om fysieke handelingen en toegang op een desktop vast te leggen op video, zodat ook op deze manier altijd te herleiden is wanneer er toegang is geweest tot (gevoelige) data en wie daar voor verantwoordelijk was.
Al met al was het een leuke en leerzame avond, mede gezien de reacties van de SBC collega's.
Meer weten over Netwrix?
Voor de degene die er nog dieper op in willen duiken is deze link mee naar een serie podcasts over dit onderwerp de oeite waard:
https://www.bnr.nl/podcast/gdpr
Last but not least, de business case voor IT Auditing-tools, geschreven door Richard Nootebos:
https://www.infosecuritymagazine.nl/2015/12/17/de-business-case-voor-it-auditing-tools/
