CGIT EXTRA - CloudExpo 2023
Op woensdag 6 december zijn wij afgereisd naar de Cloud Expo 2023 in Houten voor weer eens een nieuwe EXTRA aflevering!
Het was voor ons het eerste bezoek aan dit evenement dat nu voor het tweede jaar is georganiseerd.
We hebben zoals gewoonlijk de beursvloer bezocht, een aantal breakout-sessies bijgewoond en weer interessante personen gesproken.
De mensen die we wisten te spreken in deze aflevering zijn (in chronologische volgorde):
- Marco Bal - Principal Systems Engineer Benelux bij Pure Storage
- Sjoerd de Jong - Sr. Sales Engineer bij SentinelOne
- Philip van Gendt - Distribution Business Manager bij AvePoint
Luister naar ons verslag verslag van dit evenement!
Aflevering 35 - Moderne Authenticatie
Het gebruik van moderne authenticatie, dat wil zeggen met gebruikersnaam, wachtwoord en een extra apparaat (zoals een telefoon) is anno 2021 redelijk gebruikelijk zo lijkt het. Voor ons IT'ers waarschijnlijk wel maar toch blijkt het voor het grote publiek nog niet de gouden standaard.
Wat is nu precies moderne authenticatie? Hoe zien de expert het voor zich, wat zijn de trends en ontwikkelingen en krijgen we echt een leven zonder wachtwoord?
Allemaal vragen die we gesteld hebben aan Remco de Kievit en Sjaak Koekkoek. Deze 2 mannen zijn in het dagelijks leven bezig met security vraagstukken, waar moderne authenticatie een grote rol in speelt.
Remco werkt als pre sales security consultant bij Infinigate en Sjaak is werkzaam als sales director Benelux bij Yubico.
Het is weer een leuke en vooral informatieve aflevering geworden. Wil jij je steentje ook bijdragen in deze podcast? Dat kan! Geef feedback bij Apple podcast, abonneer je op deze podcast en deel de aflevering(en) met zoveel mogelijk vrienden, collega’s.
EXTRA Podcast: Infosecurity 2019
Uw razende CGIT-Reporters zijn weer op pad geweest, dit keer naar de Infosecurity beurs 2019!
De Infosecurity.nl, Data & Cloud Expo zoals de beurs officieel heet is één van de grootste vakbeurzen op ICT-gebied in Nederland waar de grote spelers samen komen om zich te presenteren met de focus op onder meer security.
De sfeer op de beurs is altijd uitgelaten en mede daardoor is het voor mij en Martijn elk jaar weer een klein feest terug te keren. Gewapend met de microfoon hebben we de nodige break-out sessies bijgewoond en sfeer geproefd op de beursvloer en aanwezige stands.
In deze aflevering komen aan het woord:
- Bert Hubert – Founder PowerDNS en ‘Geeky Entrepeneur’
- Michael van der Vaart - Chief Technology Officer ESET
- Axel van Drongelen – General Manager Egress Software Technologies
- Eddy Willems – Security Evangelist G DATA CyberDefense
- Wim Hafkamp - Manager Advisory Services / Deputy Head NCSC
28 januari, de dag van de privacy
Vandaag, 28 januari 2019 is de dag van de privacy. Deze dag is enkele jaren geleden in het leven geroepen door de Raad van Europa met steun van de Europese Commissie. Het doel van deze dag is om burgers beter te informeren over hun rechten als het gaat om het gebruik van hun persoonsgegevens door overheden, bedrijven en andere organisaties.
Bij de dag van de privacy denken we al gauw aan de Algemene verordening gegevensbescherming (hierna: AVG). Toch verwijst de dag van de privacy niet naar de invoeringsdatum van de AVG: 25 mei 2018. Er is gekozen voor de invoeringsdatum van het Dataportectieverdrag: 28 januari 1981. Het Dataprotectieverdrag kan worden gezien als de grondlegger van het privacy-recht in Europa.
Als we artikel 5 uit het Dataprotectieverdrag vergelijken met artikel 5 lid 1 AVG dan zien we veel overeenkomsten. Beide artikelen beschrijven de basisbeginselen van het privacy-recht: persoonsgegevens mogen alleen worden verwerkt voor legitieme doeleinden. Daarnaast moeten persoonsgegevens: toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Het grote verschil tussen beide artikelen staat in artikel 5 lid 2 AVG:
De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).
De Autoriteit Persoonsgegevens beschrijft deze verplichting als volgt:
De AVG legt namelijk meer nadruk op de verantwoordelijkheid van u als organisatie om aan te tonen dat u zich aan de wet houdt. Dit heet de verantwoordingsplicht. De verantwoordingsplicht houdt in dat u met documenten moeten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG te voldoen.
Hoe kan een organisatie inzicht krijgen in hoeverre ze voldoet aan de AVG?
Hiervoor zijn verschillende invalshoeken denkbaar:
- Nulmeting: inventarisatie van de huidige situatie op basis van de belangrijkste artikelen uit de AVG; de resultaten geven input aan de organisatie over het opstellen van een plan van aanpak voor het implementeren van beheersmaatregelen voor de beheersing van privacy aspecten om te voldoen aan de AVG;
- Toetsing op Volwassenheidsniveau: Bepalen van het niveau van beheersing van privacy aspecten door een organisatie. Hierbij spelen de inrichting van processen, gebruikte tooling en de uitvoering van de processen een belangrijke rol om de mate van volwassenheid te bepalen. Het onderzoek wordt uitgevoerd op basis van bijvoorbeeld het volwassenheidsnormenkader van het Centrum informatiebeveiliging en privacybescherming(hierna: CIP) voor dit onderzoek; Met de resultaten van het volwassenheidsonderzoek heeft de organisatie inzicht in het volwassenheidsniveau met betrekking tot het beheersen van de privacy aspecten in de organisatie, met deze informatie kan de organisatie bepalen of zij op het gewenste volwassenheidsniveau staat en op welke aspecten verbeteracties ondernomen dienen te worden om op het gewenst niveau te komen.
- Assurance audit: op basis van een bepaald normenkader wordt conform de ISAE-3000 richtlijn Assurance gegeven over de mate waarin de organisatie in control is op de privacy aspecten en de geïmplementeerde maatregelen. Het te hanteren normenkader hiervoor kan het Privacy Control Framework(hierna: PCF) van NOREA (de beroepsorganisatie van IT-auditors)
Een privacy-audit is hét geschikte middel om te voldoen aan de verantwoordingsplicht uit de AVG.
Het belangrijkste van een privacy-audit is het bepalen van het normenkader. De AVG is voor een privacy-audit geen geschikt normenkader omdat de AVG geen concrete normen bevat die een auditor kan toetsen. Voor een nulmeting is de AVG wel een geschikt kader. Er zijn verschillende normenkaders beschikbaar voor een privacy-audit die een auditor wel kan toetsen en dus gebruiken.
Eén hiervan is het Privacy Control Framework(PCF) van de NOREA . Het PCF maakt geen onderscheid in beheersmaatregelen voor verwerkers en verwerkingsverantwoordelijke. Het PCF kan hierdoor in veel gevallen niet integraal gebruikt worden voor een privacy-audit: bepaalde normen zullen buiten scope worden geplaatst omdat ze niet van toepassing zijn voor verwerkers.
Een privacy-audit is hiermee altijd maatwerk. Uiteindelijk moeten organisaties volgens de huidige wetgeving voldoen aan de AVG. Het voldoen aan bijvoorbeeld het PCF is enkel een middel om aan te kunnen tonen dat een organisatie voldoet aan de AVG.
Een volgende stap in de wereld van privacy-audits is het behalen van een AVG-certificaat. In artikel 42 AVG wordt de basis hiervoor gelegd. Het behalen van een AVG-certificaat is momenteel nog niet mogelijk omdat er momenteel nog geen zogenoemde certificatieschema’s zijn goedgekeurd door de Autoriteit Persoonsgegevens.
De voorzichtige verwachting is dat de eerste certificatieschema’s in 2019 worden goedgekeurd. AuditConnect houdt de ontwikkelingen hierin met belangstelling nauwlettend in de gaten.
AuditConnect heeft IT-experts op het gebied van Privacy en IT-Security en voert regelmatig o.a. privacy audits bij organisaties uit. Onze aanpak is no-nonsense en resulteert in pragmatische en betrouwbare oplossingen en adviezen. Wij realiseren deze oplossingen tegen betaalbare tarieven.
Bel 055-3010100 of mail info@auditconnect.nl om vrijblijvend te praten over de mogelijkheden en oplossingen.
Auteur: Gosse Bijlenga, Privacy Consultant AuditConnect
