Sensibilisering privacy en (persoons)- gegevensbescherming
52
CRANIUM BVBA copyrighted material! Vorming na zes bezoeken aan voorzieningen Bavo Van den Heuvel – Bart van Buitenen Sensibilisering privacy en (persoons)- gegevensbescherming Lente 2014 - Steunpunt Jeugdhulp
Transcript of Sensibilisering privacy en (persoons)- gegevensbescherming
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Vorming na zes bezoeken aan voorzieningen
Bavo Van den Heuvel – Bart van Buitenen
Sensibilisering privacy en (persoons)-gegevensbescherming
Lente 2014 - Steunpunt Jeugdhulp
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Bavo Van den Heuvel: handelsingenieur, computer forensisch auditor, ISO 27001 lead auditor en Certified Information Privacy Professional / Europe (CIPP/E) & Manager (CIPM)
Meer dan 17 jaar aan het werk rond informatiebeveiliging, 6,5 jaar bij Smals: eerst voor OCMW’s die aansloten op KSZ, dan als veiligheidsconsulent bij KSZ, dan bij veiligheidsdienst Smals: intern werk (cryptografische projecten) en externe klanten (OCMW’s, Vlaamse Overheid)
Vanuit CRANIUM BVBA vooral werkzaam voor Vlaamse Overheid: steeds als veiligheidsconsulent (CISO), als privacyspecialist (DPO) of voor juridisch advies rond privacywetgeving: AGIV, BZ ABB (Corve, KBI, Toezicht), BZ PIB, RWO, VEA, WSE Inspectie, WVG, O&V, federaal: RJV, intercommunale: IVAREM, andere: HP, Stad Sint-Niklaas, VITO
Oprichter, mede-eigenaar en docent van Data Protection Institute BVBA: opleidingsinstituut voor Data Protection Officers, veiligheidsconsulenten: www.dp-institute.eu
2
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Bart van Buitenen
• 12 jaar ervaring in verschillende auditing, controle en IT functies
• financieel auditor bij Deloitte, Controlling Philips Nederland en IT consultant bij verschillende bedrijven (Prodware, Cronos, …)
• Sinds 2013 als zelfstandige actief op het snijvlak van IT en privacywet (Applied Privacy)
• momenteel werkzaam als adjunct veiligheidsconsulent voor Vl. Ministerie WVG, veiligheidsconsulent bij Syntra Vlaanderen en veiligheidsconsulent bij het Nationaal Geografisch Instituut en diverse opdrachten op het gebied van privacy en informatieveiligheid.
3
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Bezoeken aan voorzieningen
• 13/2/14: De Vlieger, Deurne (Antwerpen)
• 14/2/14: Tonuso, Anderlecht
• 17/2/14: Onze Thuis, Edegem
• 18/2/14: Jeugddorp, Bonheiden
• 18/2/14: Sporen, Heverlee
• 25/2/14: De Witte Berken, Wervik
• 18/3/14: MFC Combo, Leuven
4
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Opvallend
• De aanpak rond de werking met jongerendossiers en beroepsgeheim enzo is zeer vergelijkbaar tussen de voorzieningen
• De inrichting van de informatica is heel verschillend, vaak het resultaat van groei door fusie, weinig echt gecentraliseerd, weinig kennis in huis, onbewust worden grote risico’s genomen
• De wil om het goed/beter te doen is overal aanwezig
5
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Wat kan er gebeuren?
• “Vertrouwelijkheidsovereenkomst met hen is niet nodig, vrijwilligers komen toch maar af en toe”
• Persoonsgegevens in de leefruimten: “de kasten zitten immers dicht… nee niet op slot.”
• “Backups zijn niet nodig: we hebben altijd de papieren dossiers nog”
• “Alle wachtwoorden zijn hetzelfde, dat is praktisch”
• “We hebben geen wachtwoorden: eenieder die fysiek aan de pc kan, behoort bij de begeleiding van de leefgroep”
6
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Wat kan er gebeuren?
• WEP wachtwoorden op wifi routers zijn nu binnen een half uur te kraken
• Persoonsgegevens zijn tegenwoordig onderdeel van een grote markt waar grof geld in omgaat
• Vertrouwen is de basis van alle hulpverlening: datalekken kunnen die zwaar beschadigen
• Nieuwe Europese verordening voorziet in verregaande wijzigingen zoals concrete sancties, waaronder geldboetes bij verlies persoonsgegevens
7
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Wettelijke basis van deze sensibilisering
O.a. privacywet artikel 16 (…) “§ 2. De verantwoordelijke voor de verwerking (…) moet: (…) 3° alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden; “
=> In mensentaal: jullie moeten op de hoogte zijn van de verplichtingen voortvloeiend uit de privacywet
8
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Inhoudsopgave sensibilisering
• Privacywet: definities
• Privacywet: hoe verwerken
• Veiligheidsconsulent
• Verantwoordelijke voor de verwerking
• Verwerker
• Kennisgeving
• Logging
• 10 vaststellingen en 10 oplossingen nalv bezoeken
• Veiligheidsplan
9
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Privacywet
08/12/1992 | Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (laatste update 8/7/2013)
http://www.privacycommission.be/sites/privacycommission/files/documents/CONS_wet_privacy_08_12_1992_0.pdf
10
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Privacywet art 1 Definities
• § 1. Voor de toepassing van deze wet wordt onder “persoonsgegevens” iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna “betrokkene” genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd (…)
• Voorbeelden
11
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Subcategorie: gevoelige persoonsgegevens 1/2
Verwerking is in se verboden, tenzij bepaalde maatregelen worden genomen en er een rechtmatige juridische basis voor de verwerking is:
• Artikel 6: § 1. De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven betreffen, is verboden.
• (in § 2 wordt dan omschreven wanneer dit wel kan)
• Artikel 7: § 1. De verwerking van persoonsgegevens die de gezondheid betreffen, is verboden.
• (in § 2 wordt dan omschreven wanneer dit wel kan)
12
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Subcategorie: gevoelige persoonsgegevens / anonieme gegevens 2/2
• Artikel 8: § 1. De verwerking van persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen, is verboden.
• (in § 2 wordt dan omschreven wanneer dit wel kan)
Merk op: anonieme gegevens zijn per definitie geen persoonsgegevens en vallen dus niet onder de privacywet, dat vinden we terug in: • KB 13 FEBRUARI 2001. - Koninklijk besluit ter uitvoering van de wet
van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens:
• Artikel 1: (…) 5°" anonieme gegevens " : gegevens die niet met een geïdentificeerd of identificeerbaar persoon in verband kunnen worden gebracht en derhalve geen persoonsgegevens zijn;
13
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Privacywet art 1 Definities
• § 2. Onder “verwerking” wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, …
• Voorbeelden
14
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Privacywet art 1 definities
• § 4. Onder “verantwoordelijke voor de verwerking” wordt de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. (…)
• Feitenkwestie
15
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Privacywet art 1 definities
• § 5. Onder “verwerker” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken.
• Voorbeelden: externe hosting, Merak,…
16
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Basisprincipes verwerking persoonsgegevens
Bron: http://www.homeopathienetwerk.nl/cursussen-en-lezingen-homeopathie-in-2010
17
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Basisprincipes verwerking
• Finaliteit: “de persoonsgegevens dienen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden.” (Art.4, §1, 2°).
• Voorbeelden: inschrijving op een school, een parkeerboete, opname in ziekenhuis, nieuwe werknemer inschrijven, tax-on-web aangifte
18
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Basisprincipes verwerking
• Proportionaliteit: de persoonsgegevens moeten toereikend, ter zake dienend en niet overmatig zijn, uitgaande van de doeleinden waarvoor ze worden verkregen of waarvoor ze verder worden verwerkt (art. 4, §1, 3°).
• Voorbeelden: inschrijving op een school, een parkeerboete, opname in ziekenhuis, nieuwe werknemer inschrijven, tax-on-web aangifte
• Transparantie: de gegevensverwerker heeft de verplichting tot informatie van de betrokken personen van wie de gegevens worden gebruikt (art. 9)
• Voorbeelden: inschrijving op een school, een parkeerboete, opname in ziekenhuis, nieuwe werknemer inschrijven, tax-on-web aangifte
19
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Veiligheidsconsulent
• De veiligheidsconsulent kan als interne of externe per voorziening werken, of voor verschillende tegelijk (waarbij één er werkgever is), of voor een groep van voorzieningen, of voor een koepel of ander samenwerkingsverband.
• Belangrijk is dat de veiligheidsconsulent steeds adviseert aan de verantwoordelijke van elke entiteit. Dat is vereist vanuit het BVR over de veiligheidsconsulenten http://vtc.corve.be/docs/E_GOV_decreet_BVR_VEILIGHEID.pdf.
• Hij of zij dient ook over voldoende tijd te (mogen) beschikken, gevormd te zijn en geen onverenigbare activiteiten te doen.
20
veiligheidsconsulent
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Werking
• De veiligheidsconsulent rapporteert steeds rechtstreeks aan de verantwoordelijke voor de verwerking voor zijn taken als veiligheidsconsulent
• Mogelijk zijn er conflicten als veiligheidsconsulent daar zijn andere functie andere belangen verdedigt
• Best is er ook een backup-persoon die op de hoogte is van het werk van de veiligheidsconsulent
21
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Communicatie
• De veiligheidsconsulent onderhoudt best goede contacten met:• Gebouwenbeheerder(s) van alle
locaties waar er persoonsgegevens verwerkt worden
• Directie
• Preventie-dienst / preventie-adviseur ihkv arbeidsveiligheid
• IT-verantwoordelijke
22
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Rol veiligheidconsulent
• Adviserende, stimulerende, documenterende en controlerende opdracht inzake informatieveiligheid
• De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico's niet voldoende ernstig zijn.
• Wettelijke basis onder andere: http://vtc.corve.be/docs/E_GOV_decreet_BVR_VEILIGHEID.pdf
23
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Taken veiligheidsconsulent
• Verantwoordelijk voor de uitvoering van het veiligheidsbeleid
• Als adviseur onder rechtstreeks gezag van verantwoordelijke dagelijks bestuur
• Kennis over informatieveiligheid en IT van zijn instantie• Voldoende tijdsbesteding• Goed getraind• Geen onverenigbaarheden• => nog meer eisen in Europese verordening
24
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Verantwoordelijke voor de verwerking 25
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Verantwoordelijke voor de verwerking: taken
Privacywet artikel 16:
§ 2. “De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in Belgie moet :
1° er nauwlettend over waken dat de gegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met de artikelen 4 tot 8, worden verbeterd of verwijderd;=> KWALITEIT GEGEVENS
2° ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun takenof tot hetgeen noodzakelijk is voor de behoeften van de dienst; => GEBRUIKERSBEHEER, LOGGING, CONTROLE
26
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Verantwoordelijke voor de verwerking: taken
Privacywet artikel 16:
§ 2. “De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in Belgie moet :
3° alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden;=> VORMING
4° zich ervan vergewissen of programma's voor de geautomatiseerde verwerking van persoonsgegevens in overeenstemming zijn met de vermeldingen van de aangifte waarvan sprake is in artikel 17 en dat er geen wederrechtelijk gebruik van wordt gemaakt.”=> IN LIJN ZIJN MET WETGEVEND KADER (“compliancy”)
27
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Verwerker 28
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Het werken met verwerkers
• Verplichtingen verantwoordelijke voor de verwerking tov verwerker(s)
Merk op: als we het zelf verwerken, worden we niet als verwerkers beschouwd: privacywet: art 1 § 5. Onder “verwerker” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken.
29
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Verantwoordelijke voor de verwerking –verwerker: taken
Privacywet artikel 16:
§ 1.“Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in Belgie :1° een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking;
30
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Verantwoordelijke voor de verwerking –verwerker: taken
Privacywet artikel 16:2° toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen;3° de aansprakelijkheid van de verwerker ten aanzien van de verantwoordelijke voor de verwerking vaststellen in de overeenkomst;
31
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Verantwoordelijke voor de verwerking –verwerker: taken
Privacywet artikel 16:
4° met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verantwoordelijke voor de verwerking en dat de verwerker is gebonden door dezelfde verplichtingen als deze die waartoe de verantwoordelijke in toepassing van paragraaf 3 is gehouden;
5° in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de gegevens en de eisen met betrekking tot de maatregelen bedoeld in paragraaf 3 vaststellen.”
! Wordt nog strenger ihkv nieuwe Europese verordening
32
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Taken verwerker
• Verwerker dient dezelfde beveiligingsmaatregelen te nemen als die die de verantwoordelijke dient te nemen
• Verwerker mag de gegevens niet voor een ander doeleinde aanwenden als voor dewelke de verantwoordelijke hem deze toevertrouwde => nieuw verordening: anders wordt hij voor deze verwerking als verantwoordelijke beschouwd
• Verordening art 26 nieuw: vertrouwelijkheidsverplichting personeel (nu al Sect Com RR)
33
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Kennisgeving: praktisch
• Op de website (typisch)• Als bijlage aan een in te vullen papieren/digitaal formulier • Afgedrukt uitgehangen aan het loket• Als deel van de algemene voorwaarden• In een apart pamflet: bv Google Streetview• In een advertentie: bv verkeersbordendatabank (mobile
mapping Cyclomedia)In het kort: “by all means”Uitdaging verordening: er “een spoor” van hebbenExtra: overlopen url’s website: http://www.dp-institute.eu/data-protection-informatie/
34
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Logging en traceerbaarheid 35
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Art 16
Artikel 16
§ 2. De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in België moet (…)
2° ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst;
=> Controle hierop = afdoende logging registreren en deze achteraf nakijken
36
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Consultatiegeschiedenis van mijn dossier: tot 6 maanden terug! 37
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Vaststellingen tijdens de bezoeken
• Niet voldoende kennis over hoe, welke informatie wanneer mag worden vrijgegeven: via telefoon, mail of anderzijds
• Persoonsgegevens niet in leefruimten bewaren: dit geldt voor PC’s, laptops, dossierkasten, etc.
• Niet de juiste wachtwoordbeveiliging: soms overal hetzelfde of geen wachtwoord, standaard wachtwoorden van de fabrikant
• Thuiswerk of persoonsgegevens in transit: onbeveiligde USB sticks, laptops zonder vorm van beveiliging, update software
• Wifi niet (voldoende) beveiligd, gedeeld netwerk met dat ook door jongeren gebruikt wordt zonder scheiding
38
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Vaststellingen tijdens de bezoeken
• Persoonsgegevens niet altijd verstuurd via beveiligde kanalen, attachments met persoonsgegevens zonder beveiliging
• Oude hardware niet “gewiped” (data terug te halen), oud papier niet (voldoende) versnipperd
• Jongeren zijn niet (voldoende) voorgelicht over gebruik sociale media, wat mag er wel en wat mag er niet op
• Personeel: Geen vaste procedures voor in– en uitdiensttredingenmbt apparatuur en rechten op systemen, vrijwilligers tekenen niet standaard een vertrouwelijkheidsovereenkomst
• Fusies (bijv. i.h.k.v. EMK) hebben geleid tot gefragmenteerde IT
39
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
1. Wifi
• Vaststelling: wifi is niet goed beveiligd, te zwakke beveiliging gekozen (encryptie), te kort wachtwoord, te veel mensen weten wachtwoord
• Quickwin: een moeilijker wachtwoord en beveiliging instellen op de wifi: • Achtergrond:
http://support.nl.belgacom.be/app/answers/detail/a_id/15495/~/beveiligd-netwerk%3A-een-wpa-sleutel-is-veiliger-dan-een-wep-sleutel
• Tips: https://nl.wikibooks.org/wiki/Veilig_op_het_internet/Draadloos_internet
• Nog tips: http://www.pepermunt.net/internet-toegang/wifi-installeren.html
40
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
2. Vernietigen en wipen
• Vaststelling: Papieren documenten worden niet onherstelbaar vernietigd, oude hardware wordt niet onherstelbaar leeggemaakt (gewist)
• Quickwin: gebruik shredders die onherstelbaar shredden (DIN 32757 norm, 6 klasses naar vertrouwelijkheid), gebruik tools zoals DBAN (http://www.dban.org/) voor data wipes, laat evt. oud papier en hardware ophalen door gespecialiseerde firma • Achtergrond:
• http://www.engineersonline.nl/nieuws/id22696-innovatieprijs-voor-reconstructie-versnipperde-stasi-documenten.html
• https://nl.wikipedia.org/wiki/Gegevensherstel
• Tips rond wissen: http://youtu.be/8tOMYyAH7Hs?t=54s• Nog tips: www.bestuurszaken.be/vernietigen-van-
archiefdocumenten#aandachtspunten
41
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
3. Wachtwoorden
• Vaststelling: wachtwoorden gebruikt men vaak niet, als ze er toch zijn: gedeeld of niet complex genoeg, wachtwoorden zijn/blijven de standaard fabrikant wachtwoorden
• Quickwin: altijd wachtwoorden activeren, iedere persoon een eigen wachtwoord, gebruik van wachtwoorden met voldoende complexiteit, verander altijd standaard wachtwoorden op apparatuur• Achtergrond: https://www.microsoft.com/nl-nl/security/pc-
security/password-checker.aspx
• Tips: http://www.onemorething.nl/2014/01/schijnbeveiliging-de-slechtste-wachtwoorden-van-2013/
• Nog tips: http://www.digibewust.nl/onderwerpen/wachtwoorden
42
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
4. Gebruik sociale media
• Vaststelling: er zijn niet (voldoende) richtlijnen bekend voor het gebruik van sociale media, zowel voor jongeren als eventueel voor begeleiders
• Quickwin: communicatie met jongeren, ouders, pleeggezin e.d. via sociale media kan met oog voor het beroepsgeheim en privacy regels, wees terughoudend met informatie, deel nooit persoonsgegevens van betrokkenen, stel schriftelijke richtlijnen op voor gebruik• Achtergrond: http://www.ikbeslis.be/, • Tips: https://www.safeonweb.be/nl/tips/hoe-veilig-gebruik-maken-van-
sociale-media• Nog tips:
http://www.steunpuntjeugdhulp.be/?action=juridische_faqlijst&categorie=88&titel=Privacy&select_page=90
http://communicatie.vlaanderen.be/nlapps/docs/default.asp?fid=171• Controleer wat je vindt over je voorziening online: via Google kom je veel
te weten!
43
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
5. Thuiswerk / extern
• Vaststelling: Thuiswerk of persoonsgegevens in transit zijn niet voldoende beveiligd, onbeveiligde USB sticks, laptops zonder encryptie
• Quickwin: versleuteling van laptops, gebruik van tools om bestanden te versleutelen (Truecrypt, 7zip), Cloud raden we af! Toch doen? Kies in ieder geval beveiligde cloud oplossingen (b.v. https://wuala.com/nl) • Achtergrond ivm encryptie: https://decorrespondent.nl/691/hoe-werkt-
encryptie-op-internet/33649627-2ba0e23a• https://www.privacyassociation.org/media/presentations/13DPC/DPC13_
Data_Encryption_PPT.pdf (in het engels)• Tips: http://forum.kpn.com/t5/Ondernemen-in-de-Cloud/5-Tips-en-3-
oplossingen-om-je-bestanden-te-beveiligen/ba-p/144963• Tips installatie encryptie:
http://www.geenstijl.nl/archives/images/TrueCrypt534.jpg
44
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
6. Personeel
• Vaststelling: Geen vaste procedures voor in– en uitdiensttredingen mbt apparatuur en rechten op systemen, vrijwilligers tekenen niet standaard een vertrouwelijkheidsovereenkomst
• Quickwin: zorg voor een checklist bij in- en uitdienstreding zodat geen stappen overgeslagen worden, leg de voorwaarden rond gebruik hardware en vertrouwelijkheid ook voor vrijwilligers vast• Achtergrond voor vrijwilligers en vertrouwelijkheid:
http://wvg.vlaanderen.be/vrijwilligers/documenten/onderzoek2009/Brochure%20vertrouwelijke%20info.pdf
• Tips personeel en PC: https://ksz.fgov.be/binaries/documentation/nl/securite/policies/isms_048_inzake_goede_praktijken_eindgebruiker_n.pdf
45
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
7. Social Engineering
• Vaststelling: Niet voldoende kennis over hoe, welke informatie wanneer mag worden vrijgegeven: via telefoon, mail of anderzijds, kwetsbaar voor social engineering (SE)
• Voorbeeld: interimkantoor belt… voor een jongere die gekend is, met een job-aanbieding die erg goed past bij zijn/haar profiel
• Quickwin: voor iedereen moet duidelijk zijn welke informatie wel niet gegeven kan worden en onder welke omstandigheden, bij onbekende bellers of emails: wees gerust proactief paranoide, paranoia werkt niet retroactief!• Achtergrond: https://www.sogeti.nl/sites/default/files/Sogeti-Social-
Engineering-Rap.pdf• Tips tegen SE: http://computerworld.nl/beveiliging/79209-4-adviezen-
tegen-social-engineering• Tips waarom SE werkt: http://www.trendmicro.nl/media/br/5-reasons-
why-social-engineering-tricks-work-nl.pdf
46
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
8. Beheer PC: Software
• Vaststelling: Software wordt niet structureel up to date gehouden, zowel programma’s als OS, gedeeld gebruik PC leidt tot risico’s
• Quickwin: upgrade windows XP pc’s, zorg dat alle software up to date is (hier zijn ondersteunende tools voor: zeker Adobe Reader en Flash en Java zijn hierin essentieel)
• Er zijn databases online met niets anders dan informatie over zwakheden in oude software (v.b. http://www.cvedetails.com/)
• Quickwin: bij gedeeld gebruik laptops aparte accounts zonder admin rechten• Achtergrond: http://windows.microsoft.com/nl-nl/windows/end-support-help• Tips: http://computertotaal.nl/apps-software/software-van-derden-automatisch-
updaten-30002• Tips accountbeheer: http://computertotaal.nl/apps-software/windows-7-
gebruikersaccounts-25818
47
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
9. Beheer gegevens
• Vaststelling: persoonsgegevens worden soms bewaard in openbaar toegankelijke ruimtes (jongeren, bezoekers)
• Quickwin: niet altijd kant en klare oplossing, maar houd rekening met volgende risico’s:• Integriteit: hoe kan men vaststellen dat één of meerdere
pagina’s uit een dossier ontbreken, niet alles is digitaal beschikbaar
• Vertrouwen is de basis van de hulpverlening: datalekken zullen vertrouwen van de jongere en zijn context schaden
• Denk ook aan aansprakelijkheid bij verlies gegevens
• Wandel eens door gebouw alsof je zelf “een bezoeker” bent
48
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
10. Werken op verschillende locaties
• Vaststelling: vele voorzieningen hebben vele verschillende locaties vanaf waar men moet kunnen werken aan dossiers. Alle pc’s zitten niet echt op één netwerk met één fileserver en dus gebruikt men onveilige manieren.
• Quickwin:• Maak een tekening van hoe alles aan elkaar hangt
• Bekijk wie er waar aan wat moet kunnen
• Voorkeur: laat iedereen beveiligd (via vpn: software of hardware) verbinden naar de hoofdlocatie: daar staat de fileserver (kan een eenvoudige NAS zijn), en is er een gecontroleerde (firewall) toegang tot internet (ook voor de computers van de jongeren)
• NAS of server: http://www.elinea.nl/artikel/nas-of-server
• Misschien zijn er mogelijkheden via wat je kan bekomen via https://www.socialware.be/nl (verder te bekijken per voorziening)
49
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Veiligheidsplan
• Horizon 3 jaar:
• Prioriteit op meest kritische toepassingen
• Alligneren met ander plannen
• Jaarlijks update ronde doen van wat er al opgestart was
• Na sensibilisering controles doen in opdracht directie
• Inventarissen bijhouden
50
Beveiligin
gsorgan
isatie
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
ISP
• Information security policy: een set van richtlijnen ivm informatiebeveiliging, kan zowel gelden voor interne als externe medewerkers
• Deze richtlijnen dienen in overleg opgesteld te worden, bekrachtigd te worden door de directie, gepast gecommuniceerd te worden, aangeleerd en gecontroleerd
• Niet alles in één keer: prioriteit op waar volgens jou de grootste risico’s zitten
51
Beveiligin
gsorgan
isatie
CR
AN
IUM
BV
BA
co
pyr
igh
ted
mat
eria
l!
Bedankt! 52
