Category Archives: controle

WET meldplicht Datalekken eens nader bekeken…

OMERTA INFORMATION SECURITY   7th of November 2014

LM386 Megaphone

 

 

U heeft vast wel van de Wet “meldplicht datalekken” gehoord? Of van de Prvicay verordening van de EU? Nee nog niet, of maar half?  Dan moet u dit stukje eens even goed lezen!

 

In 2015 zullen beide wetten van kracht moeten worden en zal er voor een hoop bedrijven een serieuzere approach moeten komen voor het omgaan met persoonsgegevens, of hoe men zich voorbereid op een eventueel datalek. Een informatie beveiligingsplan is wel het minste, maatregelen omtrent de beveiliging van al deze gegevens een pre.                         Sommige bedrijven zullen een “Privacy officer”moeten aanstellen.  Het CBP (College bescherming persoonsgegevens) is voor beide wetten de toezichthouder. Beide wetten richten zich op de bescherming van de consument (denk aan de gegevens waar grote social media mee moeten omgaan en profiling bedrijven,bedrijven die zicht richten op het zoveel mogelijk verzamelen van gegevens) maar ook om ervoor zorg te dragen dat er verantwoordelijkheden zijn bij het hebben van deze gegevens. Overigens de wetswijziging verloopt in Nederland vlotter dan in de EU, de doelstelling voor de privacy verordening zal nog langer op zich laten wachten.

Al op 25 januari 2012 heeft de Europese Commissie een voorstel voor een Algemene verordening gegevensbescherming ingediend bij het Europees Parlement. De verordening moet de huidige Privacy richtlijn 95/46/EG gaan vervangen. De richtlijn is in de diverse lidstaten op verschillende wijze geïmplementeerd in de nationale wetgeving en sluit ook niet goed aan op huidige en toekomstige technologieën. De voorgestelde verordening zal rechtstreeks werken in de lidstaten, zodat in de hele EU dezelfde privacyregels zullen gelden.

In 2012 werd ook een begin gemaakt met de voorbereidingen op de Wet melplicht datalekken, en is op 10 juli de ministerraad gepasseerd en ligt ter beoordeling van de Tweede kamer. Het wetsvoorstel bevat een regeling voor de meldplicht bij geconstateerde inbreuken op beveiligingsmaatregelen voor persoonsgegevens, uitbreiding van de bevoegdheid tot het opleggen van een bestuurlijke boete door het College bescherming persoonsgegevens en enige onderwerpen die voortvloeien uit de evaluatie van de Wet bescherming personsgegevens en het rapport van de Adviescommissie veiligheid en de persoonlijke levenssfeer. Deze maatregelen hebben tot doel de naleving van de wet te verbeteren.

Wie?

Dat is een goede vraag, Voor bedrijven en overheid, privaat en publiek, voor alles en iedereen die persoonsgegevens verwerkt. Als voorbeeld, bedrijven die betalingsgegevens verwerken, alle zorginstellingen, maar ook een tijdschrift met duizenden abonnees.  Zo zijn er nog tientallen voorbeelden te noemen van bedrijven die zich toch nog eens achter het oor moeten krabben en zich moeten gaan verrijken met kennis over de nieuwe wetgeving en maatregelen treffen. Overigens kunt u dat ook bij ons checken, onze juridische partners staan graag voor u klaar.

Wat?

Denk maar aan een iso 27001 traject, denk aan security monitoring van deze gegevens maar ga er mee aan de slag!

Waarom?

Omdat u dit verplicht bent, omdat u enorme boetes kan krijgen,  omdat u verantwoord onderneemt, omdat u geen imagoschade wilt lijden, omdat u zowiezo gehacked gaat worden– not if but when–, omdat u een ondernemer bent, omdat u niet failliet wilt gaan, omdat u uw hersens goed gebruikt, omdat u ……tsjaa wat moeten we eigenlijk nog meer zeggen…………

 

Remo Hardeman
CEO Omerta Information Security

 

Over de afbeelding: We willlen het eigenlijk schreeuwen van de daken, maar deze technische tekening van een megaphone vonden wij wat genuanceerder.

EEN SLECHTE BEVEILIGING HEBBEN WAAROM IS DAT NIET STRAFBAAR?

OMERTA INFORMATION SECURITY – ROTTERDAM

Wij kwamen een enorm goede blog tegen van Arnoud Engelfriet. Over responsible disclosure en waarom het hebben van een tergend slechte beveiliging eigenlijk niet strafbaar is. Het stuk is al van 12 April 2013 maar nog steeds relevant!
In onze ogen het vermelden meer dan waard. Het is Neerland mogelijk dat je in gebreke wordt gesteld omdat je geen voldoende maatregelen hebt genomen om “vernieling” tegen te gaan dan kan je dus in overtreding zijn, heel normaal in het Nederlands recht, er zijn talloze voorbeelden van in de Jurisprudentie.

 

cybercrimevanherkenningtotaangifte-140203145752-phpapp01-thumbnail-4

 

 

Juristen noemen dit een culpose variant: “Hij aan wiens schuld te wijten is dat” er gegevens worden vernield, oftewel hij die nalatig was in het voorkomen van vernieling is ook strafbaar.

Lees hier het originele stuk van Arnoud Engelfriet

 

WITTE HUIS VRAAGT TRANSPARATIE DATA BROKERS

OMERTA INFORMATION SECURITY – ROTTERDAM

 

Het witte huis heeft  in een rapport aangegeven  transparatie te willen van de grote techbedrijven en data brokers. Google, Facebook maar ook andere data verzamelaars vormen een bedreiging op de privacy van internetgebruikers en roept daarom dat het moet voldoen aan een aantal privacy transparantie regels.
aanbevelingen worden gedaan. Door tegenstanders van de “data verzamelende overheid van Amerika ” wordt geroepen dat dit rapport de aandacht moet afleiden van het data  gegraai en privacy schendende apparaat van de  NSA.

US-WhiteHouse-Logo

 

 

 

Het volledige rapport kan je hier downloaden

 

ENCRYPTIE : BOXCRYPTOR

Er zijn heel wat tools waarvan wij zeggen dat het best  goede methodes zijn om pottenkijkers buiten te houden. Sommigen van jullie hebben wel eens gehoord van Truecrypt, PGP of Cloudfogger.

Iedere week zullen we proberen een encryptietool onder de aandacht brengen met een uitleg.

Vandaag een mooie slideshare met training van Boxcryptor :

BOXCRYPTORhttp://www.slideshare.net/IDGNL/cursus-cloudopslag-beveiligen-met-boxcryptor

MAG EEN BAAS EEN BYOD MONITOREN?

Arnoud Engelfriet behandelt weer eens een intrigerende vraag. Dit maal buigt hij zich over de vraag of een baas het eigen apparaat van een werknemer (Bring Your Own Device – BYOD) mag monitoren.

Volgens Engelfriet zijn en geen specifieke rechtelijke uitspraken over. Zijn mening: Het is een afweging tussen het recht op privacy van de werknemer enerzijds en de rechten van de werkgever anderzijds. Zo mag een baas via de GPS checken of een werknemer daadwerkelijk bij een klant is of daadwerkelijk zoveel uren op locatie heeft gewerkt als opgegeven. Maar het blijft voor elke type check opnieuw een afweging.

DUITSE OVERHEIDS SPIONAGE SOFTWARE

Het lijkt erop dat de Duitse overheid software heeft aangeschaft om illegaal in te breken in computers.Dit bliijkt uit een gelekt document. Hoewel in het document geen aanwijzingen te vinden zijn welke software aangeschaft is, lijkt het erop dat het gaat om Finspy, dat de Duitse overheid al eerder testte. Finspy werd tevens gebruikt door Hosni Mubarak’s veiligheidsdiensten.

GOOGLE TRANSPARANTIE

Google publiceerde al een Transparency Report met data over hoeveel verzoeken tot verwijdering overheden aan Google deden – en met welk resultaat. Nu gaat Google dagelijks publiceren hoeveel copyright-gerelateerd materiaal en links naar dergelijk materiaal worden verwijderd door Google. Dit was al een sectie in het Transparency Report maar wordt nu als zelfstandig onderwerp onder de loupe genomen door Google omdat beleidsmakers die evalueren hoe effectief copyright-wetgeving is “af moetenwegen wat voor nevenefecten copyright regelgeving heeft op de online informatiestroom’

Google meldt dat het aantal copyright gerelateerde verwijderingsverzoeken binnen zes maanden is vertienvoudigd van meer dan 250.000 per week naar twee-en-een-half mijoen per week.

KINECT ALS CONTROLE MIDDEL?

Uit een patent dat aangevraagd is door Microsoft’s Xbox Incubation team blijkt dat Xbox 360 Kinect-achtige camera’s en sensors ingezet kunnen gaan worden om het aantal mensen dat naar een scherm kijkt te registreren. Hiermee zouden licenties gehandhaafd kunnen worden die een maximaal aantal kijkers  toestaan om naar films of evenementen te kijken.

Tel dit op bij een ander Microsoft patent dat het met behulp van Kinect mogelijk maakt om leeftijden in te schatten van kijkers en het lijkt duidelijk welke kant het op zou kunnen gaan met de Kinect.

GOOGLE-GEGEVENS NAAR DE OVERHEID

Google presenteerde haar jaarlijkse Transparency Report. Daaruit blijkt dat de Nederlandse overheid in het eerste halfjaar van 2012 59 verzoeken deed aan Google om gegevens van 59 accounts te mogen inzien. Google honoreerde 76% van deze verzoeken.

De cijfers voor het tweede halfjaar van 2011 waren: 37 verzoeken om gegevens van 49% accounts in te zien. Google gaf inzage in 59% van de gevallen.