GDPR - AVG - Informatieveiligheid

Door de General Data Protection Regulation (GDPR) of Algemene Verordening Gegevensbescherming (AVG) krijgen burgers meer zeggenschap en bescherming over hun gegevens. Er is één geheel van regels voor alle bedrijven die actief zijn in de EU. Dit is een goeie zaak voor iedereen die zijn persoonsgegevens bezorgd aan iemand anders. De GDPR gaat niet over boetes, maar over een bewustwording. Elk bedrijf, organisatie, vereniging, overheidsinstelling, ... die persoonsgegevens verwerkt moet er over waken dat de gegevens voldoende worden beschermd.

Alles start met de persoonsgegevens van een natuurlijk persoon. In het GDPR verhaal noemt men hem de betrokkene. De betrokkene heeft een aantal rechten die hij kan uitoefenen (inzagerecht, vergetelheid, verbetering, overdraagbaarheid,...).

De natuurlijke persoon, rechtspersoon of de overheidsinstantie die de persoonsgegevens verwerkt is de verwerkingsverantwoordelijke. Persoonsgegevens zijn alle gegevens over een geïdentificeerde of identificeerbare persoon. Bijvoorbeeld een naam, foto, IP-adres, ... De verwerkingsverantwoordelijke bepaalt het doel en de middelen van de verwerking. Hij verzamelt, beheert, raadpleegt, verspreidt, verwijdert... persoonsgegevens.  

De gegevens over een persoon kunnen we in twee categorieën opsplitsen: gewone en bijzondere gegevens. Bijzondere gegevens (ras, religie, politieke overtuiging,...) mag u niet verwerken tenzij u van de betrokkene daarvoor toestemming hebt gekregen of onder voorwaarden beschreven in de GDPR/AVG verordening.

Hieronder vindt u de vier pijlers om de GDPR/AVG verordening te implementeren in uw bedrijf, organisatie, vereniging,... 

1. Ontdekken

  • Waar en welke persoonsgegevens worden er opgeslagen in uw bedrijf of organisatie?
  • Categoriseer de persoonsgegevens.
  • Noteer hoe, waarom en hoelang de persoonsgegevens worden gebruikt. 
  • Welke grondslag is er voor de verwerking van deze gegevens?
    Zijn deze gegevens strikt noodzakelijk?
  • Kan het ook met minder gegevens?

2. Beheren

  • Is er een functionaris voor gegevensbescherming benoemd?
  • Bestaat er een informatieveiligheid en privacy beleid.
  • Kunnen de betrokkenen hun rechten uitoefenen.

3. Beschermen

  • Zijn de (gevoelige) persoonsgegevens versleuteld en voldoende beschermd.
  • Is er een actieplan voor het opvangen van gegevenslekken.
  • Worden de technische en organisatorische beveiligingsmaatregelen op regelmatige basis geëvalueerd.
  • Wat kan er gebeuren als de gegevens in verkeerde handen vallen?
  • Hoe zien de beveiligingsmaatregelen eruit?

4. Rapporteren

  • Kan de naleving van de GDPR-verordening worden aangetoond (register, privacyverklaring, beleidsteksten, bewustwordingscampagnes, procedures...). 
  • Is er een rechtsverwerkingsgrond voor alle verwerkingsactiviteiten.
  • Werd er voor de verwerking een risicoanalyse uitgevoerd op de verwerkingsactiviteiten met een hoog risico.

Nuttige webadressen

De GDPR verordening GDPR verordening http://www.privacy-regulation.eu/nl/
De GDPR verordening GDPR verordening HTML https://tinyurl.com/GDPRverordening
De GDPR verordening Gegevensbescherming binnen en buiten de EU https://ec.europa.eu/info/law/law-topic/data-protection_nl
De GDPR verordening Council of Europe Data Protection website https://www.coe.int/en/web/data-protection
De GDPR verordening Wat de GDPR voor u en uw bedrijf betekent http://ec.europa.eu/justice/smedataprotect/index_nl.htm
De GDPR verordening European Union Agency for Network and Information Security https://www.enisa.europa.eu
     
Computer Emergency Response Team (CERT) Fox IT https://www.fox-it.com/nl
Computer Emergency Response Team (CERT) Het federale Computer Emergency Response Team https://cert.be/nl
Computer Emergency Response Team (CERT) No More Ransom Project https://www.nomoreransom.org
Computer Emergency Response Team (CERT) Ransomware Recovery First Responders https://www.coveware.com
Computer Emergency Response Team (CERT) NVISO (België) https://www.nviso.eu
Computer Emergency Response Team (CERT) Computer Emergency Response Team (CERT-EU) voor de EU instellingen https://cert.europa.eu/
     
Cyber security (national public authorities) LSEC, the European ICT Security Cluster https://www.leadersinsecurity.org
Cyber security (national public authorities) Cyber Security Centre Belgium https://ccb.belgium.be/nl
Cyber security (national public authorities) Safe On Web https://www.safeonweb.be/
Cyber security (national public authorities) Nationaal Cyber Security Centrum Nederland https://www.ncsc.nl/
Cyber security (national public authorities) The Cyber Security Coalition https://www.cybersecuritycoalition.be/
Cyber security (national public authorities) National Cyber Security Centre (UK) https://www.ncsc.gov.uk
Cyber security (national public authorities) Het Nederlands Security Meldpunt https://www.securitymeldpunt.nl
Cyber security (national public authorities) Criminaliteit op het internet https://www.politie.be/5461/vragen/criminaliteit-op-internet
     
Cyber security organisaties Women in CyberSecurity (WiCyS) https://www.wicys.org/
     
Cybersecurity (hack) tools Free Online Website Malware Scanner https://quttera.com/website-malware-scanner
Cybersecurity (hack) tools Analyze suspicious files and URLs to detect types of malware https://www.virustotal.com/gui/home/upload
Cybersecurity (hack) tools I got phished https://igotphished.abuse.ch
Cybersecurity (hack) tools Vind (sub)domains https://dnsdumpster.com
Cybersecurity (hack) tools Is uw e-mailadres gecompromitteerd? https://haveibeenpwned.com
Cybersecurity (hack) tools Google Hacking Database https://www.exploit-db.com/google-hacking-database
Cybersecurity (hack) tools Kali Linux Download https://www.kali.org/downloads
Cybersecurity (hack) tools People search https://pipl.com
Cybersecurity (hack) tools Vidstrom labs https://vidstromlabs.com/freetools
Cybersecurity (hack) tools Center for internet security (CIS) https://www.cisecurity.org
Cybersecurity (hack) tools Precise Security https://www.precisesecurity.com
     
Cybersecurity bedrijven White Ops https://www.whiteops.com
Cybersecurity bedrijven Toreon https://www.toreon.com
Cybersecurity bedrijven SentinelOne https://www.sentinelone.com
Cybersecurity bedrijven Skyforce https://www.skyforce.be
Cybersecurity bedrijven Barracuda networks https://www.barracuda.com
Cybersecurity bedrijven The Cybersecurity Observatory https://www.cybersecobservatory.com
Cybersecurity bedrijven Cybersprint (Ned) https://www.cybersprint.com/
     
Cybersecurity boeken Digitale selfdefense https://www.digital-selfdefense.com
     
Cybersecurity certificaten CRISC Certified in Risk and Information Systems Control
Cybersecurity certificaten CISM Certified Information Security Manager
Cybersecurity certificaten CISSP Certified Information Systems Security Professional
     
Cybersecurity Endpoint Protection Crowdstrike https://www.crowdstrike.com/
     
Cybersecurity initiatieven Oktober is Cyber Security maand https://cybersecuritymonth.eu
     
Cybersecurity IoT Search engine for the Internet of Things https://www.shodan.io
     
Cybersecurity nieuws Security nieuws en forum https://www.security.nl
Cybersecurity nieuws Cybercrime info https://www.cybercrimeinfo.nl/
Cybersecurity nieuws Hackers Online Club https://hackersonlineclub.com/
     
Cybersecurity trainingen voor kinderen Spel https://www.joinhackshield.nl
Cybersecurity trainingen voor kinderen Hack in the class https://hackintheclass.nl
Cybersecurity trainingen voor kinderen Serious game Alcatraz https://www.eurofins-cybersecurity.com/serious-game-alcatraz
Cybersecurity trainingen voor kinderen Cyber security education for pupils https://cyberschool.ac
Cybersecurity trainingen voor kinderen Mediawijsheid Nederland https://www.mediawijsheid.nl/
Cybersecurity trainingen voor kinderen Bewaak je privacy https://www.bewaakjeprivacy.be
Cybersecurity trainingen voor kinderen Jezelf online beschermen is Cyber Simple https://www.cybersimple.be/nl
Cybersecurity trainingen voor kinderen Gamechangers houd jongeren weg bij cybercrime:https://publicaties.politie.nl/changeyourgame
Cybersecurity trainingen voor kinderen Virtual Cyber School https://cyber-school.joincyberdiscovery.com
Cybersecurity trainingen voor kinderen CyberFirst https://www.ncsc.gov.uk/cyberfirst
Cybersecurity trainingen voor kinderen CyberLand https://www.cybersecuritychallenge.org.uk
     
Cybersecurity trainingen voor personeelsleden Phished https://phished.be Automated Phishing Simulations
Cybersecurity trainingen voor personeelsleden MediaPRO Cybersecurity & Privacy Education https://www.mediapro.com
Cybersecurity trainingen voor personeelsleden Cyber Risk Aware https://www.cyberriskaware.com
Cybersecurity trainingen voor personeelsleden Cybersecurity training https://www.sans.org
Cybersecurity trainingen voor personeelsleden KnowBe4 https://www.knowbe4.com
Cybersecurity trainingen voor personeelsleden Veilig internetten https://veiliginternetten.nl
Cybersecurity trainingen voor personeelsleden Your Safety Net https://www.yoursafetynet.com
     
Cybersecurity verzekering Hiscox https://www.hiscox.com/cybersecurity
     
Cybersecurity WiFi Wireless Network Mapping https://wigle.net
     
Data classificatie tool Open Raven https://www.openraven.com
     
Ethisch hacken The intigriti platform https://www.intigriti.com
     
GDPR (informatie) GDPRhub open wiki https://gdprhub.eu
     
GDPR boetes Overzicht GDPR boetes en rechtszaken https://www.dailybits.be/item/overzicht-gdpr-boetes-rechtszaken/
     
GDPR Informatiebeveiliging- en privacybeleid Aanpak informatiebeveiliging en privacy in het onderwijs https://aanpakibp.kennisnet.nl/
     
GDPR management tools GDPR Management Tool - OmniPrivacy https://www.omniprivacy.be/
GDPR management tools GDPR Butler https://gdpr-butler.eu
     
GDPR professionals The International Association of Privacy Professionals https://iapp.org
GDPR professionals Nederlandse beroepsvereniging van Functionarissen voor gegevensbescherming https://www.ngfg.nl
GDPR professionals Platform voor InformatieBeveiliging https://www.pvib.nl
GDPR professionals (ISC)² NL https://chapter.isc2.nl
     
Geautoriseerde toezichthouders European Data Protection Board (EU) https://edpb.europa.eu/edpb_nl
Geautoriseerde toezichthouders Privacycommissies in de EU

https://www.gegevensbeschermingsautoriteit.be/privacycommissies-de-europese-unie-eu

Geautoriseerde toezichthouders Gegevensbeschermingsautoriteit (BE) https://www.gegevensbeschermingsautoriteit.be/
Geautoriseerde toezichthouders Ik beslis https://www.ikbeslis.be (GBA)
Geautoriseerde toezichthouders Bescherm je gegevens https://www.beschermjegegevens.be/ (GBA)
Geautoriseerde toezichthouders Vlaamse Toezichtcommissie (BE) https://overheid.vlaanderen.be/vlaamse-toezichtcommissie
Geautoriseerde toezichthouders Autoriteit Persoonsgegevens (NED) https://autoriteitpersoonsgegevens.nl
Geautoriseerde toezichthouders National Commission for Data Protection (LUX) https://cnpd.public.lu/en.html
Geautoriseerde toezichthouders Data Protection Commission (IER) https://dataprotection.ie
Geautoriseerde toezichthouders Information Commissioner's Office (UK) https://ico.org.uk
Geautoriseerde toezichthouders Commission Nationale de l'Informatique et des Libertés (FR) https://www.cnil.fr
Geautoriseerde toezichthouders Office of the Commissioner for Personal Data Protection (CYP) http://www.dataprotection.gov.cy
     
Intrusion Detection System (IDS) en Intrusion Prevention System (IPS) Suricata open source IDS / IPS https://suricata-ids.org
     
Netwerkmonitoring Paessler PRTG https://www.paessler.com/prtg
Netwerkmonitoring Splunk https://www.splunk.com
Netwerkmonitoring Nagios https://www.nagios.com
Netwerkmonitoring Cisco Umbrella https://umbrella.cisco.com
     
Open Source Threat Intelligence Platform MISP project https://www.misp-project.org
     
Privacy waakhonden The Ministry of Privacy https://ministryofprivacy.eu
Privacy waakhonden Bits of Freedom https://www.bof.nl
Privacy waakhonden Privacy International https://privacyinternational.org
Privacy waakhonden None of Your Business https://noyb.eu
Privacy waakhonden Electronic Frontier Foundation https://ssd.eff.org
Privacy waakhonden DataPanik https://www.datapanik.org
Privacy waakhonden Fight for the future https://www.fightforthefuture.org
Privacy waakhonden European Digital Rights (EDRi) https://edri.org
Privacy waakhonden Wat weet een bedrijf over je? https://www.mydatadoneright.eu/
     
Ransomware Free Ransomware Decryption Tools https://www.emsisoft.com/ransomware-decryption-tools/
     
Secure IT en data destruction Iron Mountain https://www.ironmountain.com/
     
Storingen Storingen https://allestoringen.be
     
Telenet Secured Internet Gateway

https://www2.telenet.be/nl/business/producten-diensten/security/secured-internet-gateway/

Telenet Schoolnet+ https://telenet.be/schoolnet
     
Tips In 5 stappen een veilige smartphone https://toolbox.bitsoffreedom.nl/playlist/mobiel/
Tips De kennisnet appchecker https://aanpakibp.kennisnet.nl/appchecker
     
Video CISO versus Pentester https://youtu.be/XKr3Vb9ABHs
     
Wachtwoorden How secure is my password https://howsecureismypassword.net
Wachtwoorden Vind standaard wachtwoorden http://www.routerpasswords.com
Wachtwoorden Digitale kluis LastPass https://www.lastpass.com/nl
Wachtwoorden De wachtwoordkraaktest https://veiliginternetten.nl/wachtwoordkraak-test

Afkortingen

  • GDPR: General Data Protection Regulation
  • AVG: Algemene Verordening Gegevensbescherming
  • DPO: Data Protection Officer
  • FG: Functionaris voor gegevensbescherming
  • ISMS: Information Security Management System
  • SCADA: Supervisory Control and Data Acquisition (Supervisie & Data-acquisitie)
  • GEB: Gegevensbeschermingseffectbeoordeling
  • DPIA: Data Protection Impact Assessment
  • IDS: Intrusion Detection System, een type systeem dat in staat is om malafide acties op een netwerk of systeem te detecteren en hierover te waarschuwen.
  • IPS: Intrusion Prevention System, een type systeem dat malafide acties kan detecteren en blokkeren.
  • SIEM: Security Information and Event Management, een oplossing waarbij één systeem logging informatie vanuit allerlei componenten in het netwerk verzamelt om deze informatie vervolgens te normaliseren, te correleren en te aggregeren teneinde alerts en andere rapportages beschikbaar te maken.
    • Splunk
    • Azure Sentinel
  • APT: Advanced Persistent Threats, bij een APT beschikken de aanvallers over voldoende geld, middelen en tijd om een aanval met geavanceerde middelen uit te voeren. 
  • SOC: Security Operations Center. In de praktijk monitort een SOC de computer- en netwerkactiviteiten van een organisatie. Er wordt gezocht naar afwijkende zaken.
  • CIPP/E: Certified Information Privacy Professional Europe
  • SLA: Service Level Agreements. Is een overeenkomst waarin afspraken staan tussen de aanbieder en de afnemer van een dienst of product.
  • CCPA: California Consumer Privacy Act. De CCPA geeft inwoners van Californië meer controle over hun persoonlijke informatie. Is vergelijkbaar met de GDPR.
  • PCI DSS: Payment Card Industry Data Security Standard. Een informatiebeveiligingsstandaard om fraude met kredietkaarten te voorkomen.
  • FIM: File Integrity Monitoring. Houdt de integriteit van bestanden in de gaten. FIM helpt om beveiligingsaanvallen voor te blijven en om fouten te identificeren die een organisatie zou kunnen blootstellen aan hackaanvallen.
  • Password spraying: Password spraying is een techniek waarbij een aanvaller veelgebruikte wachtwoorden probeert om op een account in te loggen. Om detectie te voorkomen probeert een aanvaller eerst één wachtwoord tegen een groot aantal accounts, voordat er een tweede wachtwoord wordt gebruikt. Door deze techniek voorkomt de aanvaller dat een account wordt geblokkeerd en de aanval wordt opgemerkt.