Nieuwsbrief mei 2015

Mei 2015
View this email in your browser

Nieuwe Privacy wetgeving door Eerste kamer

Belangrijk nieuws voor alle bedrijven die persoonsgegevens verwerken: Na de goedkeuring door de Tweede kamer zijn de voorgestelde wijzigingen in de WBP (Wet Bescherming Persoonsgegevens) op 26 mei jongstleden ook door de Eerste kamer aangenomen. De nieuwe wetgeving komt nu dus erg dichtbij.

Moet ik ook voldoen aan de Wet Bescherming Persoonsgegevens?
Alle bedrijven die persoonsgegevens verwerken (opslaan, bewerken, doorsturen, etc.) moeten voor het waarborgen van de privacy van die gegevens voldoen aan de Nederlandse Privacy wetgeving: Wet Bescherming persoonsgegevens (WBP). Dit is ongeacht het aantal persoonsgegevens. Een bestand met 50 personeelsleden is al voldoende om aan de WBP te moeten voldoen.

Onze gegevens worden “in de Cloud” opgeslagen
De verantwoordelijkheid voor alle verwerkingen met persoonsgegevens ligt bij “de verantwoordelijke”. In de praktijk is dit een lid van het MT of Raad van Bestuur. In het geval van een datalek zal de toezichthouder de verantwoordelijke aansprakelijk stellen, ook als de gegevens bij een derde partij staan opgeslagen.

Wat verandert er precies?
De wijziging in de WBP voegt een meldplicht voor datalekken toe. Met de meldplicht voor datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zo veel mogelijk beperken en een bijdrage leveren aan het behoud en het herstel van vertrouwen in de omgang met persoonsgegevens.

Tevens is de boetebevoegdheid van de toezichthouder verhoogd. De toezichthouder kan nu “bestuurlijke boetes” opleggen. Dit zijn boetes van materieel belang: 810.000 Euro.

Wat is een datalek?
Een datalek kan veroorzaakt worden door een inbreuk op uw beveiligingsmaatregelen (hackersaanval) of op een andere manier, zoals verlies / diefstal van een laptop, smartphone, USB-stick of een ander opslagmedium waarop persoonsgegevens staan.
De verantwoordelijke dient van een datalek onverwijld melding te maken bij de toezichthouder. De melding zal gegevens moeten bevatten over de aard van het datalek, welke gegevens zijn gelekt, om welke betrokkenen het gaat, welke maatregelen er zijn en worden getroffen, etc. Indien het datalek kan resulteren in privacyschending van de betrokkenen dient het datalek óók gemeld te worden aan alle betrokkenen. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de publieke als private sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijke boete.

Wat moet ik doen? Hoe bereid ik me voor?
Het is van belang om de gegevensverwerkingen in uw organisatie in kaart te brengen. Als je niet weet wat je hebt, kun je het ook niet beschermen. Bij een “nulmeting” wordt een inventarisatie gemaakt van de gegevens en de verwerkingen op die gegevens. Vervolgens wordt er een beoordeling gemaakt over de verwerkingen om te bepalen of ze aan specifieke wet- en regelgeving moeten voldoen.

Sebyde ondersteunt bedrijven bij de voorbereiding op de nieuwe privacywetgeving. Zie hiervoor het artikel verderop in deze nieuwsbrief. Tevens verzorgt de Sebyde Academy trainingen, workshops en presentaties om mensen bewust te maken en te stimuleren en motiveren naar veilig gedrag met ICT middelen en bedrijfsinformatie. Bewuste medewerkers maken uw organisatie weerbaar en verlagen het aantal secyrity incidenten. U kunt gerust en vrijblijvend contact met ons opnemen om kennis te maken met onze dienstverlening. U voorkomt hiermee voor de toekomst hoge boetes en reputatie-schade.

Vraag hier meer informatie aan over de diensten van Sebyde en Sebyde Academy.

Sebyde Privacy Impact onderzoek

Sebyde heeft een programma ontwikkeld waarmee bedrijven ondersteund worden bij de voorbereiding op de nieuwe privacy wetgeving. Het is een modulair programma wat bestaat uit 5 duidelijke stappen.

1. Nulmeting (Hoe staan we er voor?)
Om de situatie te kunnen bepalen hoe het er in uw organisatie voor staat met betrekking tot het security / privacy beleid zullen de verwerkingen die op uw gegevens plaatsvinden juridisch worden beoordeeld.

2. Analyse (Wat en waar zijn de risico’s?)
De tweede stap van het Privacy Impact onderzoek is om te bepalen aan welke risico’s de informatie die in stap 1 is verkregen blootstaat. Behalve verschillende security testen op netwerk, systemen en de applicaties wordt in deze stap ook de “zachte” kant van de security meegenomen.

3. Maatregel (Wat kunnen we doen?)
Stap drie is de bepaling welke maatregelen er genomen kunnen / moeten worden om compliant te zijn aan de wet- en regelgeving en om het risico op cybercriminaliteit en datalekken te minimaliseren. Deze maatregelen zullen worden ingedeeld in de drie belangrijke categorieën: Mens, Organisatie en Techniek.

4. Rapport (Wat gaan we doen?)
In deze stap wordt het rapport aangemaakt van alle bevindingen en aanbevelingen. Het rapport zal opgesteld worden conform de richtlijnen van het NOREA voor een PIA (Privacy Impact Assessment). Ten tweede zal er een plan van aanpak worden gemaakt voor de door te voeren maatregelen.

5. Invoering (Maatregelen treffen)
De vijfde stap is de daadwerkelijke doorvoering van de maatregelen in de categorieën Mens, Processen en Techniek die in stap 3 zijn bepaald.

Nulmeting
De eerste stap is de nulmeting. De praktische uitvoering van deze stap bestaat uit 1 of meerdere interview-sessies met de betrokken personen / afdelingen om de benodigde informatie te verkrijgen. Vervolgens wordt de verkregen informatie beoordeeld door een FG (Functionaris Gegevensbescherming). Waar nodig zal een beoordeling van de bedrijfsjurist gevraagd worden met betrekking tot overige wetgeving waaraan het bedrijf moet voldoen.
Wij maken graag voor u een voorstel om een nulmeting uit te voeren.

Meer weten? Vraag hier vrijblijvend meer informatie aan.

Workshop: Cyber Risico Adviseur.Het komt steeds vaker voor dat risico adviseurs door hun klanten wordt gevraagd wat de gevaren zijn van cybercriminaliteit. In die gevallen moet de adviseur naast de expertise die hij/zij al beschikt ook kennis hebbe van de gevaren en risico’s van cybercrime.
Sebyde Academy heeft een nieuwe workshop ontwikkekld die erop is gericht om risico-adviseurs in staat te stellen om de cyber-risico’s met hun klanten en prospects te kunen bespreken.
Tijdens deze workshop van 1 dag worden de adviseurs op de hoogte gebracht van de laatste stand van zaken met betrekking tot cybercriminaliteit. Ze zijn zich dan bewust van de gevaren en risico’s en kunnen de juiste vragen stellen om de cyber-risico’s van hun klanten en prospects aan de oppervlakte te krijgen.
De workshop is erg interactief. De deelnemers worden constant gevraagd de informatie te projecteren op de eigen werksituatie / klantengroep. te kunnen bespreken.

Voor wie is deze workshop bedoeld?
Deze workshop is ontwikkeld voor adviseurs die met hun relaties de gevaren en risico’s van cybercriminaliteit dienen te bespreken. Denk hierbij aan risico-adviseurs van bijvoorbeeld verzekeringsmaatschappijen, maar ook aan accountants die steeds vaker vragen krijgen over het te voeren privacy- en security beleid in verband met de aangekondigde Europese wetgeving.

Graag bespreken we met u de details van deze interessante workshop.
Vraag hier meer informatie aan over de Workshop Adviseur Cyber-risico’s.

Workshop: Veilig programmeren in PHP



Cybercriminelen weten dat applicaties vaak onveilig worden geprogrammeerd. Tevens worden onder druk van snelle levering de nieuwe applicaties niet of nauwelijks getest op security voordat ze in gebruik worden genomen. Bedrijven lopen hierdoor grote risico’s. Kwetsbaarheden in webapplicaties worden massaal misbruikt om in te breken bij bedrijven. Om een applicatie weerbaar te maken tegen aanvallen van buitenaf kunnen programmeurs gebruik maken van “secure coding technieken”. Hierdoor wordt de kans op security incidenten aanzienlijk verlaagd.


Sebyde heeft een workshop ontwikkeld voor software ontwikkelaars die coderen in PHP, code testers en code reviewers. Ze leren wat de risico’s en dreigingen zijn en hoe hackers te werk gaan. Daarna wordt aandacht besteed aan de rol van de programmeur bij de bescherming van de kroonjuwelen van een bedrijf en de OWASP top-10 kwetsbaarheden.Deze workshop kost 797 Euro per persoon. Bij minimaal 4 deelnemers organiseren we deze workshop bij uw bedrijf aan huis tegen aantrekkelijke “In-house” tarieven. Neem hierover gerustcontact met ons op voor een gedetailleerde prijsopgave en verdere mogelijkheden.
Sebyde en Sebyde Academy in BelgiëOm onze klanten in België en Luxemburg zo goed mogelijk van dienst te kunnen zijn heeft Sebyde een agent (Dhr. Bart Donné) aangesteld in België. Neem gerust contact met Bart op voor meer informatie over de activiteiten van Sebyde en Sebyde Academy. De contactgegevens van Bart Donné zijn: Dr. Willem Meersstraat 19, 3730 Hoeselt, België. Telefoon: +32 476 55 30 08     Email: bart.donne@sebyde.eu
Agenda Sebyde Academy
De Sebyde Academy trainingen, workshops en presentaties worden georganiseerd in Maarssen of op verzoek op andere locaties.
Bij een minimaal aantal deelnemers organiseren wij deze sessies bij uw bedrijf aan huis, tegen zeer aantrekkelijke “in-house” tarieven.
Neem hierover gerust contact met ons op via 06-53233269.
Informatie over de verschillende activiteiten is te vinden op: http://www.sebydeacademy.nl/aanbod/ 
De Sebyde Academy “open rooster” agenda voor de komende tijd ziet er als volgt uit:Workshops (1 dag)
17 september      Workshop cybercriminaliteit (Papendrecht)
8 oktober           Workshop cybercriminaliteit (Zwolle)
10 november       Workshop cybercriminaliteit (Vught)
10 december       Workshop cybercriminaliteit (Papendrecht)

Presentaties
9 juni                   Cybercrime (ochtend, Maarssen)
9 juni                   Privacy (middag, Maarssen)
14 juli                  Cybercrime (ochtend, Maarssen)
14 juli                  Privacy (middag, Maarssen)
11 augustus        Cybercrime (ochtend, Maarssen)
11 augustus        Privacy (middag, Maarssen)

Workshops Secure Coding in PHP (1 dag)
19 juni                 Secure Coding in PHP (Maarssen)
15 september     Secure Coding in PHP (Maarssen)

Aanmelden kan via : http://www.sebydeacademy.nl/agenda/

Sebyde is een IT security bedrijf, gespecialiseerd in het uitvoeren van security assessments op applicaties, netwerken en systemen. Sebyde is Certified IBM business partner voor security systems en authorised reseller van de network vulnerability management producten van Tenable Network security.
Vanuit onze Sebyde Academy verzorgen we trainingen, workshops en presentaties die erop zijn gericht om mensen te stimuleren en motiveren naar veilig gedrag met ICT middelen en bedrijfsinformatie.
Facebook
Facebook

Twitter
Twitter

Website
Website

Email
Email