woensdag 22 november 2017

5 Tips voor de Voorbereiding op het CEH Examen (v9)











IT-veiligheidsschendingen halen maandelijks de krantenkoppen en deze 
gigantische hacks kosten bedrijven en hun klanten enorm veel geld.

De beruchte veiligheidsbreuk van TalkTalk die werd ontdekt in 2015 werd geschat op £35m aan kosten – om de niet te herstellen reputatieschade nog maar even niet te noemen. Door deze hacks is veiligheid nu de voornaamste prioriteit voor bedrijven, de behoefte aan IT-veiligheidsprofessionals is dan ook stevig toegenomen. Hiervan zijn Ethische Hackers maar wat vaak de meest gezochten.


dinsdag 31 oktober 2017

Belangrijke informatie om WPA2 WiFi kwetsbaarheid aan te pakken!

Waarschijnlijk ben u inmiddels op de hoogte van het beveiligingslek in het draadloze WPA2-protocol (welke het grootste deel van de wifi-apparaten beïnvloedt), waardoor het mogelijk is voor aanvallers om het verkeer tussen computer en draadloze toegangspunten af te luisteren.

Wat moet u weten?

  1. Alleen een ongepatcht apparaat dat via WPA2 verbindt, wordt bedreigd
  2. De kwetsbaarheid onthult de WPA2-sleutel niet. Het zorgt er voor dat alleen delen van de communicatie kunnen worden beluisterd.
  3. Omdat meeste WiFi communicatie tegenwoordig HTTPS en SMTP-S zijn, zou de aanvaller uiteindelijk alleen TLS-versleuteld verkeer kunnen afluisteren.
  4. Tot zover zijn er nog geen meldingen over wijd verspreide aanvallen of basis van dit probleem.
  5. Windos en iOS gebruikers(met de laatste software) zijn niet vatbaar voor de afluisteraanval.
  6. Android apparaten en routers van populaire merken kunnen worden aangetast. Sommige van hen hebben al enkele patches vrijgegeven om het hergebruik van de sleutel te voorkomen.

Veel WiFi-productbedrijven hebben reeds firmware-updates betreffende dit probleem afgegeven. Wij verzoeken alle gebruikers hun product te updaten zodra de updates beschikbaar zijn. Als u een verouderd apparaat gebruikt dat geen ondersteuning heeft vanuit de fabrikant, kunt u controleren of het apparaat gratis open source firmware (ddwrt) ondersteunt met de patch. Als een van de apparaten is gepatcht (ofwel de wifi-client of het toegangspunt), dan wordt u beschermd.

Hoe bescherm je jezelf?

  1. Wij adviseren gebruikers hun firmware bij te werken zodra de update beschikbaar is. Voor oude producten kunnen gebruikers inloggen op hun WiFi-apparaat om te controleren op patches.
  2. Probeer bij het openen van vertrouwelijke informatie een extra laag encryptie (bijvoorbeeld VPN) toe te voegen.
  3. Probeer altijd HTTPS te gebruiken als deze beschikbaar is voor de website die u bezoekt. Het is aan te bevelen dat u een browser plugin zoals HTTPS Everywhere gebruikt.
  4. Gebruik altijd een extra encryptie laag voor al uw netwerkverkeer dat gevoelige inhoud bevat, door gebruik te maken van technologieën zoals Secure Shell en andere betrouwbare protocollen voor encryptie.
  5. Alle huishoudelijke gebruikers worden verzocht het admin-login wachtwoord te wijzigen.

maandag 30 oktober 2017

Cyber Security Week 2017 spoort aan tot actie

Van 25-29 september organiseerde The Hague Security Delta, in samenwerking met 100 partners uit bedrijfsleven, kennisinstellingen en overheid, de tweede editie van de internationale Cyber Security Week. Met 80 evenementen en meer dan 3000 bezoekers uit 70 landen, was deze editie twee keer zo groot als die in 2015.

Wederom bewees de Cyber Security Week zich als dé plaats om te ervaren hoe in Nederland (inter)nationaal samen wordt gewerkt aan een veilige cyberwereld. De week was georganiseerd rond de vier thema’s die de basis vormen voor het succesvol ontwikkelen van innovatieve cybersecurity-oplossingen: Access to Talent, Access to Capital, Access to Market en Access to Knowledge.

Wij hebben met veel interesse deelgenomen aan de Cyber Security Week met een bijdrage aan de UK-NL Cyber Security Showcase en een DDoS in a Day seminar. De vele positieve gesprekken en de grote interesse in Cyber Security opleidingen geeft aan dat er gewerkt wordt aan een veiligere cyberwereld waar ook wij als Firebrand graag aan bijdragen.

Matchmaking UK-NL Cyber Security Showcase
DDos in a Day seminar


Versterk je cyber veiligheid en train je team met versnelde cyber security opleidingen. Bekijk ons totale trainingsaanbod met meer dan 400 versnelde opleidingen, voor alle Projectmanagement - IT, en Cyber Security vaardigheden die je voor 2017 nodig hebt.

Meer informatie over het verloop van de Cyber Security week vindt u op  www.cybersecurityweek.nl.

donderdag 24 augustus 2017

Registreer je nu voor de Cyber Security Week 2017

Ondernemingen zijn zich steeds meer bewust van het belang van internetveiligheid en het gevaar van cyber criminaliteit. Als je getroffen wordt is de impact groot en kostbaar. Zorg dat je onderneming veilig is in de toekomst, kom en laat je informeren tijdens de Cyber Security Week.


Honderden experts op het gebied van internetveiligheid en cybercrime afkomstig uit overheid, bedrijfsleven en wetenschap zullen tijdens Cyber Security Week 2017 hun kennis delen, de laatste ontwikkelingen bespreken en nieuwe innovatieve ideeën pitchen.

Deze internationale week vindt plaats op 25-29 september in Den Haag. Deelname aan de meeste evenementen is open en gratis, maar het aantal plaatsen is beperkt. Deelnemers kunnen hun persoonlijk programma samenstellen uit meer dan 70 evenementen en meedoen aan het matchmaking programma om nieuwe zakenpartners te ontmoeten.


Firebrand BeNelux doet mee aan de Cyber Security Week 2017 met het uitdagend DDoS in a Day seminar. Samen delen we onze kennis en gaan we op zoek naar innovatieve oplossingen voor één van de grootste uitdagingen in onze moderne, digitale wereld: hoe verzekeren we ons van een veilige cybertoekomst? Schrijf je nu in.

maandag 17 juli 2017

Microsoft 365 and Microsoft Azure Stack announced at Inspire 2017


Today at their Microsoft Partner Conference, Inspire, Microsoft unveiled Microsoft 365 – a new set of commercial offerings bringing together Office 365, Windows 10 and Enterprise Mobility + Security.

Microsoft 365 is a complete, intelligent and secure solution to empower companies and all workers, recognising that people are at the heart of digital transformation,” writes Judson Althoff, Executive Vice President, Worldwide Commercial Business at Microsoft.

Two new offerings were introduced at the Inspire event. Designed for large organisations, Microsoft 365 Enterprise combines Office 365 Enterprise, Windows 10 Enterprise and Enterprise Mobility + Security into a single subscription.

The second offering, Microsoft 365 Business, is designed for small-to-medium enterprises (SME). It supports 300 users and integrates office 365 Business Premium with the tailored management and security features found in Windows 10 and Enterprise Mobility + Security. Microsoft 365 Business is available in public preview from 2 August 2017.

For a closer look at Microsoft 365, take a look at this blog from Microsoft.

Microsoft Azure stack now available to order

Microsoft kicked off Inspire with the launch of Microsoft Azure Stack, which allows businesses to host their own hybrid cloud. Azure Stack is an extension of Microsoft Azure that brings the flexibility and fast-paced innovation of cloud computing to an on premise environment.

As hardware partners, Dell, HP and Lenovo are now creating integrated systems to run Azure Stack and hosts apps on hardware alongside a business’ current infrastructure. The first Azure Stack systems are now available to order.

For businesses, professionals and contractors set to take advantage of Azure stack, this is the ideal time to sharpen Azure skills.

Build and prove your knowledge of Microsoft Azure Stack through the organisation’s well-supported training and certification programme for Azure technology.

woensdag 5 juli 2017

DDoS Defence in a Day

Slachtoffer worden van een Distributed Denial of Service (DDoS) aanval kan uw bedrijf 1,2 miljoen aan schade kosten. In het afgelopen jaar alleen al, zijn DDoS aanvallen met 125% in frequentie en met 35% in aanvalsduur toegenomen en de gemiddelde DDoS aanval is nu groot genoeg om de meeste organisaties in hun geheel uit te schakelen.
Het is tijd om u af te vragen, hoe goed kan ik mijzelf en mijn bedrijf beschermen tegen een DDoS aanval?

Om u te helpen met het beantwoorden van deze vraag en met het bekend worden met de groeiende dreiging en de toenemende consequenties van een DDoS aanval, organiseert Firebrand dit jaar tijdens de Cyber Security week in Den Haag in september een ééndaagse training van  DDoS Defence. In deze kortdurende versnelde training, zult u:
  •  Begrip krijgen van een DDoS aanval, hoe het wordt uitgevoerd en de implicaties ervan op uw bedrijf.
  •  Demonstraties van DDoS aanvallen en hun effecten direct meemaken. 
  • De hulpmiddelen leren kennen waarmee DDoS aanvallen kunnen worden gedetecteerd, geanalyseerd en beperkt.


Indien u de genadeloze alledaagse dreigingen van een DDoS aanval wilt omzeilen, is dit het evenement voor u. U zult weg gaan met een duidelijk begrip van wat een DDoS dreiging is en hoe u uw verdediging kunt versterken tegen zulke aanvallen. 


Wat is een DDoS aanval en waarom moet ik erover weten?

Een DDoS aanval is een poging om een online-dienst te overspoelen met verkeer afkomstig vanaf meerdere bronnen. Kort gezegd verhindert het echte gebruikers van het gebruiken van de informatie of de diensten van een server omdat deze overbelast of ‘overspoeld’ wordt door aanvragen.

De gevolgen van dit type aanval op uw bedrijf zijn enorm. De kosten van geforceerd buiten werking worden gesteld kunnen de £100.000 per uur overschrijden. Wanneer u niet al te veel geluk heeft, kunnen de kosten tot in de miljoenen stijgen. Dit is gevonden in een onderzoek waarin 21% van de IT-professionals aangaf dat een DDoS aanval zijn of haar bedrijf meer dan £50.000 per uur zou kosten. Hierna zou 52% van de consumenten het vertrouwen in uw organisatie verliezen als een gevolg van de storing.

De mogelijke gevolgen kunnen onder andere financiële verliezen, reputatieschade, onrust bij klanten en juridische kwesties zijn.

Op ons ‘DDoS Defence in a day’ evenement, zult u niet alleen leren wat DDoS is en waarom het bovenaan de lijst van angsten van uw hoofd beveiliging zou moeten staan, maar zult u ook de vaardigheden voor het verdedigen van uw bedrijf leren die toepasbaar zijn in de praktijk.
  
Denkt u dat dit u niet zal overkomen?

Er is geen twijfel over mogelijk dat DDoS aanvallen tegenwoordig tot de alledaagse praktijken behoren, maar er is nog altijd een duidelijke missende link tussen het risico van DDoS erkennen en er iets aan doen om het te beperken. Met wereldwijd 124.000 DDoS aanvallen per week, betekent uzelf niet op deze dreiging voorbereiden dat het een kwestie wordt van wanneer, niet of, u wordt toegevoegd aan de lange lijst van uitgeschakelde organisaties.

En niet alleen kleine bedrijven hoeven zich zorgen te maken. De BBC, MI5, HSBC en PayPal zijn allemaal recente slachtoffers van een DDoS aanval. De schade varieert van uitgeschakeld zijn voor enkele uren tot miljoenen aan schade. PayPal Kreeg 3,5 miljoen aan schade te verwerken waarna 100 werknemers drie weken lang moesten werken om de schade na de DDoS aanval te repareren.

Dit is (een gedeelte van) wat u zult krijgen:
·                     Demonstraties van DoS aanvalsmiddelen en hun effect
·                     Simpele, gemakkelijk te verkrijgen middelen om DoS aanvallen in te zetten om de benodigde
              vaardigheden te laten zien.
·                     De concepten van DDoS; Bewegen van een enkele bron naar meerdere bronnen, versterking en
              reflectie
·                     Demonstratie van Botnet dat een DDoS aanval inzet, gecontroleerd vanaf een enkele bron
·                     Verzachtingsmaatregelen voor DoS en DDoS, waaronder aangeboden diensten en gebruikte
              methoden
·                     NCA nationale DDoS strategie

Wat u zult krijgen:
Ten aanvulling op de uitstekende training door een van onze meeste ervaren cybersecurity deskundigen, krijgt u:

·                     Zeven uur aan educatie over het behouden van uw certificeringen met CPEs: Bijdragen aan  
              Continue Professionele Educatie voor het behouden van certificeringen van IT- veiligheids- 
              leveranciers waaronder EC-Council, (ISC)2 en ISACA.
·                     Courseware: Al het cursusmateriaal
·                     Lunch, snacks en versnaperingen: Deze zullen gedurende de dag worden aangeboden.

Voor wie is het?
Deze cursus, waarin zowel theoretische als praktische voorbeelden worden gecombineerd, is ideaal voor technici en managers die verantwoordelijk zijn voor cyberveiligheid. Of u nu beschermt aan de frontlinie of de strategie beheert, deze cursus zal u ten voordele komen bij het voorkomen van DoS.
Wilt u meer weten?
Indien u geïnteresseerd bent in het veilig houden van uw bedrijf, kom dan naar het ééndaagse trainingscursus DDoS in a Day, in Den Haag op 28 september 2017.

Bezoek onze cursus pagina indien u meer wilt weten of kaarten wilt kopen.

Mocht u nog onbeantwoorde vragen hebben, e-mail deze ons dan via info@firebrandtraining.nl

maandag 15 mei 2017

Gratis Cyberbeveiligingstraining voor de NHS

De ransomware aanval van gisteren, welke zoveel trusts binnen de NHS infecteerde, was te vermijden. Er zijn moeilijkheden binnen die omgeving, gerelateerd aan het updaten van software, die ik kan begrijpen. Dat gezegd hebbende, vormen gebruikers wel de eerste linie van verdediging, samen met betere e-mailfiltering voordat deze de apparaten van gebruikers bereiken. Ik ben ervan overtuigd dat de patiëntendata in de back-end systemen veilig is. Er kan en moet meer gebeuren om aanvallen in de toekomst te voorkomen. Firebrand wil natuurlijk helpen, mensen trainen is de enige redenen waarom we ’s ochtends opstaan.

Firebrand’s Cyberbeveiligingsportfolio van cursussen reikt van bescherming en detectie tot eindgebruikerstraining. We zijn ook uniek in het aanbieden van versnelde Cybersecurity opleidingen. Zoals u waarschijnlijk wel weet, moeten openbare organisaties inclusief de NHS 2,3% van hun personeel aan opleidingsprogramma’s laten deelnemen in 2020. Een geweldige manier voor het besteden van hun opleidingsheffing.

Firebrand zou natuurlijk de mogelijkheid genieten om met NHS trusts te praten over cyberbeveiligingstraining en opleidingen. Ik begrijp dat dit erop kan lijken alsof we proberen te profiteren van deze situatie. Ik ben echter extreem trots op wat Firebrand doet. We hebben 65.000 mensen over 16 jaren getraind. We hebben ze vaardigheden gegeven die ze beter maken in hun werk of verder in hun carrières. Ik weet dat wat we in onze cursussen leren, bedrijven of overheidsinstellingen veiliger en beter voorbereid maakt.

Dus ik ga me niet verontschuldigen voor dit aanbod! We zullen tot 10 NHS trusts elk een gratis cyberbeveiligingscursus geven in ruil voor een meeting met een senior medewerker om training en opleidingen te bespreken. Wanneer nodig kunnen we een veiligheidsexpert meenemen en we kunnen het aanbod van de cursussen die we aanbieden uitleggen, en u helpen plannen waar u vaardigheden nodig heeft. Tijdens de meeting zullen we uitzoeken van welke gratis cursus u het meeste zult profiteren. Zonder andere verplichtingen dan instemmen met de meeting.

Indien u werkt voor een NHS trust, voel u dan vrij om me te benaderen via LinkedIn. De eerste 10 NHS trusts die me benaderen krijgen de cursussen.

Ter achtergrond is hier de video van mijn interview met BBC London News van gisteren, waarin ik praat over wat er is gebeurd bij de NHS.



5 dingen die u moet doen na de NHS hack

NHS-ziekenhuizen over Engeland zijn geraakt door een cyberaanval op grote schaal. Een pop-up bericht die losgeld vraagt in ruil voor toegang tot de geïnfecteerde machines.
NHS-Digital zei: “Een aantal NHS-organisaties hebben aan NHS Digital gerapporteerd dat ze zijn getroffen door een ransomware-aanval die een aantal verschillende organisaties treft”.

Hoewel het te laat is om de huidige hack te stoppen, is dit wel iets dat ieders ogen moet openen. In dit bericht duiden we de stappen aan die benodigd zijn om uw eigen informatie nu en in de toekomst veilig te stellen.

Dit is wat u moet doen

Wees op uw hoede voor e-mails van de NHS: Nu is het perfecte moment voor cybercriminelen om toe te slaan door middel van een phishing-aanval. Voorkom het klikken op of downloaden van links in e-mails die binnenkomen van NHS. Bijna alle malware wordt zonder het te weten door de slachtoffers zelf geïnstalleerd.
Verander uw wachtwoorden en veiligheidsvragen: Ook al bent u niet gehackt, verander meteen uw wachtwoord en uw veiligheidsvragen. Dit is vooral belangrijk als uw e-mail op enigerwijze is verbonden aan uw bank of een PayPal account.
Daarnaast dient u de wachtwoorden te veranderen van andere accounts die dezelfde of gelijkende beveiligingsinformatie gebruiken. Dit zorgt ervoor dat hackers niet kunnen toetreden tot andere accounts door middel van NHS-informatie. Het is ook verstandig om uw instellingen voor wachtwoordherstel te controleren en er zeker van te zijn dat deze niet naar een derde partij zijn veranderd.
Vermijd het opnemen van contact met uw huisartspraktijk: Vermijd het opnemen van contact met uw huisartspraktijk tenzij het absoluut nodig is, uw plaatselijke drogist kan gratis en snel advies geven bij niet-dringende situaties.
Update uw beveiligingsinstellingen en voer een veiligheidsscan uit: Dit is het moment om ervoor te zorgen dat uw computer veilig is. Zorg ervoor dat u een virusscan uitvoert en u de recentste veiligheidsupdates heeft op uw besturingssysteem. Als u geen antivirus toepassing heeft, investeer dan in een van hoge kwaliteit, zoals McAfee of Norton Antivirus. Dit is iets dat u als beste techniek dient uit te voeren, ongeacht de kwestie.
Doe aangifte bij de politie: Als u denkt dat u bent gehackt en nu het slachtoffer bent van identiteitsdiefstal of fraude, dien dan een aangifte in met Actie Fraude

BBC verslag over Firebrand’s politiemacht cybercriminaliteitstraining

Afgelopen vrijdag maakte het unieke Cybercriminaliteitspaden Programma deel uit van het BBC Breakfast News.
De BBC gaf een exclusief inzicht in hoe niet-technische politieofficieren worden getraind en vervaardigd in het cyberbeveiligingsonderzoek en forensische technieken die nodig zijn om criminelen te vangen. 
Het Cybercriminaliteitspaden Programma, geleverd gebruik makende van onze unieke versnelde trainingsaanpak, laat eerstelijns politiefunctionarissen zien hoe ze effectief kunnen reageren op de toename in cybercriminaliteit in Groot-Brittannië. Rory Cellan – Jones, de leidend technologisch verslaggever van de BBC, keek hoe een team politiefunctionarissen het gesimuleerde hol van een hacker infiltreerden.
Het hogedrukscenario vereiste de politie om hun training te gebruiken om efficiënt verborgen apparaten te vinden en het benodigde forensisch bewijs te verzamelen voor het identificeren van de cybercrimineel.
In een interview op BBC, zei Steve Mersh: “Het gaat om het leren van de praktische vaardigheden die we kunnen gebruiken, niet verschillend van het vinden van een pistool bij een plaats delict, die we kunnen afschermen van het publiek en kunnen toeschrijven aan de crimineel”.



Gemist deze morgen?

Sinds het Cybercriminaliteitspaden programma in 2014 lanceerde, heeft Firebrand 659 politieofficieren getraind over 80% van alle politiemachten in het Verenigd Koninkrijk. Een deel van de 960 versnelde cursussen die zijn genomen door de politie zijn hands-on, praktische plaats-delict-situaties zoals uitgelicht in het BBC-programma.
In een tijd waarin je meer kans hebt om slachtoffer te worden van cybercriminaliteit dan van enige andere misdaad, is het Verenigd Koninkrijk toegewijd aan het vervaardigen van hun macht om dit groeiende gevaar te bevechten.


“Vroeger zou de functionaris op komen dagen en de elektrische toevoer simpelweg letterlijk uit de achterkant van de computer trekken, het in een zak stoppen, labelen, en verzenden voor een forensisch onderzoek dat maanden kon duren voordat er iets terug zou komen met iets van waarde” zegt Phil Chapman, Leidend Cyberbeveiligingsinstructeur bij Firebrand Training.
Phil vervolgt: “We zijn trots om versnelde cybersecurity-training te bieden aan lokale politiemachten over het Verenigd Konikrijk. Cybercriminaliteit is tegenwoordig een van de grootste bedreigingen voor bedrijven en consumenten – onze politie heeft de kennis nodig over hoe er gereageerd dient te worden op deze unieke vorm van criminaliteit.”
“Firebrand heeft een wonderbaarlijk partnerschap ontwikkeld met de lokale politiemachten over het Verenigd Koninkrijk en we zijn enthousiast om ons doorlopende werk te delen met de BBC.”

Krijg de vaardigheden die u nodig heeft, snel

Het is niet alleen de politiemacht die zich moet voorbereiden op de toenemende dreigingen van cyberaanvallen. Waar twee-derde van de grote bedrijven van het Verenigd Koninkrijk in het afgelopen jaar het slachtoffer van een cyberaanval werd, is het tijd dat u uw zaken veiligstelt.

Krijg de cyberbeveiligingsvaardigheden die u nodig heeft om uw organisatie te beschermen, snel. Kies uit meer dan 50 versnelde cyberveiligheidscursussen welke alle benodigdheden van uw bedrijf met betrekking tot technologieën en disciplines omvatten.

maandag 8 mei 2017

6 dingen die u moet weten over GDPR

De Europese Algemene Verordening Gegevensbescherming (GDPR) gaat van kracht op 25 mei 2018. Bedrijven in de EU moeten er klaar voor zijn, anders zullen zij heftige consequenties moeten ondervinden.



In November 2016 werd de Tesco Bank slachtoffer van een cyberaanval waarbij £2,5 miljoen werd gestolen van de lopende rekeningen van 20.000 klanten. Indien het Information Commissioner’s Office (ICO) oordeelt dat Tesco er niet in is geslaagd om te voldoen aan de maatregelen voor het veiligstellen van de persoonlijke data van mensen, kunnen ze een boete krijgen die kan oplopen tot £500.000. Onder de nieuwe regulaties die zijn gesteld in het EU GDPR, kan dezelfde boete worden gesteld op £1,9 miljard.


Na mei 2018 zullen bedrijven die niet voldoen aan dit nieuwe strenge databeschermingsregime zware boetes moeten ondervinden die kunnen oplopen tot wel 4% van de mondiale omzet. De GDPR houdt belangrijke veranderingen in voor alle bedrijven die de persoonlijke data van EU-inwoners gebruiken of opslaan.

“Als het aankomt op gegevensbescherming, zet het stille spookbeeld van de EU Algemene Data Beschermingsregulatie organisaties langzaam tot actie aan, en dit soort incidenten zullen deze trend alleen maar versnellen” – Nigel Hawthorn, de Voorzittend Europees woordvoerder bij Skyhigh Networks.

In deze blog kijken we naar 6 dingen die u moet weten over GDPR om u voor te bereiden op de implementatie ervan in 2018.

1.  Begrijp op wie GDPR betrekking heeft


Als u de data van Europese inwoners behandelt, heeft GDPR betrekking op u. Ongeacht de locatie van uw bedrijf. Bedrijven van over de hele wereld zullen aan precies dezelfde veiligheidsstandaarden worden gehouden.

Dit geeft de Europese gegevensbeschermingsautoriteiten de kracht om actie te ondernemen tegen organisaties die deze regulaties schenden, ongeacht hun geografische locatie.

Gedreven door de hoge boetes die bedrijven kunnen ondervinden – indien ze niet aan de veiligheidseisen voldoen – wordt er nu van 70% van de bedrijven verwacht dat ze meer gaan uitgeven aan het aanpakken van databescherming en soevereiniteit, volgens Ovum.


2. Begrijp wat telt als persoonlijke data


GDPR zal de definitie van wat persoonlijke data betreft verbreden. De Data Protection Act 1998 (DPA) erkende genetische en biometrische informatie niet als persoonlijke data, waar de GDPR dat wel doet.

Onder de EU GDPR wordt persoonlijke data gedefinieerd als:
“Data over ras of etnische oorsprong, politieke voorkeuren, religieuze of filosofische opvattingen, lidmaatschap van vakverenigingen, genetische data, biometrische data, data met betrekking tot gezondheid of data met betrekking tot iemands seksuele leven of seksuele oriëntatie”.

Deze brede definitie houdt in dat bijna alle klantinformatie nu valt binnen de categorie van ‘persoonlijke data’. Uw bedrijf moet de belangrijke veranderingen in de binnenkomende regulatie begrijpen en alle data beveiligen om zware afstraffing te voorkomen.

3. Herzie de algemene voorwaarden van uw bedrijf


De GDPR regulatie introduceert nieuwe voorschriften welke de noodzaak van expliciete individuele toestemming voorafgaand aan het gebruik van de gegevens van een inwoner benadrukken. Bedrijven zullen simpelere taal moeten gebruiken wanneer ze vragen om toestemming, duidelijk zijn over hoe de data zal worden gebruikt en begrijpen dat inactiviteit geen toestemming vormt. Lange en gecompliceerde algemene voorwaarden met een gebrek aan duidelijkheid worden niet meer getolereerd.

EU-inwoners zullen ook een grotere invloed krijgen op wat er met hun data gebeurt. Onder andere verwijdering van gegevens (algemeen bekend als ‘het recht om te worden vergeten’) en draagbaarheid van gegevens (gegevens overzetten naar een andere beheerder).

GDPR introduceert ook het gegevensminimalisatieprincipe, hetgeen organisaties vraagt om data niet langer vast te houden dan absoluut noodzakelijk is. Deze wet voorkomt ook dat bedrijven het oorspronkelijke doel van ingezamelde gegevens veranderen – tenzij zij om toestemming vragen.

4. U zult Privacy Effectbeoordelingen moeten uitvoeren


De GDPR introduceert de verplichting van Privacy Effectbeoordelingen voor ieder project waarin privacy schendingsrisico’s hoog zijn.

Uw bedrijf kan geen projecten meer beginnen welke persoonlijke informatie omvatten, tenzij er eerst een privacy risicobeoordeling is uitgevoerd. Uw bedrijf moet ook nauw samenwerken met een functionaris voor gegevensbescherming om naleving in alle projecten te verzekeren.  

Uw organisatie moet veiligheid in de kern van alle projecten integreren, in plaats van het enkel als een simpele afweging te zien.


5.  U heeft wellicht een functionaris voor gegevensbescherming nodig


De EU GPDR verwerpt de notie dat regulaties gerelateerd dienen te zijn aan de grootte of het aantal medewerkers van een organisatie.
Als één of meer van de onderstaande drie scenario’s gelden voor uw organisatie – beschreven in artikel 37- bent u verplicht om een functionaris voor gegevensbescherming (FGB) in te schakelen. De kernactiviteiten van de organisatie omvatten:

  • Het verwerken van persoonlijke data door een openbare instantie
  • “Regelmatig en systematisch inspecteren van datasubjecten op grote schaal”
  • Verwerken van speciale data op grote schaal – bijvoorbeeld biometrisch, genetisch, of op basis van geografische locatie.

De rol van de FGB is om de naleving van organisaties aan de regulaties te inspecteren en alle bevindingen te rapporteren aan het hoogste management. Een studie door de ‘International Association of Privacy Professionals (IAPP) suggereert dat er in de komende twee jaar wereldwijd 75.000 FGBs zullen moeten worden aangesteld.

Deze zelfde studie toont aan dat personeelsbehoeften vaak een grote uitdaging zijn voor organisaties die de vaardigheden niet snel ontwikkelen of inhuren.

Firebrand biedt het Gecertificeerd Funcitionaris Gegevensbeschermingscertificaat aan,ontworpen voor mensen met tenminste twee jaar aan ervaring in de gegevensbescherming. Deze 3-daagse cursus bouwt de vaardigheden en kennis op die benodigd zijn om de rol van FGB te vervullen en naleving van de EU GPDR te onderhouden.


6. Een schending rapporteren – continue inspectie benodigd


Ter toevoeging aan het beschrijven hoe uw bedrijven hun gegevens moeten beveiligen, heeft de GDPR ook strenge regulaties over hoe uw bedrijf dient te handelen in het geval van een gegevensschending.

Dit omvat de meldingsplicht bij gemeenschappelijke schending, waarin alle schendingsmeldingswetten over Europa worden samengevat onder één definitie, waardoor duidelijkheid wordt geboden over hoe uw bedrijf een gegevensschending dient te rapporteren. Deze meldingswet “verplicht organisaties om de lokale gegevensbeschermingsinstantie in te lichten binnen 72 uur na ontdekking van een gegevensschending”.

Gezien het feit dat Yahoo struikelde over een van de grootste veiligheidsschendingen in de geschiedenis twee jaar nadat het zich voordeed, verplicht deze wet zelfs de grootste organisaties om pro-actiever te zijn in het identificeren en rapporteren van incidenten. Indien GPDR van toepassing is voor uw organisatie, zult u gereedschappen en processen in moeten voeren om alarmen in noodgevallen te inspecteren en te creëren, 24/7/365.

De tijd dringt…


U heeft nog 12 maanden om u voor te bereiden op de binnenkomende GDPR. Zoals boven is beschreven, moeten er aanzienlijke veranderingen worden aangebracht aan de manier waarop uw bedrijf gegevens verzamelt, behandelt, en deelt vanaf mei 2018.
Wanneer deze regulaties eenmaal zijn ingevoerd, komt uw organisatie niet meer weg met een kleine boete voor het verkeerd behandelen van gevoelige informatie. Onvoldoende voorbereiding zal leiden tot ernstige – zo niet bedrijf sluitende – financiële consequenties. Kom niet in de problemen, start uw GDPR-paraatheid vandaag.