Online privacy & security

Autoriteit Persoonsgegevens keurt gedragscode Data Pro voorlopig goed

autoriteit persoonsgegevens keurt data pro code goed

De Data Pro Code is voorlopig goedgekeurd door de Autoriteit Persoonsgegevens als AVG gedragscode. De Data Pro Code is een praktische uitwerking van de AVG voor verwerkers van persoonsgegevens. Dit besluit is gepubliceerd in de Staatscourant van 12 augustus. Nederland ICT, de bedenker van de code richt ook een orgaan op dat zal toetsen op de naleving van de code. Korèn hoort bij de eerste 6 bedrijven in Nederland die aantoonbaar aan de code voldoen doormiddel van het behalen van de Data Pro Certificering.

Korèn behaalde op 25-06-19 de Data Pro Certificate, en is daarmee het eerste bedrijf van Nederland met een FG (Functionaris van Gegevensbescherming) met dit certificaat. Korèn is leverancier van een SAAS oplossing voor ledenorganisaties en stichtingen. Privacy by Design is doorvlochten in zowel de systemen als de organisatie van het bedrijf. Lees het volledig bericht van Nederland ICT (recent omgedoopt tot NL Digital) hier.

KorènCRM AVG Ready

Koren AVG Ready banner.png

Op 25 mei 2018 is het zover. De AVG (Algemene Verordening Gegevensbescherming), ook wel bekend als de GDPR (General Data Protection Regulation) vervangt dan de huidige WBP (Wet Bescherming Persoonsgegevens). Als software leverancier vinden we privacy belangrijk en nemen we onze verantwoordelijkheid in zowel het waarborgen van de priuvacy in de software als ook het adviseren van klanten op dit gebied.. We hebben een pagina op deze website gecreëerd waarin we uitegebreid laten zien wat wel doen op privacy gebied en welke technische en organisatorische maatregelen we nog nemen met oog op de AVG. Bekijk de pagina hier. Hieronder lichten we een paar interessante zaken uit.

AVG Tool voor dataportabiliteit en inzage

We ontwikkelen een nieuwe tool waarmee er vanuit KorènCRM een bestand kan worden gegenereerd met alle mogelijke gegevens van een relatie (inclusief dossier). Deze kun je vervolgens downloaden en zelf op een eigen (beveiligde) wijze naar de klant versturen. Het bestand zal als een ZIP bestand downloadbaar zijn met de relatiegegevens in Docx (Word) format en daarmee dus leesbaar voor de klant. Daarnaast wordt dezelfde data als XML aangeleverd (deze is computer leesbaar dus hiermee voldoe je aan de dataportabiliteit AVG eis). Lees hier over hoe de software je eenvoudig ook helpt voldoen aan het recht op vergetelheid en correctie.

UPDATE: 

Verwerkersovereenkomst

In april is onze nieuwe verwerkersovereenkomst beschikbaar. Nieuw hierin is de Data Pro Statement waarin we al onze technische en organisatorische maatregelen ter waarborging van de privacy. Voorheen was dit verweven met de bewerkersovereenkomst maar nu is het een documkent dat daar aan is gekoppeld met een uitbreiding op het gebied van de AVG vereisten. Deze verwerkersovereenkomst is conform de AVG qua inhoud en terminologie en vervangt de huidige bewerkersovereenkomst. 

Let op! Wellicht heb je al een bewerkersovereenkomst gebaseerd op de WBP. Deze is vanaf 25 mei niet meer geldig. Je moet een verwerkersovereenkomst ondertekenen met je software leverancier.

Privacy by Design & Default

We hebben verschillende Privacy by Design (PbD) en default features in de software zitten om de privacy van persoonsgegevens te waarborgen. We hebben verschillende PbD features die al aanwezig zijn in de software en een aantal die we binnenkort toevoegen. Lees daar hier meer over.

Privacy by Design (deel 6): Respect voor gebruiker privacy

Respect voor privacy.png

The right to be forgotten, the right of access to information en dataportabiliteit. zijn drie factoren waar je rekening mee moet gaan houden als het gaat om privacy. 

The right to be forgotten

Kun je iemand definitief verwijderen uit een database? Dat is de vraag die met een volmondig "ja" moet kunnen beantwoorden. De aanstormende GDPR EU wetgeving vereist dat als een betrokkene zijn of haar gegevens wil laten verwijderen je dit z.s.m. moet regelen met enkele uitzonderingen (bijv. als iemand openstaande facturen heeft staan). 
In onze software kun je relaties inactief maken en vervolgens of per stuk of in bulk (Tip: richt je proces zo in dat je dit op gezette tijden doet) alle inactieve relaties eventueel met specifieke redenen kunt verwijderen.

The right of access to information

Kun je een betrokkene inzage geven in zijn of haar gegevens? Het voorkomen dat iemand als zijn of haar gegevens wil inzien. Met ingang van de GDPR is het verplicht om iemand inzicht te verschaffen en zijn of haar gegevens. Hoe je dit doet mag je natuurlijk zelf weten. Je kunt een brief opsturen
Denk er wel aan dat iemand dus ook zijn of haar gegevens moet kunnen aanpassen. Dat gaat omslachtig worden als diegene dat via bijv. een wijzigingesformulier kan doen duie je vervolgens weer moet overtypen in je eigen database.
Wij geven alle onze klanten de mogelijkheid om gebruik te maken van een webapp waarmee relatie bijv. hun eigen NAW gegevens kunnen wijzigen.

Dataportabiliteit

Dataportabiliteit betekent dat iemand zijn of haar gegevens mag meenemen.  Dit moet je kunnen aanleveren aan de betrokkene in een voor een machine leesbare bestand. Je kunt dus niet enkel een fysieke brief met de gegevens erin opsturen of een Word bestand of pdf. Denk eerder aan een XML bestand. 
In onze software heb je de mogelijkheid om met een druk op een knop bij een relatie een ZIP bestand genereren met alle mogelijke gegevens in XML format, HTML format en als Docx. document. Deze kun je dan op een (goed beveiligde) wijze naar keuze aanleveren.

 

 

Privacy by Design (deel 5): Transparantie & recht op informatie

Recht.png

Deze blog maakt deel uit van een serie blogs over Privacy by Design. In deze reeks gaan we steeds kort in op 1 van de 7 principes. Het vijfde principe is "Transparantie en recht op informatie". Hier gaat het erom dat het voor de betrokkenen van een organisatie duidelijk en inzichtelijk is wat er met hun gegevens gedaan wordt. Hierin is het belangrijk dat de applicaties waar een organisatie gebruik van maakt conform zijn aan het niveau van privacy en security dat door de organisatie wordt gehanteerd. 

Het is belangrijk voor de betrokkene dat bekend is wat er gebeurt met zijn of haar gegevens. Je moet aangeven wat je gaat doen met de gegevens in duidelijke taal. Steeds meer gebruiken grote tech bedrijven bijvoorbeeld gedrag en persoonsgegevens voor profiling en geautomatiseerde besluitvorming. Aan de hand hiervan kunnen deze bedrijven gerichter advertenties plaatsen. Door de nieuwe wetgeving kunnen betrokkene weigeren om hierin mee te worden genomen. 

Recht op informatie in de praktijk

Het is belangrijk voor betrokken dat ze eenvoudig de gegevens kunnen inzien die bekend zijn bij een organisatie. Indien een betrokkene dit aanvraagt bij een organisatie moet dit eenvoudig kunnen worden toegestuurd (en nee, een printscreen per email opsturen is geen valide optie). In KorènCRM hebben we daar een veilige optie voor. Een gebruiker van de software kan een betrokkene een code toezenden in een brief waarmee de betrokkene via onze relatie webapp eenvoudig zijn of haar gegevens kan inzien. Er staat daar ook bijvoorbeeld een factuurhistorie en ook welke diensten wanneer eventueel zijn afgenomen en of er bijvoorbeeld een specifieke cursus is gevolgd door een relatie.

Privacy by Design (deel 4): Volledige functionaliteit

Functionaliteit.png

Deze blog maakt deel uit van een serie blogs over Privacy by Design. In deze reeks gaan we steeds kort in op 1 van de 7 principes. Het vierde principe is "Volledige functionaliteit". Het gaat erom valse tegenstellingen zoals security vs. privacy of functionaliteit vs privacy te vermijden.

In klare taal: ja privacy is heel belangrijk maar de gebruiker moet ook gewoon goed kunnen werken in de software. Software staat of valt bij functionaliteit. Als zaken omslachtig en hinderlijk worden of onnodig ingewikkeld zijn dan gaat er iets mis. Tegelijkertijd is privacy van heel groot belang en moet software dit op een juiste manier waarborgen zonder dat de functionaliteit verloren gaat.

In de praktijk

Een voorbeeld hiervan is het verwijderen van relaties uit de database in KorènCRM. Je kunt een relatie volledig verwijderen uit de database om te voldoen aan de Right to be Forgotten. Het is belangrijk om iemand in zijn geheel te kunnen verwijderen uit je systeem op diens verzoek.

innactief.JPG

Als gebruiker zou het enerzijds handig zijn om dat direct te kunnen doen maar als je een fout maakt is dit onherstelbaar. The best of both worlds is om een relatie direct op inactief te kunnen zetten (met 1 klik) en in een later stadium alle relaties in bulk te verwijderen. Op deze wijze kun je een fout goed maken. Maar als je een persoon op inactief zet dan weet je dat bij de eerstvolgende bulkverwijdering de gegevens verdwenen zijn en je aan je plicht hebt voldaan.

Er is dus een extra stap nodig, namelijk het definitief verwijderen van inactieve relaties maar daar tegenover staan de volgende functionele voordelen:

  • Iemand die inactief is ontvangt per direct geen facturen, mail of andere correspondentie meer wat natuurlijk wel zo klantvriendelijk is naast dat het ook wettelijk verplicht is
  • Iemand wil niet helemaal verwijderd worden maar wil alleen geen mails meer ontvangen of andere zaken. Hierdoor blijft de persoon wel nog in database maar zonder daar last van te hebben. Je moet natuurlijk altijd kritisch kijken naar hoe lang je persoonlijke gegevens opslaat.
  • Foutief op inactief gezette relaties kunnen kunnen weer op actief worden gezet. Dit is minder foutgevoelig. 

  

the right to be forgotten

5 redenen om je ledenadministratie online te voeren

online ledenbeheer software saas

Het is belangrijk om je ledenbeheer online doen met een SaaS programma of tenminste je Excel documenten via een cloud dienst (bijv. google drive) beheren. 

1. Toegankelijkheid

Overal en ten alle tijden toegang tot je documenten hebben. Laptop thuis vergeten is geen probleem. Dan log je gewoon ergens anders in en presto: je kunt gewoon doorwerken. Zolang je een internet verbinding hebt zit je goed!

2. Back ups

Iedereen kent het, of je hebt het meegemaakt of iemand die je kent is het overkomen. Je hebt iets opgeslagen op je harde schijf en je computer crasht. Je bent alles kwijt! Dit probleem bestaat niet als je in de cloud werkt want alles is in de cloud opgeslagen. Hooguit hetgeen waar je net mee bezig was kun je kwijt zijn. Al zou dit de enige reden zijn om online te werken het de moeite waard zijn! 

3. Samenwerken

In hetzelfde systeem tegelijkertijd werken en collaboratief relaites, documenten en meer bewerken. Dat is wat anders dan "stuur mij deze files dan bewerk ik ze en stuur ik ze terug". Dat wil je jezelf en niemand anders meer aan doen toch?

4. Wijzigingen bewaren

Met adequate leden software is er een mutatielog beschikbaar waarmee je wijzigingen in NAW gegevens kunt terugzien. Ook kun je dan zien wanneer er wijziging is gemaakt en door wie.

5. Download gratis onze gratis online tips voor ledenorganisaties en verenigingen door hieronder te klikken!



 

Onveilige zorgsites - Neem nu actie!

Meerderheid zorgsites onbeveiligd, privacy-autoriteit dreigt met boetes

Twee op de drie zorgsites zorgen niet voor een beveiligde verbinding. Dat betekent dat bij deze websites er zomaar ongewenste pottenkijkers zouden kunnen meekijken bij bijvoorbeeld het invullen van een online formulier met gevoelige gegevens. Bij zorginstellingen gaat dit natuurlijk vaak om uiterst gevoelige informatie zoals medische gegevens en het BSN.
We schreven eerder een blog waarmee je kunt herkennen of een website (goed) beveiligd is.

Wat te doen als zorgorganisatie? Neem direct actie! Wat erg is aan de huidige situatie met onbeveiligde zorgsites is dat het beveiligen eigenlijk niet zoveel moeite of geld kost. Een https beveiligde website kost je ongeveer 30 euro en een kwartiertje werk van je website bouwer... Nou is het natuurlijk de vraag waarom de webbouwer dit niet al überhaupt met je geregeld heeft? 

Nou is dit slechts stap 1 in online beveiliging. Beveiliging is veel breder dan alleen je website goed beveiligen, datalekken kunnen op verschillende manieren ontstaan. Hoe zit het bijvoorbeeld met de software (SaaS), servers en datacentra waar de persoonsgegevens staan? Gebruik je two step authentication?

Security is meer dan techniek, het is een manier van denken. Van tevoren de risico's in kaart brengen met gedegen advies van experts en adequate beveiliging inregelen maar ook een plan maken voor als het onverhoopt misgaat. Het beveiligen van je website is een belangrijk stukje van de puzzel maar niet het enige wat je moet doen.  

Wij kunnen in samenwerking met onze partners een beveiligde website leveren met een koppeling naar een goed beveiligde CRM erachter met uitgebreide mogelijkheden voor de zorg. Neem contact op met ons voor een vrijblijvend gesprek over de mogelijkheden.



 
 

 

Het belang van een SSL beveiligde website

ssl beveiligde website ledenadministratie api

Voor de een is het gesneden koek. Natuurlijk heb je als organisatie een SSL beveiligde website, zeker als bezoekers de mogelijkheid hebben om formulieren in te vullen met persoonsgegevens. Toch komen we ondanks de online gevaren bijvoorbeeld bij diverse zorgorganisaties nog vaak onbeveiligde zorgsites tegen waarop mensen gevoelige informatie kunnen invullen (zoals hun BSN en IBAN nummers maar soms zelfs medische gegevens!).  Ter illustratie geven we in deze blog enkele visuele voorbeelden van hoe je een website herkent welke niet (correct) beveiligd is.

Privacy Fout

Een website met een privacyfout is waarschijnlijk verkeerd ingesteld. Een dergelijke melding kan ook voorkomen wanneer de website is gehackt of je eigen computer een virus heeft. Vul nooit je gegevens in als je op een website met een privacyfout komt.
 

Onbeveiligd

Een website waarbij het adres niet met ‘https’ begint is bewust onbeveiligd. Dit is prima voor sites met alleen maar publieke gegevens, waarbij ook het gedrag van de bezoeker publiek mag zijn. Er mogen nooit persoonsgegevens of wachtwoorden uitgewisseld worden op een onbeveiligde site.

Verouderde beveiliging

Een website waarbij het adres wel begint met ‘https’ maar welke geen groen gesloten slotje toont is wel beveiligd, maar met een verouderde methode. Deze beveiliging is nu nog niet eenvoudig te kraken, maar in de nabije toekomst wel. 

Goed beveiligd

Een correct beveiligde website herken je aan het gesloten groene slotje en de tekst “https” aan het begin van het adres. 

Kijk eens op je eigen website en de websites die je vaak bezoekt en controleer de veiligheid. Een beveiligde verbinding geeft geen garantie voor de veiligheid van de gegevens, maar bij een onbeveiligde verbinding zijn de gegevens nooit veilig en isn het risicovol om daar persoonlijke gegevens in te vullen. Wij raden om dat nooit te doen bij dergelijke websites.

SSL verbinding en Private Dedicated Servers

We hebben security altijd hoog in het vaandel staan bij Korèn. Zo staan de klantgegevens van onze Online klanten op Private Dedicated Servers in Nederland. Gebruikers kunnen alleen toegang krijgen tot de software via een beveiligde SSL-verbinding. Hierdoor wordt de mogelijkheid van ‘afluisteren’ door derden geëlimineerd. Daarnaast is inloggen alleen mogelijk door middel van twee-weg authenticatie (KorènGuard). Mocht er onverhoopt een datalek worden geconstateerd, dan draagt Korèn, als bewerker, zorg om de schade te beperken door bijvoorbeeld (tijdelijk) de toegang tot de software gedeeltelijk of geheel te blokkeren. De betrokken organisatie is zelf verantwoordelijk melding te doen bij het Autoriteit Persoonsgegevens (AP) van het datalek.  

Privacy by Design (deel 3): Privacy geïntegreerd in het ontwerp

Deze blog maakt deel uit van een blogserie over Privacy by design. Vandaag kijken we naar het derde principe: Privacy embedded into design - privacy wordt een essentieel deel van de kernfunctionaliteiten.  

Veel ontwikkelaars willen ervoor zorgen dat de kernfunctionaliteiten van de software adequaat werken. Soms is het zo dat het beschermen van gegevens daarna pas van belang is. Privacy moet van het eerste ogenblik op het radarscherm van de software zitten. 

In de praktijk: Embedded Help

Onze embedded help is een voorbeeld van het integreren van privacy in het ontwerp. De in-software help vervult een belangrijke rol in de redesign van onze software. Deze help is er om nieuwe gebruikers op weg te helpen met de software of nieuwe functies aan bestaande gebruikers te laten zien. In onze online help verwijzen we regelmatig naar privacy en Wbp issues als het aankomt op persoonsgegevens.

Nieuwe gebruikers krijgen een online tour dat direct begint bij de eerste keer dat er ingelogd wordt. Ook als een gedeelte voor het eerst wordt bezocht krijgt een gebruiker de optie om eerst uitleg te krijgen over dat gedeelte van de software. Hierin wordt er op meerdere momenten expliciet aandacht geschonken aan de privacy van gebruikers bij het invoeren van persoonsgegevens (bijv. Let op: dit gaat om gevoelige gegevens ivm Wbp, ga daar zorgvuldig om. of Tip: als je je werkplaats voor een tijd verlaat log dan uit de software om te voorkomen dat iemand zonder toestemming persoonsgegevens kan inzien). 

Hiermee helpen we gebruikers om bewust te zijn over wat ze wel of niet moeten invoeren in de software als het gaat om persoonsgegevens.


 

Privacy by Design (deel 2): Privacy als standaardinstelling

Dit is deel 2 van een blogserie over Privacy by design, 7 principes. Vandaag schrijven we over het tweede principe: 'Privacy as the default setting' - individuen hoeven geen actie te ondernemen om hun privacy te beschermen, privacy is ingebouwd in de software en is standaard ingesteld.

Voor software ontwikkelaars gaat het hier om het default maken van functionaliteiten in de software die de privacy waarborgen. In sommige gevallen kan de software gebruikers toestaan om bepaalde default instellingen daarna aan te passen maar het kan ook zijn dat ervoor wordt gekozen om bepaalde zaken niet aanpasbaar te maken. Hieronder zijn enkele voorbeelden van respectievelijk beide opties.

In de praktijk: Two Way Authentication

Iedere gebruiker kan alleen met two way authentication inloggen. Dit moet iedere keer ingesteld worden en is niet optioneel of configureerbaar. Aan gebruikeraccounts moet altijd een emailadres worden gekoppeld van de desbetreffende gebruiker. De gebruiker krijgt bij de eerste inlogpoging de melding dat er een mail is verstuurd naar zijn of haar emailadres met een code om in te loggen. Dit moet voor alle individuele devices gebeuren. Zo voorkomen we dat als inloggegevens uitlekken een ongewenst iemand zomaar kan inloggen in de software. 

Als een emailadres niet wordt ingesteld door de applicatiebeheerder krijgen wij als leverancier op onze helpdesk de code om in te loggen. Er moet dan door de applicatiebeheerder die bekend is bij ons toestemming worden gevraagd om deze te vergeven aan een gebruiker als deze niet bij ons bekend is. 

twee weg authenticatie 

Inactieve relaties in bulk verwijderen

Relaties die inactief worden gemaakt kunnen in bulk worden verwijderd. Er kan door de gebruiker nog een onderscheid gemaakt worden tussen de reden waarom een relatie inactief is gezet (bijv. geen interesse meer). Als dit niet wordt aangegeven zullen alle relaties standaard vanaf een zelf aan te duiden mutatie datum worden verwijderd. Er is voor gekozen om als standaard in te stellen dat alle relaties verwijderd zodat er niet onnodig relatiegegevens behouden worden die eigenlijk zouden moeten worden verwijderd ivm privacy.  

Privacy by Design (deel 1): Voorkomen is beter dan genezen

Deze blog maakt deel uit van een serie blogs over Privacy by Design. In deze reeks gaan we steeds kort in op 1 van de 7 principes. Het eerste principe is "Proactive not reactive" . In dit principe gaat het om het proactief voorkomen van schendingen van privacy. Het gaat hier niet om 'damage control' nadat er een incident is geweest maar hoe je voorkomt dat een dergelijk incident gebeurt.

Met betrekking tot het programmeren van de software moeten ontwikkelaars preventieve technische maatregelen nemen voor de bescherming van persoonsgegevens. Uiteraard is een bedrijf zelf verantwoordelijk voor haar eigen processen om persoonlijke gegevens te waarborgen maar als software leverancier kun je al een heleboel fouten die soms nietsvermoedend worden gemaakt op dit gebied voorkomen. Hier zijn twee voorbeelden van waar het heel eenvoudig is om privacy preventief te beschermen:

  • Geef geen mogelijkheid. Een softwarepakket heeft een veld waarin iemands geloof of bijvoorbeeld kerkgenootschap genoteerd kan worden wat natuurlijk gevoelige persoonsgegevens zijn. Door dit simpelweg weg te halen voorkom je dat dit geregistreerd wordt. De gebruiker zou dit natuurlijk alsnog ergens kunnen registreren en de software hiervoor kunnen "misbruiken' maar je geeft er bewust geen ruimte voor.
  • Waarschuw. Voor het noteren van iemands zijn BSN geeft de software een waarschuwing waarmee de gebruiker een herinnering krijgt dat dit om gevoelige persoonsgegevens gaat en ook een waarschuwing dat je als organisatie wel bevoegd moet zijn. Een andere optie is dat de klant bewust moet aanvinken dat ze dit mogen doen en pas na deze handeling het BSN mogen invullen.

In de praktijk

De standaardinstelling voor een nieuwe gebruikersgroep is "geen toegang". Toegang moet actief worden verleend

De standaardinstelling voor een nieuwe gebruikersgroep is "geen toegang". Toegang moet actief worden verleend

Een voorbeeld van privacy by design in de praktijk bij KorènCRM is onze rechtenbeheer. Bij onze klanten zijn er verschillende gebruikersgroepen die gebruikmaken van de software. Bij het toevoegen van een nieuwe gebruikersgroep moeten alle rechten worden toegewezen. De standaardinstelling voor rechtenbeheer bij iedere gebruikersgroep is "Geen toegang" wat erop neerkomt dat er actief toestemming verleend moet worden in plaats van dat toestemming actief moet worden uitgezet. Hierdoor moet de applicatiebeheerder bewust bij een gebruikersgroep per module instellen waar de gebruikersgroep toegang toe heeft en wat ze na toegang voor acties kunnen ondernemen in de software. Er zijn vier opties:

A) Geen toegang
B) Alleen lezen
C) Kunnen wijzigen
D) Kunnen verwijderen

Hiermee kun je aangeven wat een gebruiker per module en ook per module-deel in de module kan doen. Sommige gebruikers zullen bijvoorbeeld NAW gegevens kunnen aanpassen maar misschien niet bankgegevens en weer andere gebruikers kunnen relaties alleen lezen. Sommige kunnen bulkmail versturen, anderen mogen dat wel doen maar mogen geen ledenpas bulkmail versturen omdat ze deel uitmaken van de cursusafdeling van een organisatie. Deze laatste groep krijgt als startpagina de cursusmodule en kan niet bij andere modules kijken of iets wijzigen. 

 

Privacy by Design, 7 Principes

In verband met de General Data Protection Regulation (GDPR) ook wel bekend als de Algemene Verordening Gegevensbescherming  (AVG) dat op 25 mei 2018 in de E.U. ingaat is 'Privacy by design' nog meer onder de aandacht. Dit was altijd al een belangrijk iets voor softwareontwikkelaars rekening mee te houden tijdens het ontwerpen van nieuwe producten. In deze blogserie wil ik wijzen op enkele handige zaken om rekening mee te houden met 'Privacy by design' en daarbij ook steeds een concreet voorbeeld te geven van hoe wij dat hebben ingericht in onze CRM.

Wat betekent 'Privacy by Design'?

Het is van belang om 'Privacy by design (PbD)' eerst definiëren. De definitie hiervan is tweeledig:

1. Het aandacht schenken aan PET (privacy enhancing technologies) oftewel het verhogen van privacy door technische maatregelen.

2. Niet onnodig persoonsgegevens verwerken, maar alleen de persoonsgegevens die voor het doel van de verwerking nodig zijn.

7 Privacy by design principes

Er zijn door 7 principes door Dr. Ann Cavoukian opgesteld om rekening mee te houden als het gaat om privacy by design.

1. Proactive not reactive - hier gaat om maatregelen om te voorkomen dat de privacy van mensen wordt geschonden.

2. Privacy as the default setting - individuen hoeven geen actie te ondernemen om hun privacy te beschermen, privacy is ingebouwd in de software.

3. Privacy embedded into design - privacy wordt een essentieel deel van de kernfunctionaliteiten. 

4. Full functionality - valse tegenstelling zoals security vs. privacy of functionaliteit vs privacy vermijden. 

5. Transparantie & recht op informatie -  De applicaties waar een organisatie gebruik van maakt moet conform zijn aan het niveau van privacy en security dat door de organisatie wordt gehanteerd. 

6. Respect for User Privacy - de privacy van het individu is overal in het ontwerp van de software op de voorgrond aanwezig.

7. End-to-End security - Voordat er persoonsgegevens worden verzameld is PbD al geïmplementeerd.

 

We zullen wekelijks een van deze 7 principes in de praktijk toelichten vanuit onze eigen software. 

 

 

 

Functionaris voor de Gegevensbescherming

Functionaris voor de gegevensbescherming

Het is vanaf 25 mei 2018 straks een verplichting in een aantal situaties. Iedere organisatie die persoonsgegevens verwerkt onder bepaalde omstandigheden moet straks een Functionaris voor de Gegevensbescherming (FG), ook wel Data Protection Officer genoemd, aanstellen. Wat houdt dit in?
Wij hebben enkele handige links op een rijtje gezet zodat je weet wat dit inhoud en wat je als organisatie eventueel voor actie moet ondernemen. Heb je zelf nog handige tips of links, geef ze aan ons door in een comment hieronder of stuur ons een mail dan voegen we je tip/link toe.

  • Handige online check van brancheorganisatie Nederland ICT om te zien of je organisatie een FG nodig heeft.
  • Vanuit de E.U.  Artikel 29 Werkgroep de FAQ ten aan zien van de AG (hier Data Protection Officer/DPO genoemd)
  • Hier krijg je een goed overzicht over wanneer het in mei 2018 wel en niet verplicht is om een FG aan te stellen.
  • Infopagina van de Autoriteit Persoonsgegevens zelf met een beknopt overzicht van o.a. de taken, eisen en bevoegdheden mbt een FG. 
  • Deze website geeft goed weer wat de voordelen zijn van het aanstellen een FG. 
  • De VNG (Vereniging van Nederlandse Gemeenten) heeft twee inhoudelijk sterke handreikingen gepubliceerd, één over de rol en taken van de FG en één andere over de positionering van de FG. Hoewel de handreikingen natuurlijk zijn toegespitst op gemeentes is het ook zeker de moeite waard om door te nemen met name op gebied van de onafhankelijkheid van de FG.
  • Lees de factsheet van ICTRecht over de AVG (Algemene Europese Verordening Gegevensbescherming) in het algemeen.

Wanneer is het verplicht?

 


Kort samengevat is het in deze gevallen verplicht:

1. Voor overheidsinstanties (met uitzondering van de rechterlijke macht)

2. Organisaties waar het vanwege de aard van de verwerking van persoonsgegevens verplicht is. Denk hierbij aan het regelmatig en structureel observeren van data mbt betrokkenen. 

3. Bij grootschalige verwerking van bijzondere (en strafrechtelijke)  persoonsgegevens; Hieronder vallen onder anderen politieke voorkeur, seksuele geaardheid, ras en gezondheidsinformatie. 

 

 

 

 

 

 

 

 

 

Security Online - 10 Gebruiker Tips

security tips voor gebruikers

Security is belangrijker dan ooit, en terecht. Het nieuws staat regelmatig bol met de zoveelste datalek of kritieke beveiligingsissue. Als SaaS leverancier is het onze verantwoordelijkheid om te zorgen voor de juiste organisationele en technische maatregelen ter bescherming. Daarmee komen we in heel eind in het veiligstellen van je data. Maar als gebruiker heb je ook een verantwoordelijkheid hierin. 

Soms kunnen datalekken ontstaan en virussen propageren door fouten van gebruikers. Hier zijn enkele simpele tips die als gebruiker een hoop ellende kunnen besparen.

  1. Datalek op papier - Een datalek op papier komt vaker voor dan je zou denken. Ondanks de toenemende digitalisering keert de verleiding en soms ook de noodzaak om iets te printen steeds weer terug. Zorg als gebruiker er dus voor dat je al je papier vernietigd en niet zomaar bij het oud papier zet. Laat ook nooit een adressenlijst rondslingeren op kantoor. Wees hier zorgvuldig mee.

  2. Opgepast, cryptolockers! - Bepaalde virussen (ook cryptolockers genoemd) worden verspreid door eenvoudige alledaagse documenten zoals een pdf file of word document als een bijlage in een email. Open nooit zomaar dit soort documenten als je deze ontvangt. Wees kritisch, een gezonde dosis argwaan kan veel schelen. Wie is de afzender? Is het noodzakelijk om dit document te openen? Zorg voor een up-to-date virusscanner en download geen documenten uit onbekende bronnen. 

  3. Beveiligde verbinding - Zorg ervoor dat als je interactieve webforms hebt op je website, dat de site https (vb: https://example.com vs. http://example.com) beveiligd is. Als dit niet zo is kan er in principe door ongewenste derde partijen over je schouder mee worden gekeken. Mocht je dit zelf niet kunnen vraag het dan aan je websitebeheerder/bouwer. Die zou dit eenvoudig moeten kunnen regelen. Ook voor je Google ranking is dit van belang.

  4. Webcam afdekken - Het is verstandig om de ingebouwde webcam op je laptop/pc af te dekken. Weliswaar is de kans klein maar om te voorkomen dat iemand toch via je webcam meekijkt is het handig om deze af te dekken als je deze niet gebruikt.

  5. Encryptie - Pas op met het bewaren van persoonsgegevens op een USB stick, laptop of ander medium. Als je dit doet zorg er dan voor dat het medium minstens met alleen met een wachtwoord toegankelijk is. Nog beter is het als het medium geheel encrypted, met andere worden versleuteld wordt. Er zijn diverse online tools om dit te doen. Onze tip voor je organisatie: Veracrypt.  

  6. Verdachte links - Klik niet zomaar op links in mails en vul nooit je wachtwoord zomaar ergens in. Het lijkt logisch maar toch gebeurt het te vaak, zelfs op hoog niveau met grote gevolgen.

  7. Screenshots - Pas op met het versturen van screenshots. Op een screenshot kan onbedoeld gevoelige informatie zitten, bijvoorbeeld wachtwoorden, persoonsgegevens of geheime bedrijfsinformatie. Dit is het ook geval met foto's.

  8. Lockscreen - Als je je werkplaats verlaat zet je scherm op slot (Windowstoets+L). Extra bonus is dat je collega's niets kunnen uithalen met je pc ;-)

  9. Two factor authentication - Onze software maakt gebruik van two factor authentication. Dit betekent dat er een extra stap nodig is voor toegang tot de software naast een correct wachtwoord invullen. Je krijgt dan een extra token of code die je moet invullen. Af en toe moet je dit dan opnieuw doen voor verificatie. Steeds meer online applicaties zoals Google & WhatsApp maken hier gebruik van. Als een stuk software deze optie heeft, maak hier dan gebruik van. Dit kun je meestal eenvoudig instellen.

  10. Wachtwoorden - Maak je wachtwoorden naast complex ook lang. Zorg ervoor dat je wachtwoord niet enkel uit cijfers of letters bestaat. Maak een combinatie van cijfers, letters en leestekens. Het is verstandig om geen geboortedata, voor of achternamen, cijferreeks of woord te gebruiken.  Lees hier onze gids om een veilig wachtwoord te creëren en doe de wachtwoord check hier.

Je wachtwoord, de eerste verdedigingslinie

Al sinds we de noodzaak zien om onze gegevens te beschermen, gebruiken we hiervoor wachtwoorden. Vroeger kozen we iets wat makkelijk te onthouden was, zoals de naam van de kat, het kenteken van de auto of de geboortedatum van oma. Inmiddels weten de meeste gebruikers wel dat een wachtwoord als "minoes" niet voldoende veiligheid biedt. 

Foto: David Goehring - CC BY-SA 2.0

Foto: David Goehring - CC BY-SA 2.0

In het digitale tijdperk hebben we steeds meer digitale bezittingen. Vakantie foto's, dagboeken en allerlei documenten zijn nu vaak alleen maar digitaal en online opgeslagen. Daardoor zijn ook steeds meer van onze bezittingen niet meer beschermd door de voordeur van ons huis, maar door een wachtwoord. Daarom is het goed om dit minstens net zo serieus te nemen als het slot op de voordeur.

Regeltjes

De meeste sites en programma's stellen allerlei eisen aan wachtwoorden om gebruikers te beschermen tegen een foute wachtwoord keus. Een minimumlengte, wat leestekens en hoofdletters en nog wat nummers. Daarnaast wordt nu vaak geëist dat het wachtwoord geregeld wordt gewijzigd. Waar zijn al die regeltjes voor en waar beschermen ze nou eigenlijk tegen?

Foto: Lachlan Hardy - CC BY 2.0

Foto: Lachlan Hardy - CC BY 2.0

Hackers die wachtwoorden kraken

Iemand die onrechtmatig toegang probeert te krijgen tot een systeem noemen we meestal een hacker. In sommige gevallen kan een hacker toegang proberen te krijgen door simpelweg de gebruikersnaam en het wachtwoord in te voeren. Je gebruikersnaam is meestal je emailadres en openbaar bekend, maar hoe weet hij dat wachtwoord?

Een veel voorkomende methode voor het kraken van een wachtwoord is de 'woordenboek'-aanval. De aanvaller gebruikt dan een lijst met veelvoorkomende wachtwoorden, soms in combinatie met een regulier woordenboek en probeert deze allemaal uit. Doordat een aanvaller deze wachtwoorden niet via het toetsenbord intypt, maar via een computerprogramma verzend, kan hij of zij er duizenden per seconde proberen. Op die manier vallen wachtwoorden als 'minoes', 'zegikniet' en 'geheim' al heel snel door de mand. Ook variaties van deze wachtwoorden worden uitgeprobeerd. dus 'Minoes', 'Minoe$' en 'Minoe$123' zijn ook snel genoeg gevonden. Nog makkelijker wordt het als de aanvaller u persoonlijk kent, en de namen van je huisdieren en naasten te weten is gekomen. Die namen en geboortedata worden dan als eerste uitgeprobeerd. Zelfs zonder die persoonlijke gegevens zal een gedreven hacker dit soort wachtwoorden in een dag of 2 kraken.

Wat kun je hier tegen doen?

U kunt het een kwaadwillende partij behoorlijk lastig maken om uw wachtwoord te raden, Om een sterk wachtwoord te hebben moet deze 12 of meer tekens lang zijn, geen woorden bevatten. Door een aantal eenvoudige zaken toe te passen kunt u een enorm sterk wachtwoord maken dat ook nog eens eenvoudig te onthouden is.

Als mensen zijn we heel goed in het onthouden van patronen en verhalen, maar niet zo goed in willekeurige reeksen cijfers en letters. In 2011 beschreef Randall Munroe een systeem voor sterke wachtwoorden, die voor mensen goed te onthouden zijn. In plaats van een willekeurige reeks van 12 hoofdletters, kleine letters, cijfers en leestekens, kies je een willekeurige reeks van 2-5 woorden. Zorg dat dit minstens 12 tekens zijn, en hoe meer verschillende woorden je kiest, hoe sterker het wachtwoord. Bij voorkeur zijn 1 of meer van die woorden in een andere taal, of verzonnen woorden. De cijfers stoppen we ergens in het midden. Bijvoorbeeld:

theemuts, naboo, gratis.

In uw hoofd maakt u een verhaaltje met deze woorden. "Een theemuts op Naboo is gratis". Als wachtwoord nemen we:

theemutsnaboogratis

Door dat verhaaltje is dit wachtwoorden al een stuk makkelijker te onthouden dan bijvoorbeeld "3heDre2&BecU". Vervolgens plaatsen we in deze zin, zomaar ergens een hoofdletter. Dat mag overal, maar niet op het begin.

theemutsnaBoogratis
5347580266_f1bd0f238d_b (1).jpg

Dit wachtwoord noemen we je hoofdwachtwoord. Hij is nog niet helemaal klaar, maar deze moeten we goed onthouden. Je kunt deze tijdelijk ergens op een papiertje schrijven, maar vernietig dat papiertje over een week. Sla dit wachtwoord nooit op in een bestand. Een goede manier om het te onthouden, is om een tekstverwerker (zoals Kladblok of Word) te openen, en het wachtwoord 20 keer in te typen, terwijl je het verhaaltje in je hoofd opleest. Dan ga je een half uurtje iets anders doen en doe je nog een ronde van 20 wachtwoorden. Je zal zien dat je steeds sneller gaat typen en steeds minder moeite hebt met het onthouden. Let wel op dat je dit tekstbestand na het oefenen NIET OPSLAAT.

Hergebruik van wachtwoorden

Als u eenmaal een complex wachtwoord heeft bedacht en onthouden, is de verleiding meestal groot om dit wachtwoord te gebruiken voor alle systemen waar je gebruik van maakt.  Dat zou een vergissing zijn, en verspilling van alle moeite die we hebben gedaan. Het komt geregeld voor dat sites waar je misschien een account op hebt worden gehackt. Als dit gebeurt is de kans aanwezig dat het wachtwoord dat je voor die site gebruikte bekend wordt. In 2014 lekte Yahoo! op die manier 500 miljoen gebruikersnamen en wachtwoorden uit. Als je in 2014 een Yahoo! account had met hetzelfde wachtwoord dat je nu gebruikt voor andere sites, is het raadzaam om dat wachtwoord snel te wijzigen.

Om te zorgen dat we voor elke site een ander wachtwoord hebben, gebruiken we kleine toevoegingen op het hoofdwachtwoord, die per site verschillen. Voor elke site kies je een reeks tekens die je voor en achter je wachtwoord zet, waarbij je altijd zorgt voor een cijfer en een leesteken. Bijvoorbeeld:

Facebook
Ervoor: Fb123
Erachter: @
Totaal wachtwoord: Fb123theemutsnaBoogratis@

Twitter
Ervoor: T#
Erachter: 52
Totaal wachtwoord: T#theemutsnaBoogratis52

Je kunt de stukjes die bij "Ervoor" en "Erachter" staan, veilig noteren in een boekje of papiertje. Als het hoofdwachtwoord maar nooit wordt uitgeschreven. Op die manier kan je heel veel wachtwoorden bijhouden op papier, zonder dat je je volledige 

Tot slot

Inderdaad, bovenstaande stappen zijn een stuk meer moeite dan gewoon 'Minoes' als wachtwoord blijven gebruiken. Echter is zo'n wachtwoord in de moderne wereld net zoiets als een kartonnen voordeur. Het houdt de tocht een beetje tegen, maar iedereen die wil komt zomaar binnen. Neem je digitale gegevens serieus en bescherm ze. Een sterk wachtwoord is geen garantie voor totale veiligheid, maar het is een goede eerste verdedigingslinie.


Online wachtwoord check

Wellicht heb je al een sterk wachtwoord. Via de wachtwoordcheck hier onder kun je testen hoe veel moeite het zou kosten om jouw wachtwoord te kraken.

Privacy 101 - het begint bij de gebruiker

Privacy by design

Met oog op de Wbp (wet bescherming persoonsgegevens) is het belangrijk om zorgvuldig om te gaan met de privacy van je relaties. Wat registreer je van wie? En waarom? Heb je daar wel de bevoegdheid toe? Het zijn allemaal vragen die belangrijk zijn om jezelf als organisatie af te vragen.

Bepaalde gevoelige persoonsgegevens mag je niet zomaar registeren zoals de Stemwijzer vorige maand ondervond. In dit geval ging het om het registreren van iemands politieke voorkeur. Andere voorbeelden van bijzondere persoonsgegevens zijn levensovertuiging, gezondheid of ras. Je moet een gegronde reden en toestemming nodig om dit soort zaken te registreren. Gebruikers moeten zich hier bewust van zijn. 

Privacy by design

Bij het ontwikkelen van software houden we het principe 'privacy by design' altijd in ons achterhoofd. Concreet betekent dit bijvoorbeeld dat we de mogelijkheden om bepaalde zaken te registreren bijvoorbeeld beperken, verwijderen of een waarschuwing erbij geven (Bijv: Let op: gevoelige persoonsgegevens). Ook het rechtenbeheer in de software is een belangrijke tool hierin. Hiermee kun je binnen de organisatie gebruikers of gebruikersgroepen bepaalde rechten geven of ontnemen in de software. Als je softwarepakket dit soort tools heeft, gebruik ze dan ook.   

Wij adviseren onze klanten om allereerst na te vragen wat de noodzaak is van het registreren van iets. Pas als daar een goed antwoord op is kun je verder kijken wat de (on)mogelijkheden zijn met oog op de Wbp.

Als het gaat om het bewaren van gegevens is er natuurlijk "the right to be forgotten" of "vergeetrecht". Relaties hebben het recht om persoonsgegevens die bij jouw als organisatie bekend zijn te laten verwijderen.  

Jouw relaties mogen ten alle tijden de persoonlijke gegevens die bij jou bekend zijn opvragen en wettelijk ben je verplicht om dit verzoek te honoreren. Om dit te vergemakkelijken voor onze klanten hebben ze de mogelijkheid om via een gratis webapp deze mogelijkheid aan hun relaties aan te bieden. Hiermee kunnen relaties zelf hun gegevens inzien. Hiermee voldoe je eenvoudig aan deze eis en kost het je weinig moeite als organisatie.

Aandacht voor privacy is belangrijk omdat het niet om cijfers gaat. Het gaat om mensen en het recht op privacy als het gaat om hun persoonlijke situatie. Het begint dus bij je instelling als gebruiker. Ga zorgvuldig om met de persoonsgegevens die je zijn toevertrouwd.