CRANIUM BVBA copyrighted material!
Sensibilisering privacy en (persoons)gegevensbescherming Vorming na zes bezoeken aan voorzieningen Bavo Van den Heuvel – Bart van Buitenen Lente 2014 -
Steunpunt Jeugdhulp
CRANIUM BVBA copyrighted material!
Bavo Van den Heuvel: handelsingenieur, computer forensisch auditor, ISO 27001 lead auditor en Certified Information Privacy Professional / Europe (CIPP/E) & Manager (CIPM) Meer dan 17 jaar aan het werk rond informatiebeveiliging, 6,5 jaar bij Smals: eerst voor OCMW’s die aansloten op KSZ, dan als veiligheidsconsulent bij KSZ, dan bij veiligheidsdienst Smals: intern werk (cryptografische projecten) en externe klanten (OCMW’s, Vlaamse Overheid) Vanuit CRANIUM BVBA vooral werkzaam voor Vlaamse Overheid: steeds als veiligheidsconsulent (CISO), als privacyspecialist (DPO) of voor juridisch advies rond privacywetgeving: AGIV, BZ ABB (Corve, KBI, Toezicht), BZ PIB, RWO, VEA, WSE Inspectie, WVG, O&V, federaal: RJV, intercommunale: IVAREM, andere: HP, Stad Sint-Niklaas, VITO Oprichter, mede-eigenaar en docent van Data Protection Institute BVBA: opleidingsinstituut voor Data Protection Officers, veiligheidsconsulenten: www.dp-institute.eu
2
CRANIUM BVBA copyrighted material!
• 12 jaar ervaring in verschillende auditing, controle en IT functies • financieel auditor bij Deloitte, Controlling Philips Nederland en IT consultant bij verschillende bedrijven (Prodware, Cronos, …) • Sinds 2013 als zelfstandige actief op het snijvlak van IT en privacywet (Applied Privacy) • momenteel werkzaam als adjunct veiligheidsconsulent voor Vl. Ministerie WVG, veiligheidsconsulent bij Syntra Vlaanderen en veiligheidsconsulent bij het Nationaal Geografisch Instituut en diverse opdrachten op het gebied van privacy en informatieveiligheid.
Bart van Buitenen
3
CRANIUM BVBA copyrighted material!
• • • • • • •
13/2/14: De Vlieger, Deurne (Antwerpen) 14/2/14: Tonuso, Anderlecht 17/2/14: Onze Thuis, Edegem 18/2/14: Jeugddorp, Bonheiden 18/2/14: Sporen, Heverlee 25/2/14: De Witte Berken, Wervik 18/3/14: MFC Combo, Leuven
Bezoeken aan voorzieningen
4
CRANIUM BVBA copyrighted material!
• De aanpak rond de werking met jongerendossiers en beroepsgeheim enzo is zeer vergelijkbaar tussen de voorzieningen • De inrichting van de informatica is heel verschillend, vaak het resultaat van groei door fusie, weinig echt gecentraliseerd, weinig kennis in huis, onbewust worden grote risico’s genomen • De wil om het goed/beter te doen is overal aanwezig
Opvallend
5
CRANIUM BVBA copyrighted material!
• “Vertrouwelijkheidsovereenkomst met hen is niet nodig, vrijwilligers komen toch maar af en toe” • Persoonsgegevens in de leefruimten: “de kasten zitten immers dicht… nee niet op slot.” • “Backups zijn niet nodig: we hebben altijd de papieren dossiers nog” • “Alle wachtwoorden zijn hetzelfde, dat is praktisch” • “We hebben geen wachtwoorden: eenieder die fysiek aan de pc kan, behoort bij de begeleiding van de leefgroep”
Wat kan er gebeuren?
6
CRANIUM BVBA copyrighted material!
• WEP wachtwoorden op wifi routers zijn nu binnen een half uur te kraken • Persoonsgegevens zijn tegenwoordig onderdeel van een grote markt waar grof geld in omgaat • Vertrouwen is de basis van alle hulpverlening: datalekken kunnen die zwaar beschadigen • Nieuwe Europese verordening voorziet in verregaande wijzigingen zoals concrete sancties, waaronder geldboetes bij verlies persoonsgegevens
Wat kan er gebeuren?
7
CRANIUM BVBA copyrighted material!
O.a. privacywet artikel 16 (…) “§ 2. De verantwoordelijke voor de verwerking (…) moet: (…) 3° alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden; “ => In mensentaal: jullie moeten op de hoogte zijn van de verplichtingen voortvloeiend uit de privacywet
Wettelijke basis van deze sensibilisering
8
CRANIUM BVBA copyrighted material!
• • • • • • • • •
Privacywet: definities Privacywet: hoe verwerken Veiligheidsconsulent Verantwoordelijke voor de verwerking Verwerker Kennisgeving Logging 10 vaststellingen en 10 oplossingen nalv bezoeken Veiligheidsplan
Inhoudsopgave sensibilisering
9
CRANIUM BVBA copyrighted material!
08/12/1992 | Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (laatste update 8/7/2013) http://www.privacycommission.be/sites/privacycommission/files/documents/CONS_wet_ privacy_08_12_1992_0.pdf
Privacywet
10
CRANIUM BVBA copyrighted material!
• § 1. Voor de toepassing van deze wet wordt onder “persoonsgegevens” iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna “betrokkene” genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd (…) • Voorbeelden
Privacywet art 1 Definities
11
CRANIUM BVBA copyrighted material!
Verwerking is in se verboden, tenzij bepaalde maatregelen worden genomen en er een rechtmatige juridische basis voor de verwerking is: • Artikel 6: § 1. De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven betreffen, is verboden. • (in § 2 wordt dan omschreven wanneer dit wel kan) • Artikel 7: § 1. De verwerking van persoonsgegevens die de gezondheid betreffen, is verboden. • (in § 2 wordt dan omschreven wanneer dit wel kan)
Subcategorie: gevoelige persoonsgegevens 1/2
12
CRANIUM BVBA copyrighted material!
•
•
Artikel 8: § 1. De verwerking van persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen, is verboden. (in § 2 wordt dan omschreven wanneer dit wel kan)
Merk op: anonieme gegevens zijn per definitie geen persoonsgegevens en vallen dus niet onder de privacywet, dat vinden we terug in: • KB 13 FEBRUARI 2001. - Koninklijk besluit ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens: • Artikel 1: (…) 5°" anonieme gegevens " : gegevens die niet met een geïdentificeerd of identificeerbaar persoon in verband kunnen worden gebracht en derhalve geen persoonsgegevens zijn;
Subcategorie: gevoelige persoonsgegevens / anonieme gegevens 2/2
13
CRANIUM BVBA copyrighted material!
• § 2. Onder “verwerking” wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, … • Voorbeelden
Privacywet art 1 Definities
14
CRANIUM BVBA copyrighted material!
• § 4. Onder “verantwoordelijke voor de verwerking” wordt de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. (…) • Feitenkwestie
Privacywet art 1 definities
15
CRANIUM BVBA copyrighted material!
• § 5. Onder “verwerker” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken. • Voorbeelden: externe hosting, Merak,…
Privacywet art 1 definities
16
CRANIUM BVBA copyrighted material!
Bron: http://www.homeopathienetwerk.nl/cursussen-en-lezingen-homeopathie-in-2010
Basisprincipes verwerking persoonsgegevens
17
CRANIUM BVBA copyrighted material!
• Finaliteit: “de persoonsgegevens dienen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden.” (Art.4, §1, 2°). • Voorbeelden: inschrijving op een school, een parkeerboete, opname in ziekenhuis, nieuwe werknemer inschrijven, taxon-web aangifte
Basisprincipes verwerking
18
CRANIUM BVBA copyrighted material!
• Proportionaliteit: de persoonsgegevens moeten toereikend, ter zake dienend en niet overmatig zijn, uitgaande van de doeleinden waarvoor ze worden verkregen of waarvoor ze verder worden verwerkt (art. 4, §1, 3°). • Voorbeelden: inschrijving op een school, een parkeerboete, opname in ziekenhuis, nieuwe werknemer inschrijven, tax-on-web aangifte • Transparantie: de gegevensverwerker heeft de verplichting tot informatie van de betrokken personen van wie de gegevens worden gebruikt (art. 9) • Voorbeelden: inschrijving op een school, een parkeerboete, opname in ziekenhuis, nieuwe werknemer inschrijven, tax-on-web aangifte
Basisprincipes verwerking
19
CRANIUM BVBA copyrighted material!
• De veiligheidsconsulent kan als interne of externe per voorziening werken, of voor verschillende tegelijk (waarbij één er werkgever is), of voor een groep van voorzieningen, of voor een koepel of ander samenwerkingsverband. veiligheidsconsulent
•
•
Belangrijk is dat de veiligheidsconsulent steeds adviseert aan de verantwoordelijke van elke entiteit. Dat is vereist vanuit het BVR over de veiligheidsconsulenten http://vtc.corve.be/docs/E_GOV_d ecreet_BVR_VEILIGHEID.pdf. Hij of zij dient ook over voldoende tijd te (mogen) beschikken, gevormd te zijn en geen onverenigbare activiteiten te doen.
Veiligheidsconsulent
20
CRANIUM BVBA copyrighted material!
• De veiligheidsconsulent rapporteert steeds rechtstreeks aan de verantwoordelijke voor de verwerking voor zijn taken als veiligheidsconsulent • Mogelijk zijn er conflicten als veiligheidsconsulent daar zijn andere functie andere belangen verdedigt • Best is er ook een backup-persoon die op de hoogte is van het werk van de veiligheidsconsulent
Werking
21
CRANIUM BVBA copyrighted material!
• De veiligheidsconsulent onderhoudt best goede contacten met: • Gebouwenbeheerder(s) van alle locaties waar er persoonsgegevens verwerkt worden • Directie • Preventie-dienst / preventieadviseur ihkv arbeidsveiligheid • IT-verantwoordelijke
Communicatie
22
CRANIUM BVBA copyrighted material!
• Adviserende, stimulerende, documenterende en controlerende opdracht inzake informatieveiligheid • De veiligheidsconsulent adviseert de verantwoordelijke voor het dagelijks bestuur van zijn instelling, op diens verzoek of op eigen initiatief, omtrent alle aspecten van de informatieveiligheid. Het advies wordt schriftelijk en gemotiveerd uitgebracht, tenzij de risico's niet voldoende ernstig zijn. • Wettelijke basis onder andere: http://vtc.corve.be/docs/E_GOV_decreet_BVR_VEILIGHEID.pdf
Rol veiligheidconsulent
23
CRANIUM BVBA copyrighted material!
• Verantwoordelijk voor de uitvoering van het veiligheidsbeleid • Als adviseur onder rechtstreeks gezag van verantwoordelijke dagelijks bestuur • Kennis over informatieveiligheid en IT van zijn instantie • Voldoende tijdsbesteding • Goed getraind • Geen onverenigbaarheden • => nog meer eisen in Europese verordening
Taken veiligheidsconsulent
24
CRANIUM BVBA copyrighted material!
Verantwoordelijke voor de verwerking
25
CRANIUM BVBA copyrighted material!
Privacywet artikel 16: § 2. “De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in België moet : 1° er nauwlettend over waken dat de gegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met de artikelen 4 tot 8, worden verbeterd of verwijderd; => KWALITEIT GEGEVENS 2° ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst; => GEBRUIKERSBEHEER, LOGGING, CONTROLE
Verantwoordelijke voor de verwerking: taken 26
CRANIUM BVBA copyrighted material!
Privacywet artikel 16: § 2. “De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in België moet : 3° alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden; => VORMING 4° zich ervan vergewissen of programma's voor de geautomatiseerde verwerking van persoonsgegevens in overeenstemming zijn met de vermeldingen van de aangifte waarvan sprake is in artikel 17 en dat er geen wederrechtelijk gebruik van wordt gemaakt.”=> IN LIJN ZIJN MET WETGEVEND KADER (“compliancy”)
Verantwoordelijke voor de verwerking: taken 27
CRANIUM BVBA copyrighted material!
Verwerker 28
CRANIUM BVBA copyrighted material!
• Verplichtingen verantwoordelijke voor de verwerking tov verwerker(s) Merk op: als we het zelf verwerken, worden we niet als verwerkers beschouwd: privacywet: art 1 § 5. Onder “verwerker” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken.
Het werken met verwerkers
29
CRANIUM BVBA copyrighted material!
Privacywet artikel 16: § 1.“Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België : 1° een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking; Verantwoordelijke voor de verwerking – verwerker: taken
30
CRANIUM BVBA copyrighted material!
Privacywet artikel 16: 2° toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen; 3° de aansprakelijkheid van de verwerker ten aanzien van de verantwoordelijke voor de verwerking vaststellen in de overeenkomst; Verantwoordelijke voor de verwerking – verwerker: taken
31
CRANIUM BVBA copyrighted material!
Privacywet artikel 16: 4° met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verantwoordelijke voor de verwerking en dat de verwerker is gebonden door dezelfde verplichtingen als deze die waartoe de verantwoordelijke in toepassing van paragraaf 3 is gehouden; 5° in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de gegevens en de eisen met betrekking tot de maatregelen bedoeld in paragraaf 3 vaststellen.” ! Wordt nog strenger ihkv nieuwe Europese verordening
Verantwoordelijke voor de verwerking – verwerker: taken
32
CRANIUM BVBA copyrighted material!
• Verwerker dient dezelfde beveiligingsmaatregelen te nemen als die die de verantwoordelijke dient te nemen • Verwerker mag de gegevens niet voor een ander doeleinde aanwenden als voor dewelke de verantwoordelijke hem deze toevertrouwde => nieuw verordening: anders wordt hij voor deze verwerking als verantwoordelijke beschouwd • Verordening art 26 nieuw: vertrouwelijkheidsverplichting personeel (nu al Sect Com RR)
Taken verwerker
33
CRANIUM BVBA copyrighted material!
• • • • • •
Op de website (typisch) Als bijlage aan een in te vullen papieren/digitaal formulier Afgedrukt uitgehangen aan het loket Als deel van de algemene voorwaarden In een apart pamflet: bv Google Streetview In een advertentie: bv verkeersbordendatabank (mobile mapping Cyclomedia) In het kort: “by all means” Uitdaging verordening: er “een spoor” van hebben Extra: overlopen url’s website: http://www.dpinstitute.eu/data-protection-informatie/
Kennisgeving: praktisch
34
CRANIUM BVBA copyrighted material!
Logging en traceerbaarheid 35
CRANIUM BVBA copyrighted material!
Artikel 16 § 2. De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in België moet (…) 2° ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst;
=> Controle hierop = afdoende logging registreren en deze achteraf nakijken
Art 16
36
CRANIUM BVBA copyrighted material!
Consultatiegeschiedenis van mijn dossier: tot 6 maanden terug!
37
CRANIUM BVBA copyrighted material!
• Niet voldoende kennis over hoe, welke informatie wanneer mag worden vrijgegeven: via telefoon, mail of anderzijds • Persoonsgegevens niet in leefruimten bewaren: dit geldt voor PC’s, laptops, dossierkasten, etc. • Niet de juiste wachtwoordbeveiliging: soms overal hetzelfde of geen wachtwoord, standaard wachtwoorden van de fabrikant • Thuiswerk of persoonsgegevens in transit: onbeveiligde USB sticks, laptops zonder vorm van beveiliging, update software • Wifi niet (voldoende) beveiligd, gedeeld netwerk met dat ook door jongeren gebruikt wordt zonder scheiding
Vaststellingen tijdens de bezoeken
38
CRANIUM BVBA copyrighted material!
• Persoonsgegevens niet altijd verstuurd via beveiligde kanalen, attachments met persoonsgegevens zonder beveiliging • Oude hardware niet “gewiped” (data terug te halen), oud papier niet (voldoende) versnipperd • Jongeren zijn niet (voldoende) voorgelicht over gebruik sociale media, wat mag er wel en wat mag er niet op • Personeel: Geen vaste procedures voor in– en uitdiensttredingen mbt apparatuur en rechten op systemen, vrijwilligers tekenen niet standaard een vertrouwelijkheidsovereenkomst • Fusies (bijv. i.h.k.v. EMK) hebben geleid tot gefragmenteerde IT
Vaststellingen tijdens de bezoeken
39
CRANIUM BVBA copyrighted material!
• Vaststelling: wifi is niet goed beveiligd, te zwakke beveiliging gekozen (encryptie), te kort wachtwoord, te veel mensen weten wachtwoord • Quickwin: een moeilijker wachtwoord en beveiliging instellen op de wifi: • Achtergrond: http://support.nl.belgacom.be/app/answers/detail/a_id/15495/~/b eveiligd-netwerk%3A-een-wpa-sleutel-is-veiliger-dan-een-wepsleutel • Tips: https://nl.wikibooks.org/wiki/Veilig_op_het_internet/Draadloos_int ernet • Nog tips: http://www.pepermunt.net/internet-toegang/wifiinstalleren.html
1. Wifi
40
CRANIUM BVBA copyrighted material!
• Vaststelling: Papieren documenten worden niet onherstelbaar vernietigd, oude hardware wordt niet onherstelbaar leeggemaakt (gewist) • Quickwin: gebruik shredders die onherstelbaar shredden (DIN 32757 norm, 6 klasses naar vertrouwelijkheid), gebruik tools zoals DBAN (http://www.dban.org/) voor data wipes, laat evt. oud papier en hardware ophalen door gespecialiseerde firma • Achtergrond: • http://www.engineersonline.nl/nieuws/id22696-innovatieprijs-voorreconstructie-versnipperde-stasi-documenten.html • https://nl.wikipedia.org/wiki/Gegevensherstel
• Tips rond wissen: http://youtu.be/8tOMYyAH7Hs?t=54s • Nog tips: www.bestuurszaken.be/vernietigen-vanarchiefdocumenten#aandachtspunten
2. Vernietigen en wipen
41
CRANIUM BVBA copyrighted material!
• Vaststelling: wachtwoorden gebruikt men vaak niet, als ze er toch zijn: gedeeld of niet complex genoeg, wachtwoorden zijn/blijven de standaard fabrikant wachtwoorden • Quickwin: altijd wachtwoorden activeren, iedere persoon een eigen wachtwoord, gebruik van wachtwoorden met voldoende complexiteit, verander altijd standaard wachtwoorden op apparatuur • Achtergrond: https://www.microsoft.com/nl-nl/security/pcsecurity/password-checker.aspx • Tips: http://www.onemorething.nl/2014/01/schijnbeveiliging-deslechtste-wachtwoorden-van-2013/ • Nog tips: http://www.digibewust.nl/onderwerpen/wachtwoorden
3. Wachtwoorden
42
CRANIUM BVBA copyrighted material!
• Vaststelling: er zijn niet (voldoende) richtlijnen bekend voor het gebruik van sociale media, zowel voor jongeren als eventueel voor begeleiders • Quickwin: communicatie met jongeren, ouders, pleeggezin e.d. via sociale media kan met oog voor het beroepsgeheim en privacy regels, wees terughoudend met informatie, deel nooit persoonsgegevens van betrokkenen, stel schriftelijke richtlijnen op voor gebruik • Achtergrond: http://www.ikbeslis.be/, • Tips: https://www.safeonweb.be/nl/tips/hoe-veilig-gebruik-maken-vansociale-media • Nog tips: http://www.steunpuntjeugdhulp.be/?action=juridische_faqlijst&categorie =88&titel=Privacy&select_page=90 http://communicatie.vlaanderen.be/nlapps/docs/default.asp?fid=171 • Controleer wat je vindt over je voorziening online: via Google kom je veel te weten!
4. Gebruik sociale media
43
CRANIUM BVBA copyrighted material!
• Vaststelling: Thuiswerk of persoonsgegevens in transit zijn niet voldoende beveiligd, onbeveiligde USB sticks, laptops zonder encryptie • Quickwin: versleuteling van laptops, gebruik van tools om bestanden te versleutelen (Truecrypt, 7zip), Cloud raden we af! Toch doen? Kies in ieder geval beveiligde cloud oplossingen (b.v. https://wuala.com/nl) • Achtergrond ivm encryptie: https://decorrespondent.nl/691/hoe-werktencryptie-op-internet/33649627-2ba0e23a • https://www.privacyassociation.org/media/presentations/13DPC/DPC13_ Data_Encryption_PPT.pdf (in het engels) • Tips: http://forum.kpn.com/t5/Ondernemen-in-de-Cloud/5-Tips-en-3oplossingen-om-je-bestanden-te-beveiligen/ba-p/144963 • Tips installatie encryptie: http://www.geenstijl.nl/archives/images/TrueCrypt534.jpg
5. Thuiswerk / extern
44
CRANIUM BVBA copyrighted material!
• Vaststelling: Geen vaste procedures voor in– en uitdiensttredingen mbt apparatuur en rechten op systemen, vrijwilligers tekenen niet standaard een vertrouwelijkheidsovereenkomst • Quickwin: zorg voor een checklist bij in- en uitdienstreding zodat geen stappen overgeslagen worden, leg de voorwaarden rond gebruik hardware en vertrouwelijkheid ook voor vrijwilligers vast • Achtergrond voor vrijwilligers en vertrouwelijkheid: http://wvg.vlaanderen.be/vrijwilligers/documenten/onderzoek2009 /Brochure%20vertrouwelijke%20info.pdf • Tips personeel en PC: https://ksz.fgov.be/binaries/documentation/nl/securite/policies/is ms_048_inzake_goede_praktijken_eindgebruiker_n.pdf
6. Personeel
45
CRANIUM BVBA copyrighted material!
• Vaststelling: Niet voldoende kennis over hoe, welke informatie wanneer mag worden vrijgegeven: via telefoon, mail of anderzijds, kwetsbaar voor social engineering (SE) • Voorbeeld: interimkantoor belt… voor een jongere die gekend is, met een job-aanbieding die erg goed past bij zijn/haar profiel • Quickwin: voor iedereen moet duidelijk zijn welke informatie wel niet gegeven kan worden en onder welke omstandigheden, bij onbekende bellers of emails: wees gerust proactief paranoide, paranoia werkt niet retroactief! • Achtergrond: https://www.sogeti.nl/sites/default/files/Sogeti-SocialEngineering-Rap.pdf • Tips tegen SE: http://computerworld.nl/beveiliging/79209-4-adviezentegen-social-engineering • Tips waarom SE werkt: http://www.trendmicro.nl/media/br/5-reasonswhy-social-engineering-tricks-work-nl.pdf
7. Social Engineering
46
CRANIUM BVBA copyrighted material!
• Vaststelling: Software wordt niet structureel up to date gehouden, zowel programma’s als OS, gedeeld gebruik PC leidt tot risico’s • Quickwin: upgrade windows XP pc’s, zorg dat alle software up to date is (hier zijn ondersteunende tools voor: zeker Adobe Reader en Flash en Java zijn hierin essentieel) • Er zijn databases online met niets anders dan informatie over zwakheden in oude software (v.b. http://www.cvedetails.com/) • Quickwin: bij gedeeld gebruik laptops aparte accounts zonder admin rechten • • •
Achtergrond: http://windows.microsoft.com/nl-nl/windows/end-support-help Tips: http://computertotaal.nl/apps-software/software-van-derden-automatischupdaten-30002 Tips accountbeheer: http://computertotaal.nl/apps-software/windows-7gebruikersaccounts-25818
8. Beheer PC: Software
47
CRANIUM BVBA copyrighted material!
• Vaststelling: persoonsgegevens worden soms bewaard in openbaar toegankelijke ruimtes (jongeren, bezoekers) • Quickwin: niet altijd kant en klare oplossing, maar houd rekening met volgende risico’s: • Integriteit: hoe kan men vaststellen dat één of meerdere pagina’s uit een dossier ontbreken, niet alles is digitaal beschikbaar • Vertrouwen is de basis van de hulpverlening: datalekken zullen vertrouwen van de jongere en zijn context schaden • Denk ook aan aansprakelijkheid bij verlies gegevens • Wandel eens door gebouw alsof je zelf “een bezoeker” bent
9. Beheer gegevens
48
CRANIUM BVBA copyrighted material!
• Vaststelling: vele voorzieningen hebben vele verschillende locaties vanaf waar men moet kunnen werken aan dossiers. Alle pc’s zitten niet echt op één netwerk met één fileserver en dus gebruikt men onveilige manieren. • Quickwin: • Maak een tekening van hoe alles aan elkaar hangt • Bekijk wie er waar aan wat moet kunnen • Voorkeur: laat iedereen beveiligd (via vpn: software of hardware) verbinden naar de hoofdlocatie: daar staat de fileserver (kan een eenvoudige NAS zijn), en is er een gecontroleerde (firewall) toegang tot internet (ook voor de computers van de jongeren) • NAS of server: http://www.elinea.nl/artikel/nas-of-server • Misschien zijn er mogelijkheden via wat je kan bekomen via https://www.socialware.be/nl (verder te bekijken per voorziening)
10. Werken op verschillende locaties
49
CRANIUM BVBA copyrighted material!
• • • • •
Prioriteit op meest kritische toepassingen Alligneren met ander plannen Jaarlijks update ronde doen van wat er al opgestart was Na sensibilisering controles doen in opdracht directie Inventarissen bijhouden
Veiligheidsplan
50
Beveiligingsorganisatie
• Horizon 3 jaar:
CRANIUM BVBA copyrighted material!
ISP
51
Beveiligingsorganisatie
• Information security policy: een set van richtlijnen ivm informatiebeveiliging, kan zowel gelden voor interne als externe medewerkers • Deze richtlijnen dienen in overleg opgesteld te worden, bekrachtigd te worden door de directie, gepast gecommuniceerd te worden, aangeleerd en gecontroleerd • Niet alles in één keer: prioriteit op waar volgens jou de grootste risico’s zitten
CRANIUM BVBA copyrighted material!
Bedankt! 52