In dit artikel stelt de auteur dat bedrijven het risico op het lekken van data onderschatten. Ze realiseren zich niet hoeveel onnodige, maar ‘gevaarlijke’ informatie’ ze in huis hebben. Bij een lek kan deze informatie voor grote problemen zorgen voor de maatschappij en voor het bedrijf zelf. Imago- en financiële schade liggen op de loer.
DOCUMENT
De zorgsector verwerkt zeer gevoelige persoonsgegevens, waaronder gezondheidsgegevens. Bij onvoorzichtige omgang, kan dit een grote impact hebben op de rechten en vrijheden van natuurlijke personen. eHealth moet daarom voldoen aan het vereiste van data protection by design. Wanneer hieraan niet is voldaan, is het zaak om handhavend op te treden ter voorkoming van datalekken. Sinds de Algemene Verordening Gegevensbescherming (AVG) van toepassing is, bereikten meerdere datalekken het voorpaginanieuws waarbij eHealth niet voldeed aan voornoemde verplichting. In dit artikel onderzoeken de auteurs in hoeverre de in de AVG opgenomen handhavingsmogelijkheden met bijbehorende rechtsmiddelen de bescherming van persoonsgegevens waarborgen bij de inzet van eHealth.
DOCUMENT
Op grond van de AVG is de verwerkingsverantwoordelijke verplicht om een datalekregister bij te houden. Daarnaast wordt aangeraden om een datalekprotocol te hebben of enige vorm van een stappenplan rondom de signalering, melding, vastlegging en analyse van een datalek binnen de organisatie. Ook mkb-bedrijven uit Noord-Nederland moeten, wanneer zij persoonsgegevens verwerken, voldoen aan de AVG. In de praktijk blijkt dat men wel wil voldoen, vaak ook wel deels voldoet, maar niet precies weet hoe je dit het handigst kunt doen, omdat privacy geen onderdeel is van hun core business en ze vaak ook geen FG of andere privacy-medewerker in dienst hebben. Een datalek is echter wel een risico voor de organisatie: er kan een lek zijn in de cybersecurity van een bedrijf, er is een risico op aansprakelijkheidstelling wegens schade, danwel de kans op een boete van de AP. Ter vergroting van de digitale weerbaarheid van de mkb-ondernemingen in Noord-Nederland hebben derdejaars-studenten van HBO-rechten een mkb-datalekkenprotocol ontwikkeld. Disclaimer:Deze opdracht is uitgevoerd door studenten in het kader van hun opleiding bij het Instituut voor Rechtenstudies. De studenten leveren een juridisch beroepsproduct op en doen daartoe onderzoek. De studenten wordt tijdens de uitvoering van de opdracht begeleid door een coach. De inspanningen van de studenten en de coach zijn erop gericht om een zo goed mogelijk beroepsproduct op te leveren. Dit moet opgevat worden als een product van (derdejaars)studenten en niet van een juridische professional. Mocht ondanks de geleverde inspanningen de informatie of de inhoud van het beroepsproduct onvolledig en/of onjuist zijn, dan kunnen de Hanzehogeschool Groningen, het Instituut voor Rechtenstudies, individuele medewerkers en de studenten daarvoor geen aansprakelijkheid aanvaarden.
DOCUMENT
Dit hoofdstuk geeft aan welke aspecten rond Encryptie van belang zijn voor de juridische kennis van IT-professionals.
DOCUMENT
Dit is een testitem bedoeld voor functioneel beheerders bij de Hogeschool Utrecht om te beoordelen.Als mogelijk bron wordt vermeld: Dijk, M. van, & Gellaerts, S. L. (2022). Zorgvuldig ict-gebruik : een eerste kennismaking met het zorgvuldig gebruik van ict (7e druk). Wolters KluwerPag 98 - Privacyrecht, pag 103 Auteursrecht.
DOCUMENT
Op 25 mei 2018 moet bij organisaties de ingrijpend gewijzigde privacywet gevinggeïmplementeerd zijn. Veel contracten met leveranciers omvatten de verwerkingvan persoonsgegevens. Inkoopadviseur Gert Walhof en jurist Robert Grandiapresenteren een stappenplan om op tijd klaar te zijn voor de nieuwe regels.
DOCUMENT
Binnen Fontys Hogeschool HRM en Psychologie wordt veel onderzoek uitgevoerd, onder andere door onderzoekers van de lectoraten Dynamische Talentinterventies en Mens en Technologie, studenten, docent-onderzoekers en medewerkers. In deze onderzoeken worden vaak persoonsgegevens verwerkt. Met deze handreiking hopen we jou als onderzoeker voldoende informatie, kennis en praktische tips te geven, zodat je helemaal AVG-proof aan je onderzoek kunt werken. Heb je vragen of opmerkingen over iets uit deze uitgave? Neem dan contact op met hrmenpAVG@fontys.nl.
DOCUMENT
Aanleiding Gemeenten zijn in hoge mate afhankelijk van digitale systemen. Als deze systemen onbedoeld uitvallen of aangevallen worden, kan dit grote gevolgen hebben voor de dienstverlening aan burgers en/of de interne bedrijfsvoering. Recente gevallen zoals de aanvallen op de gemeente Lochem (2019) en Hof van Twente (2020), en de Citrix-kwetsbaarheid (2019) hebben duidelijk gemaakt dat cyberincidenten grote impact kunnen hebben, niet te voorkomen zijn en zelfs kunnen uitmonden in een cybercrisis. Gemeenten moeten zich voorbereiden op cybercrises waarbij zij zelf het slachtoffer zijn. Daarnaast kunnen gemeenten geconfronteerd worden met de fysieke gevolgen die ontstaan wanneer een organisatie gevestigd in de gemeente getroffen wordt door een cyberaanval. Denk hierbij aan een ziekenhuis dat door een aanval haar ICT niet meer kan gebruiken en daardoor de deuren moet sluiten. In een dergelijk geval zijn gemeenten betrokkenen en zullen zij samen met de veiligheidsregio(‘s) moeten acteren om de problemen in het fysieke domein aan te pakken. In dit verkennende onderzoek gaan we nader in op het fenomeen cybercrisis binnen gemeenten waarbij we onderscheid maken tussen cybercrisis waarbij gemeenten (1) slachtoffer zijn of (2) betrokkene. Onderzoeksdoelen en vragen Cybercrises in het algemeen en binnen de gemeentelijke context in het bijzonder zijn nog maar beperkt beschreven in de (wetenschappelijke) literatuur. Het hoofddoel van het onderzoek is om inzicht te verschaffen in de ervaringen die gemeentelijke medewerkers hebben met cybercrisis als ‘slachtoffer’ en ‘betrokkene’ en hoe zij kijken naar de rollen en uitdagingen die er zijn. Het hoofddoel is opgesplitst in twee hoofdvragen: (1) Welke uitdagingen ervaren gemeenten bij (de voorbereiding op) cybercrisis die de gemeentelijke organisatie raken? En (2) Welke uitdagingen ervaren gemeenten bij (de voorbereiding op) cybercrisis die plaatsvinden bij organisaties gevestigd in de gemeente en (kunnen) leiden tot problemen in het fysieke domein? Methoden van onderzoek Er is een literatuurstudie uitgevoerd die als basis heeft gediend voor semigestructureerde interviews. In de periode van 1 juli tot 1 december 2020 hebben 22 interviews plaatsgevonden met medewerkers van 18 verschillende gemeenten. Het merendeel van respondenten was werkzaam als Chief Information Security Officer (CISO) (N = 15), Adviseur Openbare orde en Veiligheid (AOV) (N = 9) en Adviseur informatiebeveiliging (N = 6). Beantwoording hoofdvragen De grootste uitdagingen voor gemeenten bij (de voorbereiding op) cybercrisis die de gemeentelijke organisatie raken zijn: (1) tijdens de warme fase verwacht men van de CISO soms een leidinggevende rol in plaats van de dagelijkse adviserende rol, (2) informatie gaat veelal sneller via informele kanalen dan via de formele kanalen, (3) CISOs gebruiken de crisiskennis van AOV-ers onvoldoende (4) (voorbereiding op) cybercrisis is nog te veel een IT-feestje, (5) oefenen is belangrijk maar gebeurt nog te weinig, en (6) kleine gemeenten hebben geen draaiboeken of crisisplannen, grote gemeenten wel. Gemeenten hebben nauwelijks ervaring met cybercrises die de gemeentelijke organisatie raken. De grootste uitdagingen voor gemeenten bij (de voorbereiding op) cybercrisis die plaatsvinden bij organisaties gevestigd in de gemeente zijn: (1) er is binnen gemeenten en veiligheidsregio’s weinig cyber-expertise en kennis van de CISO wordt niet benut, (2) gemeenten worstelen met hun rol bij een dergelijke crisissituatie, (3) de rolverdeling tussen de gemeente en veiligheidsregio is onduidelijk bij een dergelijke crisissituatie, en (4) gemeenten vinden dat organisaties allereerst zelf verantwoordelijk zijn voor respons en mitigatie. Geen van de respondenten heeft ervaring opgedaan met een cybercrisis bij een organisatie gevestigd in de gemeente. Conclusie De eerste conclusie is dat gemeenten beperkt voorbereid zijn op cybercrisis en onvoldoende zicht hebben in hoeverre bestaande plannen en niet-geformaliseerde werkwijzen voldoende zijn om de impact van cybercrisis te kunnen beperken, mede omdat er niet wordt geoefend. De tweede conclusie is dat nog een wereld te winnen is bij een actievere samenwerking tussen CISOs en AOV-ers. De derde conclusie is dat deelnemende gemeenten nog geen ervaring hebben met cybercrisis waarbij ze enkel ‘betrokkene’ zijn. De belangrijkste theoretische bijdrage is dat we geen aanwijzingen hebben gevonden dat de generieke literatuur over crisisbeheersing niet van toepassing zou kunnen zijn op cybercrisis. Dit onderzoek is uitgevoerd onder een beperkt aantal gemeenten. Om een rijker en completer beeld te krijgen van cybercrisis bij gemeenten, adviseren we om een vervolgonderzoek uit te zetten bij meer gemeenten, bijvoorbeeld in de vorm van een vragenlijstonderzoek. Ander vervolgonderzoek zou zich kunnen richten op het meten van de mate van voorbereiding van gemeenten op cybercrisis, slimme manieren waarop gemeenten hun voorbereiding kunnen verbeteren en op cyberincident- en cybercrisisevaluaties.
DOCUMENT
