Op vrijdag 28 oktober vond de Cyber- en Information Security dag plaats. We geven hieronder een samenvatting weer van de verschillende thema’s die aan bod kwamen.
De nieuwe Europese verordening gegevensbescherming en de impact op de veiligheid
Ter voorbereiding van de GDPR wordt een algemene brochure ontwikkeld in samenwerking met de Britse privacycommissie. In 13 stappen worden handvaten aangeboden om in de praktijk aan de slag te gaan. De brochure start met een eerste hoofdstuk rond bewustwording. Op de verschillende websites van de privacycommissies is er voldoende aandacht voor wat er verandert ten aanzien van eerdere situaties, waar ook ruimte is voor vraag en antwoord. Hieronder gaan we dieper in op de twee belangrijkste veranderingen die in de nieuwe verordening zijn opgenomen.
Vanuit de Angelsaksische traditie is de rode draad ‘accountability’ of verantwoordingsplicht in het Nederlands. In de vroegere wetgeving kwam dit niet voor, nu is het de basislijn in de hele Europese verordening. Een tweede nieuw element is de ‘risk based approach’ of de risicobeoordeling. Risico’s kwamen eerder al aan bod in de vorige regelgeving. In de GDPR is er veel meer aandacht voor risico’s. Het begrip risico wordt in de GDPR niet gedefinieerd. Er wordt gevraagd om op maat te bekijken wat de beste maatregelen zijn om persoonsgegevens te beschermen. Bovendien moeten de maatregelen geëvalueerd en indien nodig geactualiseerd worden.
Informatieveiligheidsplanning: hoe kan V-ICT-OR ondersteunen aan de hand van een tool?
Frederik Baert overloopt 12 stappen om tot een informatieveiligheidsplan te komen. Er bestaan tools om je te helpen om een Information Security Management System (ISMS) op te zetten. V-ICT-OR biedt ook zo’n tool aan. Begin dit jaar is een risico-analysetool toegevoegd om een correcte inschatting te maken. Met het oog op continue verbetering dringt een nulmeting zich op (maturiteitsmeting). In een derde fase ontstaat er een informatieveiligheidsplan met acties. Meer informatie over het aanbod rond informatieveiligheid van V-ICT-OR is terug te vinden op de website. Op de website krijgt u eveneens zicht op de bijkomende functionaliteiten zoals bijvoorbeeld een overzichtelijk dashboard.
Informatieveiligheid in de nieuwe Algemene Verordening Gegevensbescherming
Bavo Van den Heuvel stelt tijdens zijn presentatie volgende vraag centraal: wat is de impact van de nieuwe verordening op vlak van beveiliging? Hij heeft het onder meer over de verwerkers van informatie en eventueel de onderaannemers van die verwerkers. De verwerker moet dezelfde beveiligingsmaatregelen nemen als u zelf zou doen, maar liefst nog beter.
Dokter, dokter, er is wat met mijn privacy
Peter Berghmans vertrekt vanuit de uitdagingen in de gezondheidszorg. Vanuit de wetgeving is de ambitie om gegevens vlot te kunnen delen met uiteraard de garantie dat die informatie voldoende beveiligd is. De uitdagingen van digitalisering spelen in die context ook in de gezondheidszorg. Binnen de zorg ontstaan ook steeds vaker mobiele toepassingen. In woonzorgcentra worden bijvoorbeeld meer een meer iPads gebruikt, dat vraagt om technologische aanpassingen én beveiligingsmaatregelen. Die beveiligingsmaatregelen zijn vaak niet mee opgenomen in de budgetten. Dhr. Berghmans wil vooral de boodschap meegeven dat er heel wat wijzigingen op de sector afkomen met de bijhorende risico’s, de GDPR is daar slechts één onderdeel van.
Cybercrime: verhalen uit de loopgraven
Jan Guldentops vertrekt vanuit de grootste ergernissen uit de realiteit. We zetten ze hieronder op een rijtje en illustreren aan de hand van concrete voorbeelden.
-
De goedheid van de medewerker: als je vriendelijk bent, laten mensen je binnen en vertellen ze je alles.
-
Weinig logische en fysieke beveiliging: kasten met medische dossiers staan vaak gewoon open
-
Basis netwerk security: slechte organisatie van publieke wifi
-
Phishing:
-
Wachtwoorden / rollen / rechten: waarom gebruiken we alleen nog maar wachtwoorden?
-
Leveranciers: dezelfde wachtwoorden die al dateren vanuit een lange historiek
-
Traditionele antivirus werkt niet meer: cryptolocker epidemie
-
Degelijk systeembeheer: waar worden meeste branden geblust? Bij preventie of bij het blussen?
-
We hangen vanalles aan ons netwerk: internet of things
Visie van de Vlaamse Toezichtscommissie
Marc Vael wijst op de dynamiek van de verschillende websites en raadt daarom aan om maandelijks de website te raadplegen om up-to-date te blijven. Het belangrijkste is om steeds vanuit de burger te denken. Op vlak van informatieveiligheid zijn er heel wat ondersteunende bronnen aanwezig zoals COBIT5, COSO en de ISO-normen. Marc Vael waarschuwt dat u door samenwerking met externe partijen altijd aansprakelijk blijft. Het onderscheid tussen persoonsgegevens en gevoelige informatie blijft van belang, met andere woorden: de juiste term voor de juiste categorie. Meer informatie en praktische handvaten zijn terug te vinden op de website van de Vlaamse Toezichtscommissie.
V-ICT-OR Security Audits 2016 – de analyse
De security audits vonden voor het eerst plaats in 2003 in samenwerking met de Hogeschool Mechelen. In 2016 werd een oproep gerlanceerd voor deze audits, waarbij 41 besturen werden doorgelicht in samenwerking met de Hogeschool West-Vlaanderen (opleiding cybercrime). Op basis van een online vragenlijst, een doorlichting van het informatieveiligheidsplan en een bezoek aan het bestuur werden de audits georganiseerd. De analyse van de audits is in dit nieuwsbericht beschikbaar. Meer informatie over deze audits kan u verkrijgen via het generieke e-mailadres: security@v-ict-or.be.
We sloten deze dag af met een debat rond beter samenwerken tegen bedreigingen, gemodereerd door dhr. Marc Vael. We gaan hieronder dieper in op een beperkt aantal vragen die aan bod zijn gekomen.
Gaat de VTC op zoek naar inbreuken?
Nu doen we dat niet, we gaan niet actief op zoek, maar behandelen wel klachten als die er zijn. Onder de GDPR weet de VTC niet onder welke vorm ze zullen bestaan.
Voor private organisaties wordt een boetebedrag bepaald op basis van de omzet van die organisatie. Hoe zal dat bepaald worden voor openbare besturen?
Er zijn administratieve geldboetes bepaald. België moet nog een beslissing nemen of geldboetes voor openbare besturen zullen opgelegd kunnen worden, de VTC acht de kans redelijk groot.
Kan enkel VTC rechtszaken aanspannen?
Nee, de privacycommissie kan klacht neerleggen bij het parket of onderzoeksrechter.
De presentaties van de Cyber- en Information Security dag zijn beschikbaar via de website van V-ICT-OR.