Blog

Alles wat je moet weten over GDPR als SWX klant

De nieuwe General Data Protection Regulation (GDPR) heeft gevolgen voor veel bedrijven. We leggen je in dit artikel uit welk effect het heeft op klanten van SWX.

Wat is GDPR eigenlijk?

Algemene Verordening Gegevensbescherming (AVG) is de nieuwe privacywet van de Europese Unie, die in 2016 gezamenlijk werd goedgekeurd door het Europees Parlement, de Raad van de Europese Unie en de Europese Commissie. GDPR zal de bestaande Europese richtlijn gegevensbescherming vervangen (die in 1995 in beeld kwam), die van kracht was tot 25 mei 2018.

Alle wetten die aan gegevensbescherming zijn gekoppeld zullen worden beheerst door GDPR.

GDPR heeft tot doel alle EU-lidstaten onder één paraplu te brengen door één enkele wet op gegevensbescherming toe te passen. GDPR is bedoeld om richtlijnen en voorschriften te geven over hoe gegevens worden verwerkt, gebruikt, opgeslagen of uitgewisseld.

Wat zijn de belangrijkste verandering?

Dezelfde regels voor heel de EU, ook voor EU burgers buiten de EU.
Onder persoonlijk data valt nu ook informatie zoals IP adressen en gevoelige data informatie over bijvoorbeeld je culturele achtergrond of gezondheid.

Er komen strengere regels voor dataverzameling. Het wordt moeilijker om zomaar data te koppelen of aan te schaffen. De eindgebruiker moet altijd toestemming geven of je zijn gegevens mag gebruiken.

Hoge boetes worden uitgedeeld wanneer regels worden overtreden. Ongeoorloofde dataverzameling, een data lek of foutief databeheer zal beboet worden met boetes die kunnen oplopen tot 2 procent van de omzet van een bedrijf, maximale boeten is 20 miljoen euro.

Moet ik me zorgen maken – voor wie is het bedoeld?

GDPR is van toepassing op alle organisaties die in de EU zijn geregistreerd of een vestiging of dochteronderneming in de EU hebben. Het is ook van toepassing op een organisatie die goederen of diensten verkoopt aan burgers van de EU en de persoonsgegevens van EU-ingezetenen verwerkt of controleert.

Persoonlijke gegevens zijn alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon.
In eenvoudige bewoordingen: als je bedrijf in de EU is gevestigd of als een deel van je klantenbestand zich in de EU bevindt, moet je voldoen aan de GDPR.

Welke partijen zijn betrokken bij GDPR?

Er zijn drie belangrijke belanghebbenden onder deze regelgeving, namelijk:

Data gegevenscontrollers bepalen de doelen en methoden voor het verwerken van persoonlijke gegevens, ze coördineren de verwerking. Klanten van SWX verzamelen persoonlijke gegevens van gebruikers, dus jij bent de verantwoordelijke.

Dataverwerkers zijn verantwoordelijk voor de directe verwerking van persoonsgegevens op basis van de instructies van de voor de verwerking verantwoordelijken. Dit kan bijvoorbeeld onderaannemers zijn. Klanten/resellers van SWX vragen SWX om de data van gebruikers op te slaan in een backup.

SWX is in dit geval dus de dataverwerker. De verwerker is verantwoordelijk voor het naleven van de GDPR regels.

Data subjects: Betrokkenen zijn burgers van de EU die goederen en diensten gebruiken die door de voor de verwerking verantwoordelijken zijn verstrekt.
Stel dat je een bedrijf bent dat een SaaS-product verkoopt aan EU-burgers (Data Subjects) en een derde tool X gebruikt om het gedrag van consumenten op je platform te analyseren.

Je bent de gegevenscontroller en X is in dat geval de gegevensprocessor.

Wat is anders dan voorheen – wat zijn de belangrijkste veranderingen?

GDPR harmoniseert hoe persoonlijke gegevens worden verwerkt, gebruikt, opgeslagen en veilig uitgewisseld in alle EU-lidstaten. De organisaties die onder de radar van de EU komen, moeten de veiligheid aantonen van de gegevens die ze verwerken.

Ze zullen ook aanzienlijke technische en organisatorische maatregelen moeten nemen om hun naleving van de AVG voortdurend aan te tonen.

Beveiligingsacties vereist

GDPR heeft specifieke instructies voor welke soorten beveiligingsacties vereist kunnen zijn:

  • De codering en pseudonimisering van persoonlijke gegevens.
  • Organisaties moeten voorzieningen treffen voor het regelmatig testen, beoordelen en evalueren van de effectiviteit van technisch en organisatorisch beleid om de beveiliging van de gegevens te waarborgen.
  • Bepalingen inzake vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten.
  • In het geval van een fysiek of technisch incident, hebben organisaties het recht om de beschikbaarheid en toegang tot persoonlijke gegevens tijdig te herstellen.

Persoonlijke gegevens

De AVG wil de persoonlijke gegevens van EU-ingezetenen beschermen en de gegevens die als persoonlijk worden beschouwd zijn:

  • Basis identiteitsinformatie zoals naam, e-mailadres, adres en ID-nummers
  • Web gegevens zoals locatie, IP-adres, cookiegegevens en RFID-tags
  • Gezondheid, genetische en biometrische gegevens
  • Raciale of etnische gegevens
  • Politieke meningen
  • Seksuele oriëntatie

Boetes

De GDPR-autoriteiten kunnen boetes opleggen van maximaal 20 miljoen EUR of 4% van de jaarlijkse bedrijfsomzet, naargelang wat hoger is als er een schending is van de door de autoriteiten genoemde voorwaarden.

Wat zijn de rechten van data-subjects (je gebruikers)?

 

Meldingen over schending

In het geval van een datalek die waarschijnlijk resulteert in ongeautoriseerd gebruik en distributie van gegevens, moeten de Data Controllers de betreffende proefpersonen binnen 72 uur na het bekend worden ervan op de hoogte stellen van de inbreuk.

Op dezelfde manier moeten gegevensverwerkers gegevenscontrollers informeren over de inbreuk binnen het tijdsbestek.

Recht op toegang

GDPR geeft aan Data Subjects het recht informatie te verkrijgen over hoe, waar en voor welk doel hun persoonlijke gegevens worden verwerkt.

Het recht om te worden vergeten

Ook wel Data Erasure genoemd, het recht om te worden vergeten, geeft de Geregistreerde persoon het recht om zijn/haar persoonlijke gegevens uit de logboeken van de Data Controllers te verwijderen.

Het recht om te worden vergeten stelt hen ook in staat om verdere verspreiding en gebruik van de gegevens door derden te stoppen of stop te zetten.

Gegevensoverdracht

GDPR introduceert dataportabiliteit, het recht voor een Betrokkene om de persoonlijke gegevens die hen betreffen te ontvangen, die ze eerder hebben verstrekt in een gangbaar en machinaal leesbaar formaat en het recht hebben om die gegevens naar een andere Controller te verzenden.

Dit betekent in feite dat als je van de ene serviceprovider naar de andere wilt overschakelen, de voormalige serviceprovider je de volledige gegevens moet geven in een machine leesbaar formaat dat kan worden gebruikt om te integreren met de nieuwe serviceprovider.

Privacy door ontwerp

De privacy by design is formeel geïntroduceerd in GDPR om effectief ontwerpen van systemen mogelijk te maken die aansluiten bij de beste praktijken van gegevensbescherming. De voor de verwerking verantwoordelijke moet op een doeltreffende manier passende technische en organisatorische maatregelen nemen om aan de eisen van dit recht te voldoen en de rechten van betrokkenen te beschermen.

De controllers moeten alleen de gegevens bewaren en verwerken die absoluut noodzakelijk zijn voor de uitvoering van hun taken, evenals de toegang tot persoonsgegevens beperken tot gegevensverwerkers.

SWX klanten taken als GDPR/AVG Data Verwerkingsverantwoordelijke

De belangrijkste taak is bekijken of het verzamelen en behouden van informatie van bezoekers van je website wel is toegestaan. De dataverzameling dient aan de onderstaande punten te voldoen:

  • Vraag om toestemming van de datasubject om gegevens te verzamelen;
  • Voldoe de GDPR verplichtingen
  • Voldoe aan de overeenkomst;
  • Richt geen schade aan bij de veiligheid of gezondheid van de data subject;

Data Protection Officers (DPO)

Daarnaast dient de SWX klant de informatie goed te beschermen. Bijvoorbeeld door gebruik te maken van de methode Information Security Board, het instellen van een Security Officer. Zo voldoe je tevens aan de ISO27001 certificering. Er moet een functionaris voor gegevensbescherming worden aangesteld om de goede werking van gegevensbescherming in bepaalde organisaties te vergemakkelijken.

Tot deze organisaties behoren de controllers en verwerkers, waarvan de kernactiviteiten bestaan ​​uit verwerkingsoperaties die regelmatige en systematische monitoring van betrokkenen op grote schaal vereisen of van speciale categorieën gegevens of gegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten.

Schending van beveiliging melden

Een lek of hacking zijn vormen van inbreuk op de beveiliging van personen, waardoor informatie verloren, gewijzigd, ingezien of vernietigd kan worden door onbevoegde personen. Inbreuk moet binnen 72 uur gemeld worden aan de autoriteiten en de data subject (je klanten).

Voor meer informatie kijk je op de website van Privacy Commission (Belgie) of online notificatie van de Autoriteit Persoonsgegevens (Nederland).

De taken van SWX als GDPR/AVG Dataverwerker

Tot onze taken behoren o.a.:

  • Een inbreuk aan je melden, indien hier sprake van is.
  • Back ups maken en logs bijhouden
  • Onderzoeken over andere samenwerkende partijen verwerken volgens de GDPR wetgeving.

Gepost op 01/11/2018
Tags: , , , , ,

Zo beperk je de schade van een phishing aanval

Heb je wel eens een perfecte email ontvangen die niet te onderscheiden is van het echte bedrijf? Een phishing aanval beschikt vaak over de mooiste e-mails die je niet snel zal verdenken. Ben je altijd voorzichtig maar toch in de val getrapt en het slachtoffer geworden van een phishing aanval?

Je weet misschien al hoe je een phising email kunt herkennen, maar mocht je toch het slachtoffer zijn van een aanval, dan hebben we hier belangrijke informatie voor je.

Je kunt maar beter snel stappen nemen om meer schade te voorkomen. Wat je precies moet doen hangt af van de phishing aanval en welke gegevens ze van je hebben gestolen. Hieronder leggen we het uit.

Je hebt een bijlage geopend van een phishing email

In de bijlage van een phishing email zitten vaak diverse soorten malware die je hele systeem en je computer kunnen aantasten. Bij malware gaat het meestal om de volgende vormen:

  • Adware: advertenties verschijnen plots op iedere website die je bezoekt
  • Wormen, Trojans en virussen
  • Diverse soorten spyware. Bijvoorbeeld een key logger. Persoonlijke informatie wordt naar anderen verzonden of zij nemen controle over je computer.
  • Botnet
  • Randsomeware: gegevens op je computer worden versleuteld, je moet geld betalen om je gegevens weer terug te krijgen.

Wat te doen als je malware op je computer hebt?

Het je een email met malware geopend en ben je bang dat er malware op je computer aanwezig is? Dit is wat je kunt doen.

Stop het internet

Verbreek onmiddellijk de verbinding met het internet of netwerk waar je op aangesloten bent. Je voorkomt verdere besmetting met malware of zorgt ervoor dat er niet nog meer persoonlijke gegevens worden verstuurd vanaf je computer of toestel.

De hacker kan nu niet meer bij je gegevens. Trek dus of de kabel eruit, sluit je Wifi verbinding af of sluit je modem af door de stekker eruit te halen.

Backup maken

Zorg ervoor dat je je gegevens veilig ergens opslaat door het maken van een backup. Zo voorkom je ook dat meer gegevens gewist of beschadigd worden tijdens het weghalen van de malware.

Tip: regelmatig een backup nemen van je belangrijkste data is steeds aangeraden. Wacht dus niet tot je computer geïnfecteerd is want dan kan het vaak al te laat zijn! Aangeraden software: Ace Backup

Laat je virusprogramma scannen

Start vervolgens een volledige virus scan als je een antivirus programma hebt op je computer. Installeer anders een programma. Het kan lang duren voordat de scan de malware verwijdert. Laat het toestel aan. Mocht je antivirus de malware niet verwijderen dan is het verstandig om een professional in te schakelen.

Wat te doen als vertrouwelijke gegevens zijn afgegeven door phishing

De aanvaller kan afhankelijk van de gegevens die hij heeft gekregen diverse acties uitvoeren die schadelijk voor je kunnen zijn. Dit kan hij o.a. doen door:

1. Jouw persoon gebruiken en geld vragen bij je familie en vrienden.
2. Online aankopen doen met jouw naam en bankgegevens
3. Je creditcard gebruiken en aankopen doen
4. Inloggen op je werk account en gegevens veranderen
5. Gegevens stelen van je werk
6. Op je website inloggen en bezoekers van je site infecteren met malware of je klantenbestand overnemen.

Wat te doen als je je wachtwoord en gegevens hebt ingevuld op een corrupte site.

Volg onderstaande stappen als je persoonlijke gegevens hebt afgegeven op een nagemaakte website:

Verander direct je wachtwoord.
Als je hetzelfde wachtwoord op verschillende sites gebruikt moet je ook die veranderen.

Tip: Je kunt beter op iedere site een ander wachtwoord instellen, dit is een stuk veiliger.

Verander ook de antwoorden op de beveiligingsvragen als die er zijn, deze kun je instellen tijdens het maken van een nieuw wachtwoord. Dit is belangrijk wanneer je je wachtwoord vergeet.

Welke stappen moet je nog meer nemen als je het slachtoffer bent geworden van phishing?

Webmail:
Er bestaat een kans dat de aanvaller via je email heel veel gegevens van je kan achterhalen, zeker als je niet direct ontdekt dat je het slachtoffer bent van phishing. Zo kunnen inloggegevens van accounts en contactgegevens van je familie en vrienden in verkeerde handen terechtkomen.

Je kunt controleren of iemand anders gebruik heeft gemaakt van je email account. Bij Gmail kan dit bijvoorbeeld via Last Account Activity.

Betaal gegevens gestolen:
Heb je je creditcard gegevens afgegeven op een corrupte site of je internetbankieren gegevens ingevuld? Zet direct je kaart stop via CARD STOP en bel 070 344 344. Na het blokkeren van je bankkaart of creditcard kunnen er geen betalingen meer worden uitgevoerd en ben jij niet meer aansprakelijk voor de schade. Wijzig vervolgens je inloggegevens van je internetbankieren via je bank.

Vrienden en kennissen contacteren:
Vraag aan de mensen om je heen of zij vreemde e-mails hebben ontvangen en waarschuw hen voor phishing. Zij kunnen ook slachtoffer worden.

Controleer je web diensten:
In het controlepaneel van je website en online beheer van domeinen kun je nagaan of een ander persoon heeft ingelogd op je dashboard. Je kunt kijken welke informatie hij heeft kunnen achterhalen. Misschien heeft hij je klantenbestand kunnen stelen en zal je ook je klanten op de hoogte moeten stellen van phishing. Volg de GDPR regels en breng de privacy commissie op de hoogte van deze zaak.

Breng het bedrijf op de hoogte van de phishing aanval:
De organisatie of bank waar de naam van gebruikt wordt moet op de hoogte gesteld worden van de zaak. Kijk voor meer informatie hierover op mijnkaart.be. Voor Mastercard mail je verdachte mails naar [email protected] en voor Visa stuur je dit naar [email protected].

Verder kun je phishing email ook best doorsturen naar [email protected].

Heb je financiële schade geleden dan moet je naar de politie in je buurt om een aangifte te doen.

Veel succes!

Gepost op 19/10/2018
Tags: ,

Meltdown & Spectre en wat wij eraan doen

Je hebt er waarschijnlijk wel iets over gehoord. Er zijn twee problemen met de veiligheid in de processoren van Intel, genaamd Meltdown en Spectre. We leggen je uit wat dit precies betekend en wat we hier aan kunnen doen bij SWX.

Wat zijn precies Meltdown en Spectre?

Spectre en Meltdown zijn eenvoudig de namen die worden gegeven aan verschillende varianten van deze zelfde kwetsbaarheid, waarbij een kwaadaardig programma toegang krijgt tot gegevens die normaal door de kernel worden beschermd. We leggen de twee specifiek uit.

Meltdown

Meltdown dankt zijn naam aan het vermogen van het lek om de grenzen te “smelten” die normaliter op het hardware niveau van een chip zijn ingesteld en die in theorie delen van het geheugen zouden moeten beschermen.

Bij het omzeilen van deze beveiligingen biedt Meltdown aanvallers of malware toegang tot en bespioneren ze gegevens die ze niet zouden moeten kunnen zien.

Spectre

Spectre daarentegen heeft niets te maken met spoken, het paranormale of het nieuwste optreden van James Bond. In plaats daarvan dankt het zijn naam aan een proces dat bekendstaat als “speculatieve uitvoering” en dat verondersteld wordt om computers te helpen bij het uitvoeren van acties op een niet-lineaire manier, waardoor ze sneller worden.

Als het programma dat een gebruiker gebruikt bijvoorbeeld een ‘als X, dan Y’-regel volgt, dan moet de chip, als hij X uit wil voeren, werken aan het uitvoeren van Y.

Een chip die speculatieve uitvoering uitvoert zou beginnen met het uitvoeren van Y voordat de gebruiker ervoor kiest om X uit te voeren, om een ​​voorsprong te krijgen op de berekening. Hierdoor lekken gegevens die vertrouwelijk moeten blijven.

Een Spectre aanval vereist een meer diepgaande kennis van de innerlijke werking van het programma en biedt geen toegang tot de gegevens van andere programma’s, maar werkt ook op vrijwel elke computerchip die er is. De officiële website van Spectre (ja, er is er een) stelt dat hoewel Spectre moeilijker te exploiteren is dan Meltdown, het ook moeilijker is om te verzachten.

Het breekt de isolatie tussen verschillende applicaties en stelt een aanvaller in staat om foutloze programma’s, die de beste praktijken volgen, in hun geheimen te lekken. Het is echter mogelijk om specifieke bekende exploits op basis van Spectre te voorkomen via softwarepatches.

Welke systemen worden beïnvloed?

Het hangt af van de aanval waar je naar kijkt. Meltdown is vooral van invloed op Intel-processors. Spectre is echter veel wijdverspreider. Bijna elk systeem wordt beïnvloed door Spectre, waaronder desktops, laptops, cloudservers en zelfs smartphones.

Meer in het bijzonder zijn alle moderne processors die in staat zijn om vele instructies tijdens de vlucht bij te houden potentieel kwetsbaar, wat betekent dat alle populaire besturingssystemen, waaronder Windows, Linux en MacOS, worden beïnvloed.

Ben ik getroffen?

Vrijwel alle chips van alle grote fabrikanten die in de afgelopen 20 jaar zijn gemaakt, worden beïnvloed door Spectre of Meltdown, of beide. Hoewel Intel de eerste was die werd geïdentificeerd en de eersten om het probleem te erkennen, zowel in privé als in het openbaar, worden ARM- en AMD-CPU’s ook getroffen.

Alle drie hebben patches voor hun componenten uitgegeven, meestal bestaande uit microcoder maatregelen. Sommige hiervan waren succesvoller dan andere en Intel ondernam een ​​aantal pogingen om problemen te veroorzaken die geen grote problemen veroorzaakten, zoals het herhaaldelijk opnieuw opstarten van de computer of extreem langzaam werken.

Als je dus een computer of servers gebruikt die voor 1995 zijn gekocht en de patches van de chipfabrikanten nog niet hebt geïnstalleerd, zijn je systemen vrijwel zeker getroffen.

Wat is de oplossing?

Gebruikers die zich zorgen maken over de impact van Spectre en Meltdown worden geadviseerd om te blijven afstemmen op reguliere patch-releases van apparaat fabrikanten wanneer ze worden vrijgegeven, in de hoop dat ze niet teveel onbedoeld gevolg zullen hebben voor de prestaties van de machines.

Microsoft patch

Microsoft heeft onlangs de Spectre patch uitgeschakeld, bijvoorbeeld, omdat de prestatie-impact te groot was in vergelijking met het lage risico dat een gebruiker een Spectre-aanval op iemands apparaat start.

Als je echter een grote onderneming bent die waarschijnlijk een lucratief doelwit voor kwaadwillende actoren is, is het niet mogelijk om Spectre niet te patchen.

De uitbarsting van Torvalds was ook gericht op het feit dat het plan van Intel om de hits van de patches te omzeilen, de Meltdown-fix optioneel zou maken, waardoor defecte hardware zou worden verzonden die gebruikers dan zouden moeten patchen.

Intel patch

Begin februari heeft Intel echter een nieuwe patch uitgegeven voor apparaten waarop de op Skylake gebaseerde Core- of Core M-processors draaien waarvan zij beweerden dat deze geen ongewenste bijwerkingen zouden hebben.

Een vergelijkbare effectieve patch voor Haswell en Broadwell-pc’s is nog steeds in de maak, maar Intel heeft ook patches geïntroduceerd voor zijn Kaby Lake, Coffee Lake, de zesde, zevende en achtste generatie Intel Core i en Core X-serie.

In april vond Intel echter dat sommige van de betrokken CPU’s te veel vertragen om te patchen. De chipfabrikant heeft een herzieningskennisgeving uitgebracht met daarin 16 microcode-updates als “gestopt”, wat betekent dat terwijl patches eerder waren vrijgegeven ze niet langer werden uitgerold.

De redenen die Intel gaf, variëren van de enorme moeilijkheid bij het patchen van een chip vanwege het ontwerp, tot het feit dat sommige ‘gesloten systemen’ aandrijven, terwijl het bedrijf het aan zijn hardwarepartners overlaat om BIOS-updates zelf uit te voeren.

Later die maand bracht AMD eindelijk een aantal updates uit om systemen te beschermen tegen Spectre kwetsbaarheden in zijn chips, maanden nadat ze voor het eerst aan het publiek werden onthuld in het begin van 2018.

Wat doet SWX hieraan?

Zoals je hebt gelezen hebben o.a. Intel, Apple en Microsoft een update gemaakt voor de Linux kernel. SWX heeft ook haar servers geüpdatet! Er gaan geruchten dat de patch voor extra vertraging van systemen zorgt maar we kunnen niet goed inschatten in hoeverre dit het geval is bij verschillende systemen.

SWX heeft diverse testten uitgevoerd en is tot de ontdekking gekomen dat er geen vertraging of hinder is waar onze klanten last van kunnen hebben. SWX servers worden niet overladen waardoor er voldoende capaciteit over is. Deze zetten we zo nodig in. We houden onze systemen zeer goed in te gaten.

In specifieke gevallen zou er een kleine vertraging mogelijk zijn, maar dat is uitzonderlijk. We nemen in dit geval de noodzakelijke maatregelen zoals het opnieuw verdelen van resources of het opschalen van hardware. Voor vragen kun je altijd contact opnemen.

Gepost op 05/10/2018
Tags: , ,

Copyright © 2019 - SWX.be - Alle Rechten Voorbehouden.