Danny

Data Protection Officer & Ethical Hacker

Hey, ik ben Danny. Ze noemen mij ook wel de IT-genius van Datalink. Ik heb een passie voor cybersecurity en denk proactief mee over de digitale transformatie van je bedrijf. “Hoe werk je vandaag? Wat kan er beter? Waar zitten de opportuniteiten en risico’s in je netwerk?” Ik zoek het graag uit!

Heb je een plan nodig dat je bedrijf digitaal sterk maakt? Danny staat voor je klaar! Als ethical hacker en DPO verplaatst hij zich op een discrete manier in de wereld van cybercriminelen om de gaten in de beveiliging van je netwerk te dichten.

“Danny is een zakenman met een hart van goud.” - Jelle

Hoe zorg je ervoor dat je nieuwsbrieven niet in de spamfolder belanden? Vijf tips

Krijg je van prospecten, klanten en partners geregeld te horen dat je e-mails systematisch tussen hun ongewenste e-mails in de spam terecht komen? Blijf dan zeker verder lezen. Ik vertel je graag hoe dat komt én hoe je vriendschap kan sluiten met de spamfilter ????

Wat is spam?

Spam is de verzamelnaam voor ongevraagde, ongewenste en frauduleuze e-mailberichten en reclameboodschappen. Omdat spamberichten vaak verzonden worden aan een heel grote groep van ontvangers, worden ze gelukkig gemakkelijk als irrelevant gedetecteerd en mooi voor onze neus weg gefilterd door de spamfilter. Maar diezelfde spamfilter moet er natuurlijk wel voor zorgen dat onze mailings wél afgeleverd worden bij onze ontvangers.

Hoe werkt een spamfilter?

Spamfilters bewaken onze mailbox. Ze zorgen ervoor dat ongewenste e-mails niet tot in je eigenlijke inbox geraken. Een spamfilter maakt gebruik van een aantal criteria om te bepalen of jouw e-mails als spam zal worden gemarkeerd. Komen je nieuwsbrieven in de spamfilter terecht? Door de volgende aandachtspunten toe te passen alvorens je op de verzendknop drukt, verklein je alvast de kans dat dit gebeurt!

Spamfilters zijn de bewakers van onze mailbox.

1. Content is key

Link niet naar onbetrouwbare websites en maak geen overvloedig gebruik van foto’s, memes of gifs. Balanceer de beeld-tekstverhouding. Zet de belangrijkste informatie in de tekst en link naar een externe bron waar lezers verder kunnen lezen. Afbeeldingen voorzie je ook best van metadata zoals een alt-text. En overdrijf niet met symbolen en tekens.

2. Voorzie een opt-out

Oké, we laten ze niet graag gaan, onze abonnees, maar toch is het belangrijk om een uitschrijflink toe te voegen aan onze mailings. Dit is niet alleen transparant naar je abonnee toe, het is ook een wettelijke verplichting. Om te vermijden dat spamfilters iets te ijverig te werk gaan en belangrijke mails onterecht tegenhouden, raad ik je aan om je bedrijfsgegevens toe te voegen alsook een link om jouw e-mailadres aan het adresboek van de ontvanger toe te voegen en te markeren als veilig.

3. Speel open kaart

Gebruik een betrouwbaar afzendadres wanneer je een nieuwsbrief of e-mail wilt verzenden. Jij zou zelf namelijk ook geen mailtjes accepteren van e-mailadressen die er niet professioneel uitzien. Vermijd daarom vreemde tekens in je e-mailadres zoals combinaties van cijfers en letters.

4. Let op met bijlagen in je e-mail

Bijlagen vormen volgens de spamfilter ook vaak een risico aangezien dit gevaarlijke bestanden zouden kunnen zijn. Vooral .exe en .zip files zorgen ervoor dat de spamfilter in actie schiet. Deze zouden virussen, malware of ransomware kunnen bevatten die vaak worden gebruikt bij phishing. Link naar een bijlage of zorg ervoor dat je een minder risicovolle extensie gebruikt voor je bestanden.

5. Werk samen met een professionele e-mailprovider

Verzend je e-mails voor zakelijke doeleinden? Gebruik dan een professioneel e-mailadres dat gelinkt is aan je domeinnaam. Werk daarvoor samen met een betrouwbare ESP (Email Service Provider) die zorg draagt voor de reputatie van de ingezette webservers. Een cloudleverancier wordt namelijk beoordeeld op basis van de reputatie van de IP-adressen en domeinen van zijn of haar klanten. Wanneer hun servers op een blacklist komen te staan, zullen e-mailproviders de e-mails van deze ESP naar de spamfolder sturen. Indien je werkt met e-mailmarketingsoftware zoals MailChimp, laat dan ook je domeinnaamconfiguratie hierop aanpassen.

Verloopt jouw mailcommunicatie vlekkeloos of kan je toch een helpende hand gebruiken om ervoor te zorgen dat je e-mails niet meer in de spam belanden? Het team van Datalink helpt je met plezier!

Is mijn bedrijf gehackt?

Is je bedrijf gehackt? Eerste hulp bij data-ongevallen

We springen volop op de digitale sneltrein. Onze data wordt online opgeslagen en verwerkt, en het aantal apparaten dat verbonden is met het internet, neemt sterk toe. Wat helaas ook toeneemt, is het risico dat je bedrijf gehackt wordt én de impact van zo’n hack.

Techzine: bedrijfskost van een datalek stijgt met 12 procent
Computable: Aantal cyberaanvallen stijgt naar recordhoogte

Ook al zijn organisaties er meestal heilig van overtuigd dat hun apparaten goed beveiligd zijn, toch duikt in werkelijkheid een hack – vaak gepaard met een gegevenslek – sneller op dan je denkt.  We zoomen kort in op een geanonimiseerd praktijkvoorbeeld. Een franchisehouder van een gerenommeerd retailbedrijf contacteerde ons in paniek. Er waren op enkele weken tijd tienduizenden euro’s van de bankrekening verdwenen zonder dat iemand een actieve betaalopdracht had gegeven. Na een check-up door ons IT team bleek de laptop van een salesmedewerker gehackt te zijn. Deze medewerker stond onder andere in voor de doorbestelling van artikelen binnen een bepaald segment en had een kredietkaart van het bedrijf ter beschikking. Hackers hadden toegang verkregen tot zijn laptop en de financiële gegevens onderschept. Tijd dus om je voorzorgen te nemen!

Heb je een specifieke vraag? Klik gerust door op de inhoudstabel:

  1. Wat is hacking?
  2. Hoe kan je herkennen of je gehackt bent?
  3. 9 stappen om te ondernemen direct nadat je gehackt bent
  4. Conclusie

Wat is hacking?

We omschrijven een hack als “een ongeautoriseerde inbraak in een computer of netwerk”. De persoon die ongevraagd en ongewenst toegang neemt tot het systeem, noemen we de hacker. Deze persoon kan verschillende motieven hebben. Mogelijk wil de hacker kostbare data ontvreemden om bedrijfsgeheimen te onthullen of de gegevens te verkopen. Of wenst de hacker reputatieschade aan te richten, systemen onbruikbaar te maken of ze in te zetten voor verdere hacking van andere netwerken.

Hoe kan je herkennen of je gehackt bent?

Een hack valt helaas niet te detecteren met een eenvoudige, universele test. Toch zijn er een aantal knipperlichtsignalen die je kan aftoetsen. Je herkent een gehackte computer of gehackte laptop doordat:

  • Je antivirussoftware melding maakt van infecties of plots niet meer werkt;
  • Je toestel plots zeer traag wordt en er onbekende processen actief zijn;
  • Er vanzelf programma’s of websites geopend worden;
  • Je data versleuteld is en dus onleesbaar is geworden;
  • Er nieuwe accounts op je toestel staan die je niet zelf hebt aangemaakt;
  • Je e-mailcontacten zeer veel spam ontvangen van jouw afzendadres;
  • Er plots ongevraagd nieuwe programma’s geïnstalleerd worden;
  • Er toestemming gevraagd wordt om het systeem aan te passen terwijl je zelf geen updates of installaties aan het uitvoeren bent.

In principe kunnen al je netwerkapparaten gehackt worden. Naast computers en laptops kunnen dus ook je netwerkprinters, beveiligingscamera’s, toegangscontrole, alarmsystemen, WiFi-routers en netwerkschijven (bijvoorbeeld je back-upschijven) de toegangspoort vormen voor hackers. Een succesvolle hack gebeurt dikwijls door een gebrekkige configuratie, laks update-, en patchbeleid of veroudering van de technologie.

Wist je dat hackers via één onbeveiligd apparaat zoals een router die niet up-to-date is, mogelijk al aan je bedrijfsboekhouding kunnen geraken?

Een WiFi-router die al enkele maanden niet geüpdatet is, dat klinkt misschien onschuldig. Maar niets is minder waar. In onze IT Audits komt vaak aan het licht dat de bedrijfsboekhouding en gedeelde bestanden op netwerkschijven (vaak geconfigureerd als de Z-schijf) simpelweg toegankelijk zijn zonder dat hiervoor een wachtwoord nodig is. Beveiliging is dus op verschillende niveau’s nodig.

Is mijn bedrijf gehackt?

9 stappen om te ondernemen direct nadat je gehackt bent

Wanneer je vermoedt dat je gehackt bent, volg dan dit stappenplan dat je zal helpen om de gevolgen te beperken:

1. Keep calm, don’t panic

De eerste gouden raad: schiet niet meteen in paniek maar laat een verdacht signaal zo snel mogelijk onderzoeken en verifiëren. Je kan de klok helaas niet terugdraaien. En het is best mogelijk dat vreemde signalen te wijten zijn aan een andere oorzaak.

Zijn er in jouw organisatie procedures voorzien omtrent het detecteren van datalekken? Volg deze dan nauwgezet op. Zijn deze niet aanwezig? Volg dan de stappen uit dit artikel verder op.

2. Verbreek de verbinding tussen je toestel en het netwerk

Zorg ervoor dat de hacker niet dieper in het bedrijfsnetwerk binnen raakt door het gehackte toestel los te koppelen van het netwerk waarin het zich bevindt. Schakel de WiFi-verbinding uit en maak de eventuele netwerkkabel los.

3. Documenteer waar het fout liep

Op dit moment is het belangrijk dat je bedenkt of er handelingen zijn die je vlak voor de mogelijke hack hebt uitgevoerd. Wanneer het hack lang geleden heeft plaatsgevonden, probeer je dan te realiseren op welke datum het vermoedelijk is ontstaan. Omschrijf alle informatie die je hebt zo concreet mogelijk in je rapportering van het hack aan de DPO, IT-verantwoordelijke en/of het management.

Probeer in geen enkel geval het hack te verbergen of verzwijgen voor het management. Het is cruciaal om op een doordachte manier in actie te komen en de gevolgen van de hack zo goed mogelijk in te perken.

De volgende vragen kunnen je helpen om te omschrijven wat je aan het doen was op het gehackte toestel, en hoe en wanneer je je realiseerde dat het toestel mogelijk gehackt werd:

  • Welke applicaties (software) stonden er open?
  • Ontving en/of opende je een mysterieuze e-mail?
  • Welke randapparatuur was gekoppeld aan het gehackte toestel?
  • Waren er verwijderbare opslagapparaten zoals usb-sticks of externe harde schijven gekoppeld aan het gehackte toestel?
  • Welke signalen wezen op een hack?
  • Wat heb je gedaan nadien je het hack ontdekt hebt?

Zo help je de IT-experten op weg om de oorzaak zo snel mogelijk uit te klaren.

4. Schakel een expert in

Nu je grondig gedocumenteerd hebt wat zich heeft voorgedaan, is het tijd om de hulp van een specialist in te schakelen. Contacteer de IT-verantwoordelijke van je bedrijf of je externe IT partner. Blijf even van het toestel af om te voorkomen dat de schade uitbreidt en/of het bewijsmateriaal wegsijpelt.

Wist je dat er ook een “ethische hack” bestaat voor je netwerk? Op die manier wordt er een hack gesimuleerd om na te gaan welke gevaren er dreigen en welke datalekken er eventueel aanwezig zijn.

5. Vervang je wachtwoorden

Om ervoor te zorgen dat de hacker niet dieper in het netwerk kan binnen geraken, is het belangrijk om de gebruikerswachtwoorden te veranderen van alle toetellen die toegang hadden tot het gehackte netwerk. Denk aan toegangswachtwoorden van de apparaten, en wachtwoorden voor beheerderspanelen, CMS-systemen, software en mailaccounts.

Tip: lees ook onze blog over veilige wachtwoorden met een handige tool om te testen of je wachtwoord werd buitgemaakt in een bekende hack waarvan de gegevens in een online databank staan.

6. Ga na of er sprake is van een datalek

Heeft de hacker bedrijfsinformatie, gevoelige informatie of persoonsgegevens kunnen buit maken? Dan is er sprake van een datalek. Bij een datalek waarin persoonsgegevens zijn uitgelekt (van bijvoorbeeld prospecten, klanten, medewerkers of andere zakelijke relaties) zijn er wettelijke plichten van toepassing. Registreer het datalek in het incidentenregister en meld hierbij:

  • Wat er is gebeurd
  • Wanneer het is gebeurd
  • Of het datalek gemeld is aan de autoriteit
  • Of het datalek gemeld is aan de betrokkenen
  • Waarom het datalek al dan niet gemeld is
  • Welke maatregelen er zijn genomen om het datalek te stoppen of in te perken
  • Welke maatregelen er zullen worden genomen om datalekken in de toekomst te voorkomen

7. Meld het internetmisbruik

Via een aangifte bij de politie

Met een aangifte kan de politie een onderzoek starten naar de daders en heb je een bewijs voor je verzekeraar. Je kan aangifte doen via het meldpunt of op het politiekantoor.

Doe indien nodig een aangifte bij de Gegevensbeschermingsautoriteit

Ga na of je verplicht bent om het gegevenslek binnen de 72 uur kenbaar te maken bij de Gegevensbeschermingsautoriteit (GBA) en/of aan de betrokkenen. De autoriteit verzamelde op een informatieve pagina in haar website alle informatie over de meldplicht.

Eerste hulp nodig bij het melden van datalekken? Lees verder in deze blog.

8. Herstel je data via back-ups

Is er data verloren gegaan of moet je tijdelijk werken via een ander toestel? Laat dan je gegevens terug plaatsen via een back-up.

Opgelet: staat de back-up van je data op een externe harde schijf of netwerkschijf die in directe verbinding stond met het gehackte toestel? Dan is deze data mogelijk ook onbruikbaar. Daarom adviseren we steeds om back-ups off-site in een afgeschermd netwerk op te slaan.

9. Evalueer het lek en je beveiligingsmaatregelen

Wil je vermijden dat er in de toekomst nog vaker ingebroken wordt in toestellen in je bedrijfsnetwerk, dat pc’s geïnfecteerd worden met ransomware of dat wachtwoorden gehackt worden? Evalueer dan of de beveiligingsmaatregelen nog voldoende sterk zijn.

Pas indien nodig het werkproces en de bijhorende procedures aan om een gelijkaardige hack in de toekomst te vermijden.

Conclusie

Zorg ervoor dat je goede digitale gewoontes ontwikkelt en het oog op scherp houdt zodat je verdachte zaken op je computer snel kan opsporen. Met de bovenstaande negen acties kan je de impact van een hack inperken, maar enkel wanneer de detectie ervan snel plaatsvindt.

In de praktijk merken we echter dat bedrijven vaak zelf niet op de hoogte zijn van de aanwezige datalekken. Het duurt soms jaren vooraleer ze (in bijvoorbeeld een audit) aan het licht komen. Dat komt omdat er onvoldoende kennis en een erg beperkte bewustmakingscultuur heerst rondom de veilige omgang met informatietechnologie.

De vele berichtgeving over ransomware-aanvallen en hackers lijken misschien een ver-van-ons-bedshow, maar in de praktijk is digitale technologie vaak ondermaats beveiligd. Dagelijks verschijnen er persartikelen die wijzen op inbreuken en onderinvesteringen in cybersecurity.

Neem in elk geval deze drie bijkomende voorzorgsmaatregelen die je kunnen helpen om een hack voor te zijn:

  1. Voer een gedetailleerd IT veiligheidsbeleid in waaraan iedere medewerker gehouden is. Zo zorg je enerzijds voor een bewustzijnscultuur en motiveer je anderzijds je team om op een veilige manier om te gaan met je kostbare bedrijfsgegevens.
  2. Bekijk of alle bedrijfstoestellen (computers, laptops, servers maar ook de andere netwerkapparatuur) steeds voorzien worden van de nieuwste (geteste) updates en software-releases.
  3. Onderzoek of de kritieke bedrijfstoestellen proactief gemonitord worden op KPI’s zoals netwerkverkeer, updatebeleid,..

Ben je vermoedelijk het slachtoffer geworden van hacking en wil je dit aftoetsen met een expert? Of wil je proactief de IT infrastructuur van je organisatie laten doorlichten via een IT audit? Maak dan een belafspraak met een van onze IT Security Specialisten.

Petya Ransomware

Ransomware: wat is het en hoe kan je het voorkomen in je bedrijf?

“Ieperse weefmachineproducent Picanol en de afdelingen in China en Roemenië liggen grotendeels stil door een cyberaanval met ransomware”
“Cyberaanval met ransomware Wannacry maakt wereldwijd meer dan 200.000 slachtoffers”
“Universiteit Maastricht betaalde paar honderdduizend euro losgeld na cyberhack”
“Eindelijk weer iedereen aan het werk bij Asco, schade loopt in de miljoenen”

Deze krantenkoppen zijn slechts een snelle greep uit de cyberaanvallen die dagelijks in het nieuws komen. Cybercriminelen zien voortdurend nieuwe kansen om onze digitale werking te verstoren door gevoelige data te versleutelen en te verwijderen door gebruik te maken van ransomware.

Wat is ransomware?

Ransomware -ook wel gijzelsoftware genoemd- is een vorm van malware (malicious software) waarbij gegevens op je computer geëncrypteerd (versleuteld) worden waardoor ze onleesbaar worden gemaakt.

Cybercriminelen gebruiken ransomware als chantagemiddel doordat ze losgeld vragen (ransom) in ruil voor het vrijgeven van de decryptiesleutel. Decryptie is immers de enige manier om je gegevens terug te bevrijden omdat het de versleuteling omkeert.

En dat weten cybercriminelen. Het losgeld dat ze vragen loopt in sommige gevallen zelfs op tot 1 miljoen euro.

Doordat je de criminelen betaalt in Bitcoins, is het bijna onmogelijk om hen op te sporen. Betalen biedt dus ook geen garantie op het terugkrijgen van je data. Bovendien zien we in de praktijk dat ransomware vaak na enkele maanden terug geactiveerd wordt.

Hoe komt ransomware op je computer terecht?

Ransomware kan via verschillende wegen op je computer terecht komen. Vaak zitten deze kwaadaardige scripts in een e-mailbijlage of e-maillink. Je kan ze ook activeren door een besmette website te bezoeken. Of ze dringen rechtstreeks je computernetwerk binnen via een niet-geüpdatete server of firewall.

Werk jij van thuis uit op je server via VPN of RDP? Dan is hiervoor een bepaalde specifieke poort geopend. Niet alleen jij, maar ook hackers kunnen deze server dan aanspreken. In het geval dat de server niet geüpdatet is, kan hij kwetsbaarheden bevatten. Die kwetsbaarheden worden uitgebuit door hackers om toegang te verkrijgen. Is je server niet voldoende voorzien van beveiligingssoftware? Dan kan er een payload gedownload worden die zorgt voor de encryptie van je bestanden. Monitoringtools kunnen je wel verwittigen op het moment dat de schijfactiviteit toeneemt, maar dan is het in vele gevallen al te laat. De reactiesnelheid van je IT-verantwoordelijke is hier immers cruciaal.

Welke vormen van ransomware bestaan er?

Ransomware komt dagelijks in nieuwe vermommingen voor. Cybercriminelen kopen kant-en-klare ransomware-scripts aan en passen het bitcoin-betaaladres aan alsook de eventuele “commerciële naam”. Enkele vormen van ransomware hebben de afgelopen jaren een grote impact gemaakt in het bedrijfsleven, zoals:

CLOP

Clop ransomware maakte een opmars in 2019 en kwam enkele keren in de media doordat het de netwerken van de Universiteit van Maastricht en de Universiteit van Antwerpen trof.

Dharma

Dharma ransomware kende voor het eerst een opmars in 2016 en kwam met vernieuwde versies uit in 2019. Deze vorm van gijzelsoftware verbergt zich dikwijls achter “legitieme” antivirus-software in een phishingmail die van Microsoft lijkt te komen.

WannaCry

WannaCry is ransomware die in 2017 zo’n 200.000 slachtoffers heeft gemaakt in maar liefst 150 landen. Verschillende ziekenhuizen konden toen niet langer functioneren omdat ze geen toegang meer hadden tot hun patiëntendossiers. Ook het Spaanse telecommunicatiebedrijf Telefonica is toen getroffen, alsook bedrijven in de transportsector waaronder FedEx. Vooral oudere besturingssystemen liepen het risico om WannaCry zijn gang te laten gaan. Daarom is het belangrijk om steeds tijdig updates en upgrades uit te voeren. In het bijzonder wanneer je Windows-versie verouderd is en niet meer ondersteund wordt.

Hades Locker

Hades Locker staat sinds 2016 bekend om zijn vermomming als e-mailbijlage in een fake mailbericht van een transportbedrijf. Het transportbedrijf is er volgens de e-mailboodschap helaas niet in geslaagd om een pakketje af te leveren. In bijlage zit een document dat moet ingevuld worden om een nieuwe afspraak te maken voor de aflevering van je pakket. Open je deze bijlage, dan open je het virus en wordt je data versleuteld, net zoals bij andere ransomwarevormen.

Hoe herken je een infectie met ransomware?

De volgende kenmerken zijn typisch voor ransomware-infecties:

  • Je bestanden kunnen niet meer geopend worden omdat ze een vreemde extensie hebben gekregen.
  • Er wordt een betaling geëist in bitcoins.
  • De gevraagde betaling heeft een deadline en kan maar enkele dagen uitgevoerd worden.
  • Je hebt per ongeluk op een besmette e-mailbijlage of onbetrouwbare link geklikt.
  • Je antivirusprogramma kan je bestanden niet zelf herstellen, daar is een decryptiesleutel voor nodig.

Hoe raakt je toestel besmet met malware?

Er zijn verschillende manieren waarop malware je werkcomputers kan besmetten:

E-mail

Veruit de grootste oorzaak voor het verspreiden van malware is e-mailverkeer. Je kent ze vast wel: de mailtjes die melden dat je nog verzendkosten moet betalen, je een levering hebt gemist of dat er iets mis is met je bankrekening. Werknemers worden in dit scenario gevraagd om dringend actie te ondernemen zoals (gevoelige) gegevens doorgeven, een bestand downloaden of een betaling uitvoeren. Wie hier onbezonnen op reageert, krijgt gegarandeerd af te rekenen met malware.

Websites

Net zoals links die je in e-mails ontvangt, ben je best voorzichtig met links die je tegenkomt op websites. Klik niet zomaar op onbekende links en download ook niet zomaar bestanden of software op websites die je niet kent. De kans bestaat namelijk dat je op die manier malware toegang geeft tot je computer of laptop.

Besmette hardware

Naast e-mailverkeer en websites vormt ook hardware een mogelijk risico voor de veiligheid van jouw toestellen. Maak daarom niet zomaar verbinding met vreemde toestellen zoals harde schijven, andere laptops of usb-sticks. Ook hier kunnen besmette bestanden op staan.

Niet-bijgewerkte servers, software of services

We promoten niet voor niets de inlassing van een strikt IT veiligheidsbeleid & updatebeleid in organisaties! Wanneer je servers onvoldoende bijgewerkt worden, je met een verouderd besturingssysteem werkt, er shadow IT wordt geïnstalleerd of verkeerde poorten opengesteld staan, verhoogt de kans op malware-, en ransomwareinfecties aanzienlijk.

Waar kan je proactief op letten om malware te voorkomen?

Ransomware-infecties zijn dikwijls niet onmiddellijk zichtbaar. Proactieve beveiligingsmaatregelen zijn echt een must om deze vorm van internetcriminaliteit tegen te houden. Las daarom de volgende veiligheidsmaatregelen in:

Sensibilisering

Door logisch na te denken, kan je al veel issues vermijden. Zorg voor gebruikersopleidingen die hen in staat stellen om kritisch te zijn bij o.a. het verwerken van e-mails, zeker bij onbekende afzenders.

Enkele tips:

  • Lees steeds de omschrijving van de inkomende e-mails en controleer het e-mailadres van de afzender. Verifieer of het om een bestaand bedrijf gaat, en controleer of de inhoud van de e-mail klopt (is er daadwerkelijk een pakket onderweg van deze verzenddienst?)
  • Twijfel je over een bepaalde e-mail? Open hem niet maar stuur hem door naar je IT partner ter controle.
  • Weet dat een pakketdienst, bank, telecomprovider of betaaldienst je nooit een bijlage stuurt, en nooit vraagt naar vertrouwelijke gegevens of wachtwoorden.
  • Vaak zitten er spellingsfouten in de onbetrouwbare e-mails omdat cybercriminelen anderstalig zijn. Werp een kritische oog op het taalgebruik.
  • Bekijk de links die in de e-mail staan. Controleer hoe ze zijn opgebouwd en parkeer je cursor eerst op de link om te zien naar welke website hij je wil brengen. Is deze verdacht? Ga er dan zeker en vast niet op klikken!

Spamfilter

Een degelijke spamfilter is een absolute must voor elke onderneming. Deze zorgt er namelijk voor dat e-mailberichten met slechte bedoelingen grotendeels proactief weggefilterd worden.

Antivirus en firewall

De firewall controleert alle informatie die het netwerk wilt binnenkomen. Wanneer er verdacht verkeer wordt gesignaleerd, houdt de firewall dit tegen. Ook blokkeert de firewall ongebruikte toegangspoorten. Antivirussoftware gaat daarnaast actief op zoek naar indicaties dat er malware aanwezig is in bestanden. Komt hij geïnfecteerde bestanden tegen? Dan worden deze bestanden direct onschadelijk gemaakt en verwijderd.

Back-uproutine

Maak gebruik van de 3-2-1 back-upregel. Ze stelt dat je bestanden op 3 verschillende locaties dient te bewaren, op 2 verschillende opslagmedia waarvan 1 op een offsite locatie staat. Door met een externe locatie te werken of een back-up in de cloud ben je ook gewapend tegen dataverlies door overmachtsituaties waaronder diefstal of brand.

Combineer een:

  • synchronisatieback-up die continu al je bestanden synchroniseert met een externe server
  • termijnback-up die op vaste tijdstippen een volledige situatieback-up neemt en er een aantal versies en revisies van bewaart
  • offline back-up die niet toegankelijk is via het internet

Toegangsbeperking

Geef je collega’s of werknemers enkel toegang tot bestanden die zij nodig hebben. Wanneer je dit doet, perk je risico’s in.

Merk je verdachte zaken op?

Heb je per ongeluk toch op een verdachte mail, link of bijlage geklikt? Of is er op een andere manier malware op je werktoestel of in het bedrijfsnetwerk binnen geraakt? Signaleer dit onmiddellijk aan je IT partner. De snelheid van handelen is immers bij ransomware-aanvallen cruciaal.

Ook proactief handelen is van groot belang. Zeker gezien de strenge GDPR die stelt dat je een passende beveiliging moet voorzien voor de persoonsgegevens die er in het bedrijf verwerkt worden.

Werken in de cloud tips

Werken in de cloud: tien voordelen van een overstap

Werken in de cloud is helemaal hot. Steeds meer ondernemers ontdekken de voordelen van het veilig (samen)werken in een virtuele omgeving. Mogelijk overweeg ook jij de overstap te maken? In deze blog help ik je om de laatste twijfels weg te halen door in te zoomen op de voordelen van cloud computing.

1. Online samenwerken

Wanneer je gegevens en/of software in de cloud staan, kan je ze gemakkelijk delen met andere gebruikers. Meer nog: je bepaalt zelf per gebruiker welke rechten er zijn op (onderdelen van) je cloudomgeving en welke mappen en gegevens zichtbaar mogen zijn. Het is niet meer nodig om bestanden via usb sticks, e-mails en mobiele apps met elkaar uit te wisselen. Je behoudt de controle over je bedrijfsgevoelige data, én je spaart er ineens tijd mee uit.

2. Overal en altijd toegang tot je cloudomgeving

Werken in de cloud is supersimpel: je hoeft geen ingewikkelde handelingen of uitgebreide instructies te volgen. Het enige dat je nodig hebt om aan de slag te gaan, is een toestel dat verbinding kan maken met het internet (computer, laptop, thin client, tablet of smartphone) en een stabiele en betrouwbare internetverbinding. That’s it. Ben je een startup, een vrije beroeper of werk je juiste in een groeiende kmo met 50 tot 250 medewerkers? Cloudoplossingen zoals een cloudserver, Digidesk Cloud (je computer in de cloud) of datasynchronisatie-tool zijn er voor iedereen.

Digidesk Cloud
Digidesk Cloud

3. Makkelijk switchen van toestel

Je clouddiensten zijn dus bereikbaar van op verschillende toestellen. Je bent niet meer gebonden aan dat éne apparaat en paniekaanvallen bij een defecte computer of laptop zijn dan ook écht niet meer nodig. Het toegankelijkheidsprincipe kan bovendien ook omgekeerd toegepast worden. Zo kan je ervoor zorgen dat cloudomgevingen slechts tussen bepaalde uren toegankelijk zijn, of slechts vanuit bepaalde locaties.

4. Flexibel schalen

Vandaag een klein stukje gebruiken van de cloud, en morgen een groot? Dat kan perfect! Een cloud-infrastructuur bestaat uit een groot serverpark in streng beveiligde datacenters. Jouw dienst gebruikt slechts een gedeelte van de capaciteit van dit serverpark. Daarom kan je online werkomgeving flexibel met de noden van je bedrijf meegroeien.

5. Besparing op hardware en software

Door gebruik te maken van cloud computing, hoef je geen dure investeringen in lokale hardware en software te doen. Je gebruikt clouddiensten namelijk door middel van een maandelijkse of jaarlijkse fee. Onderhoud en updates van de servers, en de benodigde hardware zijn meestal inbegrepen. Je dient meestal rekening te houden met een eenmalige setupfee, de configuratie van je werktoestellen en de aankoop van de licenties van je eigen software.

6. Besparing op personeelskosten

Een team van externe netwerkbeheerders zorgt ervoor dat je cloudomgeving up and running blijft. Daarnaast worden het onderhoud, de updates en upgrades van de clouddiensten steeds van op afstand uitgevoerd, rechtstreeks in het datacenter. Zo is het niet nodig om experts in regie in te schakelen bij iedere beschikbare update of uitbreiding.

7. Veilig werken

Doordat je data op een streng beveiligde externe locatie staat, kan je een pak geruster zijn over je bedrijfsgevoelige informatie. Wanneer er een toestel gestolen wordt of verloren raakt, kan de toegang tot de cloudomgeving alsook tot de delicate data geblokkeerd worden en kan je weer verder met een nieuw toestel. Er staat met andere woorden helemaal geen data op de lokale gebruikstoestellen. Zorg ervoor dat je een kwalitatieve partner kiest die samenwerkt met ISO-gecertificeerde datacenters en een duidelijke lijst met beveiligingsmaatregelen kan voorleggen. Voor de fysieke beveiliging van de betere datacenters worden o.a. elektrische hekken, schrikdraad met elektriciteit, een verstevigde bouwstructuur (lees: bijna een bunker), camerabewaking, en toegangscontrole met badges of irisscan gebruikt. Bovendien moeten klanten zich vaak op voorhand digitaal aanmelden, of ze worden niet binnengelaten. De servers krijgen dan weer een strenge softwarematige beveiliging en worden beheerd in afgesloten racks.

8. Automatische back-ups

Afhankelijk van de aanbieder, kunnen er automatische back-ups worden aangeboden. Je bedrijfsinformatie wordt dan op verschillende tijdstippen en naar verschillende fysieke harde schijven gekopieerd. Ook kan er een autosave-functie ingebouwd zijn, en/of een mogelijkheid om toegang te hebben tot verschillende revisies van je bestanden. Handig als meerdere medewerkers in dezelfde bestanden werken en het gevaar voor overschrijving bestaat.

9. Thuis werken

Vertragingen, files, overmacht, noodweer, … Ondernemers en werknemers kunnen al eens tijd verliezen onderweg naar hun kantoor. Clouddiensten zoals een cloudserver, cloud desktop (Digidesk) of datasync-oplossing zijn online toegankelijk waardoor je niet meer afhankelijk bent van de locatie waar je je bevindt. Thuiswerk wordt een fluitje van een cent!

10. Duurzaam

Het datacenter waarin zich de servers bevinden, heeft een zeer duurzaam karakter. Eén datacenter wordt immers ingezet voor duizenden gebruikers en is voor al deze gebruikers tegelijkertijd geoptimaliseerd qua veiligheid, stroomvoorziening, noodstroomvoorziening, koeling, enzovoorts. Daarnaast hebben bij de upgrade van één onderdeel van een server, meteen meerdere klanten er baat bij.

Conclusie?

Cloud computing zorgt ervoor dat je tijd kan besparen, gemakkelijk informatie kan delen en vlot kan communiceren met je medewerkers. Bovendien houd je meer budgetten over voor productontwikkeling, sales, marketing, of andere belangrijke bedrijfsprocessen.

Werken in de cloud is daarom de perfecte oplossing voor groeibedrijven, klein of groot. Van boekhouder tot advocaat, van architect tot copywriter of van ontwerpbureau tot administratiekantoor.

Heb je nog vragen over werken in de cloud?

Of wil je een Digidesk Cloud van Datalink uittesten?

Vraag dan vandaag nog je gratis demo aan of stel je vraag via onze chat.

Hoe kies je een veilig wachtwoord? 8 tips

Safety first?

Steeds meer producten en diensten die we genieten maken de shift naar een online businessmodel. Denk aan software die vroeger lokaal op je toestel of server draaide en nu via een webapp toegankelijk is. Denk ook aan je zakelijke partners zoals de boekhouder, hr dienstverlener en advocaat die online tools beschikbaar maken om informatie en communicatie uit te wisselen. Voor ieder van deze tools registreer je als gebruiker met een account. Maar hoe vaak gebruik je niet hetzelfde wachtwoord? Niet alle dienstverleners zorgen voor een adequate beveiliging van hun online tools. Daardoor neemt het risico op datalekken toe. In de praktijk is er dagelijks nieuws over buitgemaakte accountgegevens. Hergebruik je jouw wachtwoord? Dan neem je dus flinke risico’s omdat er bij een datalek bij een van je providers, ineens veel meer toegangen zijn opengesteld. Daarom raden we je aan om steeds gebruik te maken van een uniek, veilig wachtwoord.

Hoe kies je een veilig wachtwoord?

Vele mensen onderschatten cybercriminelen door voor de hand liggende wachtwoorden te gebruiken zoals: 12345, abc123, password, 111111. Deze, en nog veel meer simpele paswoorden, staan in grote databanken opgenomen die hackers geautomatiseerd raadplegen wanneer ze accountgegevens willen buitmaken. Je kan dus maar beter creatief zijn, of een password generator gebruiken. Een password generator is een tool die voor jou paswoorden genereert. Je kiest zelf hoe complex ze moeten zijn. Extra handig is werken met een tool die de gegenereerde paswoorden ook nog eens voor jou opslaat in een account dat slechts toegankelijk is na het invoeren van je masterwachtwoord én 2FA-code. 2FA oftewel two factor authentication wil zeggen dat je inlogt door middel van twee stappen (ook wel tweestapsverificatie genoemd). Je voert je gebruikersnaam en paswoord in, en een bijkomende code die gegenereerd wordt in een mobiele app of via een andere weg zoals SMS naar je wordt verzonden. Een bekende tool is LastPass. Zij hebben zelfs geavanceerde mogelijkheden waardoor alle accounts centraal beheerd kunnen worden voor de volledige organisatie. Via deze website kan je registreren voor een account.

Wil je liever zelf aan de slag en je wachtwoorden manueel beheren? Dan geef ik je graag een aantal tips om een sterk en dus veilig wachtwoord te kiezen.

Minimaal 8 tot 14 karakters

Hoe langer je wachtwoord, hoe moeilijker het is om het te kraken. Zorg ervoor dat je paswoorden minimaal 8 tot 14 karakters bevatten. Maak ze langer afhankelijk van hoe belangrijk het account is.

Combineer hoofdletters, kleine letters, cijfers en symbolen

Gebruik nooit voor de hand liggende namen zoals je postcode en gemeente, maar combineer hoofdletters, kleine letters, cijfers en symbolen. Zo is Pi€teR687-* veel veiliger dan pieter123.

Vorm een wachtwoordzin

Wil je extra veilig te werk gaan? Dan kan je ervoor kiezen om een wachtwoordzin te creëren. Kies een zin die alleen voor jou betekenis heeft en neem steeds van ieder woord de eerste letter. Ga opnieuw aan de slag met cijfers en symbolen om een ondoordringbaar wachtwoord op te stellen. Bijvoorbeeld: ‘Ik eet graag vis zoals zalm’ wordt samen met een makkelijk te onthouden getal ik€€TgrgVS1963*

Kies een uniek wachtwoord voor iedere tool

Het is geen goed idee om je wachtwoorden te hergebruiken. Worden je gegevens gehackt op één website? Dan kan dit een kettingreactie veroorzaken van gehackte accounts. Cybercriminelen kunnen dan immers in meerdere accounts in no time binnen geraken. Denk bijvoorbeeld aan je bank-app, je profiel op sociale media, je e-mailaccount en je accounts bij je hr-dienstverleners.

Deel nooit wachtwoorden

Houd je toegangswachtwoorden steeds voor jezelf en ga er geen delen op afdelings- of organisatieniveau. Plak ze al zeker niet op post-its! Je neemt er immers ook voor je eigen accounts grote risico’s mee wanneer collega’s zich niet aan het strikte wachtwoordenbeleid houden. Of wanneer ze per ongeluk gezien worden door onbevoegden.

Gebruik maatregelen zoals 2FA of blacklisting

Bekijk of de accounts waarmee je werkt het toelaten om extra beveiligingsmaatregelen in te schakelen. 2FA, Two Factor Authentication of tweestapsverificatie voegt een extra beveiligingslaag toe aan je accounts doordat je na het inloggen met bijvoorbeeld een gebruikersnaam en wachtwoord die je memoriseert, een extra code moet invoeren die op een andere manier wordt gegenereerd. Denk aan een sms-bericht of een mobiele app. Een andere maatregel is automatische blacklisting van je IP bij teveel inlogpogingen. Zo kan je brute force attacks waarbij er geautomatiseerd getracht wordt om toegang te verkrijgen tot je account, bannen. Ook kan je dikwijls inschakelen dat je een e-mailmelding of sms-bericht ontvangt wanneer er met een nieuw toestel is ingelogd op één van je accounts. Zo houd je in het oog of alle toegangen wel geoorloofd zijn. Sommige tools gaan nog een stap verder door via e-mail te vragen om te bevestigen dat er toegang mag genomen worden. Zoals je ziet, zijn er vaak veel manieren om je accounts extra bescherming te laten genieten.

Beperk de beschikbaarheid van je accounts

Bekijk of het mogelijk is om de beschikbaarheid van je accounts te beperken op locatie of toestel. Je kan bijvoorbeeld aan je IT-partner vragen of het mogelijk is om de toegang tot de cloudomgevingen enkel mogelijk te maken tijdens de werkuren (of uit te schakelen tijdens de nacht).

Gebruik een wachtwoordenkluis

Kan je al je wachtwoorden toch maar moeilijk onthouden? Of werk je met meerdere collega’s samen in een account? Dan is een wachtwoordenkluis de ideale oplossing. Je kan in deze streng beveiligde software al je wachtwoorden opslaan, en kiezen welke ervan je onderling wil delen.

Zo! Na het toepassen van deze acht tips kan je weer op beide oren slapen. Neem ze ook op in je IT veiligheidsbeleid en deel deze blog in een interne mailing zodat ook je collega’s op de hoogte zijn van de principes voor veilige wachtwoorden.

Een laatste tip is om zeker ook onze blog over gehackte accounts te lezen. Hierin delen we een handige tip om te checken op een website of je accountgegevens zijn buitgemaakt in een bekende datalek. Hierin staan natuurlijk maar een beperkt aantal accountgegevens opgenomen dus ze biedt geen garanties! Twijfel je over de veiligheid van je paswoorden, kan je ze best allemaal asap veranderen.

Wil je hiermee begeleid worden door IT security-experts?

Mogelijk heb je nog vragen over een veilig wachtwoordenbeheer of een ander aspect van cyberveiligheid. Dan sta ik graag voor je klaar!

Karen van Datalink aan het werk op de cloud server

Hoelang gaat een server mee?

Als ambitieus bedrijf heb je geen tijd te verliezen. Je moet dan ook op digitale continuïteit kunnen rekenen. Een belangrijke speler in je digitale infrastructuur, is je server. Tijdig anticiperen op de gemiddelde levensduur van je server zorgt ervoor dat je je groei voor kan zijn, én kan profiteren van nieuwe mogelijkheden.

Wat is de levensduur van een server?

De gemiddelde levensduur van een server is 3,5 tot 5 jaar, onder meer afhankelijk van de geïnstalleerde applicaties, de groei van je kmo in het aantal gebruikers, de omgeving waarin je server zich bevindt, en de draaiuren van de harde schijven. Zolang een server up-and-running is, staan de meeste bedrijven echter niet stil bij de mogelijke vervanging ervan. Toch is het interessant om proactief voor te denken over de levensduur van kritieke toestellen omdat de goede werking van je firma hiervan afhangt. Bovendien kan je best monitoren of deze toestellen nog klaar zijn om je volgende groeispurt op te vangen.

Wanneer is het tijd om je server te vervangen?

Hoe herken je een server die aan vervanging toe is? Onderstaande redenen doen de alarmbel rinkelen:

Je server is niet langer kostenefficiënt

Ook al is de technische levensduur van een server mogelijk nog niet verstreken na drie tot vijf jaar, vaak is je servicecontract of garantie wel verlopen. Het gevolg? Investeren in nieuwe technologie is interessanter dan de prijs betalen voor een verlengde garantie.

Je meet productieverlies

Servers die blijven doordraaien verhogen de kans op storingen. Dit zien we vooral bij componenten zoals harde schijven, voedingen en ventilatoren waarbij de betrouwbaarheid met de jaren afneemt. Gaat je server eenmaal down door een hardwarepanne, dan zijn bedrijfskritieke systemen een tijdlang niet beschikbaar en betekent dit een breuk in je digitale continuïteit. Apparatuur die veroudert, werkt ook trager. Wanneer je bedrijf tegelijkertijd groeit in het aantal medewerkers of de hoeveelheid werk, zal je dit merken aan de serverprestaties.

Je server is incompatibel met nieuwe hardware of software

Wanneer hardwarecomponenten in verouderde servers defect gaan, kan het een uitdaging worden om vervangingsonderdelen te vinden. Bovendien zijn nieuwe onderdelen met een betere performantie vaak niet compatibel met oudere technologie. Ook up-to-date software is belangrijk. Stopt de ondersteuning voor het besturingssysteem dat je momenteel in gebruik hebt, en moet je overschakelen naar een nieuwe versie? Dan bestaat de kans dat je server niet meer compatibel is.

Je server is verouderd en daardoor niet meer veilig

Waar servers vroeger goed geïsoleerd werden in het bedrijfsnetwerk, willen we vandaag mobiel kunnen werken van op externe locaties. Daardoor worden serversystemen, die veel krachtiger zijn dan werktoestellen, het doelwit van hackers. Zij willen kostbare data ontvreemden of de serverkracht gebruiken voor malware-doeleinden met alle gevolgen van dien. Verouderde servers worden kwetsbaar en zijn vaak niet geschikt voor moderne beveiligingstechnologieën.

Je server neemt veel plaats in

Heb je momenteel een server in dienst die erg veel vloerruimte in neemt? Nieuwe generaties van servers zijn niet alleen extra krachtig en energiezuinig, ze worden ook kleiner waardoor je plaats kan besparen. Zoals je merkt, zijn er verschillende elementen die de performantie van een server beïnvloeden. Je vraag je misschien af of het vandaag niet simpeler kan? Cloudservers bieden een interessant alternatief.

Wat is een cloudserver?

Een cloudserver is een virtuele server die in een cloudomgeving draait. Dit wil zeggen dat er geen fysiek toestel in je bedrijf aanwezig is, en je in plaats daarvan werkt op serverhardware- en software die zich in een datacenter bevindt. De cloudserver is toegankelijk via de werktoestellen die hiertoe geconfigureerd zijn. Je logt in zoals je dit gewoon bent bij een in-company server, maar gebruikt externe infrastructuur om op te werken.

Wat zijn de voordelen van een cloud server?

Werk je op een cloudserver, dan kan je een aantal uitdagingen die fysieke servers met zich meebrengen, uit de weg gaan. Zo is werken in de cloud:

• Plaatsbesparend

Aangezien er geen fysieke server meer nodig is in je bedrijf, bespaar je ruimte die herbestemd kan worden.

• Kostenefficiënt

Bij een cloudserver zijn de initiële investeringen veel lager. Je hoeft bijvoorbeeld geen dure hardware te kopen waarbij je de factuur direct betaalt maar de kost over jaren moet afschrijven. Cloudservers worden geleverd via een maandelijks abonnement zodat je betaling en bedrijfskost steeds samenvallen. Bovendien moet je niet meer investeren in back-uphardware aangezien data back-ups ook in de cloud plaatsvinden. Gaat er serverhardware defect, wordt deze op datacenterniveau vervangen zonder bijkomende kosten.

• Plaats- en werktoestel onafhankelijk

Met een cloudserver kan je van op alle gewenste locaties toegang krijgen tot je werkomgeving. Wil je de toegang net beperken? Ook dat is mogelijk. Is een van je gebruikstoestellen zoals een laptop of computer stuk? Dan log je in met een nieuw toestel, en staat je werkomgeving terug voor je klaar.

• Schaalbaar en flexibel

Is je kmo volop aan het groeien? Of heb je afwisselend meer of minder gebruikers? Een cloudserver groeit of krimpt mee met je bedrijf waardoor je enkel betaalt voor wat je echt nodig hebt.

• Optimaal beveiligd

Wanneer je een fysieke server in gebruik hebt, moeten ook de beveiligingsmaatregelen geüpdatet en regelmatig aangescherpt worden. Bovendien zijn periodieke updates en monitoring onmisbaar om de performantie van je toestel te meten. Al deze (vaak losse af te sluiten) diensten worden bij een cloudserver meegeleverd. Overmachtsituaties zoals diefstal of brand worden bij een cloudserver tot een minimum herleid aangezien datacenters zeer streng fysiek beveiligd zijn en de meeste cloud service providers zelfs redundancy voorzien. Dit wil zeggen dat er meerdere datacenters elkaars systemen kunnen opvangen bij een storing.

• Krachtig en snel

Doordat cloudservers uitbreidbaar zijn, kan je je dienst opschalen waardoor hij krachtig en snel blijft, ook tijdens je verdere groei. Kwalitatieve providers innoveren en vernieuwen hun infrastructuur zelfs proactief waardoor ook jij als klant geniet van performante systemen mét een lange levensduur.

Is jouw server aan vervanging toe? Of overweeg je over te stappen naar de cloud?

We denken graag met je mee en bezorgen je een voorstel op maat!

Deja Blue kwetsbaarheid Windows gevoelig voor hackers via RDP

DejaBlue: Windows voorziet patch voor RDP-bug

Op 13 augustus 2019 introduceerde Microsoft Windows beveiligingsupdates (oftewel security patches) voor twee nieuwe kwetsbaarheden die DejaBlue genoemd worden. Deze kwetsbaarheden maken het mogelijk voor hackers om vanop afstand toegang te verkrijgen tot jouw toestel.

Wat is DejaBlue?

De nieuwe kwetsbaarheden die door Microsoft ontdekt werden, kregen de naam DejaBlue. De benaming werd gekozen aangezien ze deden denken aan de iets oudere kwetsbaarheid BlueKeep die zich ook situeert in de remote desktop functionaliteit in Windows.

Voor BlueKeep rolde Microsoft eerder al een patch uit maar onlangs werden er opnieuw 7 kwetsbaarheden ontdekt waarvan er 2 dus kritiek zijn. Via de DejaBlue lekken kan een hacker, net zoals bij BlueKeep, computers zonder interactie van de gebruiker overnemen. Hiervoor dient de aanvaller enkel verbinding te maken via het Remote Desktopprotocol (RDP) waarmee hij dus de computer vanop afstand kan overnemen.

Zodra de hacker toegang heeft tot het toestel kan hij krachtige wormvirussen loslaten die zichzelf binnen het netwerk van de ene computer naar de andere kunnen verspreiden. Zo kan 1 PC in een lokaal netwerk het virus binnenhalen en ervoor zorgen dat ook meteen alle achterliggende toestellen aangevallen worden. Een gelijkaardige werkwijze als het WannaCry virus dat in mei 2018 wereldwijd voor gigantisch veel chaos zorgde.

Welke Windows systemen zijn geïmpacteerd door DejaBlue?

Waar Bluekeep impact had op toestellen met besturingssysteem Windows 7 of ouder, zorgt DejaBlue voor gevaar op toestellen met besturingssysteem Windows 7 of jonger. Aangezien de meeste hedendaagse bedrijfstoestellen werken op jongere systemen dan Windows 7, ontstaat er zo een gigantische doelgroep aan pc’s die mogelijk geïnfecteerd kunnen worden.

Wat zijn de gevolgen van een hack via het Remote Desktopprotocol zoals bij Dejablue?

Kwetsbaarheden zoals DejaBlue en BlueKeep kunnen een gigantische impact veroorzaken zoals we eerder zagen met ransomware WannaCry, Hades Locker, Jigsaw ransomware of Cryptolocker waarmee bedrijven volledig lam gelegd werden. Het gevolg? Grote economische schade. Het is dan ook van cruciaal belang om deze kwetsbaarheden met prioriteit te behandelen. Het is namelijk maar een kwestie van tijd vooraleer hackers ook jouw bedrijf ontdekken bij een grootschalige aanval.

Hoe kan je een infectie met BlueKeep of DejaBlue vermijden?

Voer onmiddellijk de beschikbare beveiligingsupdates of patches uit die Microsoft beschikbaar maakt voor zijn gebruikers. Certified Secure meldt helaas dat er voor BlueKeep in mei 2019 al updates beschikbaar waren maar dat er zelfs na enkele maanden wereldwijd nog honderdduizenden machines niet gepatched zouden zijn. Zo zou het bijvoorbeeld in Duitsland alleen al om meer dan 10.000 toestellen gaan. Een hallucinant cijfer! Zorg dus voor een streng update- en patchbeleid dat goed wordt opgevolgd.

Ben je niet 100% zeker of de IT infrastructuur van jouw bedrijf up-to-date, veilig en gepatched is?

Dan kijk ik graag eens met je mee! Start gerust een chat of stuur een e-mail en we maken alvast kennis!

Stuur een e-mail naar Team Datalink

Faxploits Exploits

Faxploits: hoe hackers je netwerk kunnen binnendringen via de fax

Faxen, het lijkt iets uit een ver verleden

Met alle mogelijkheden waar we vandaag over beschikken zoals e-mail, (mobiele) telefonie, messaging apps en datacentralisatie in de cloud kunnen we met zekerheid stellen dat het gebruik van de fax zo goed als uitgestorven is, toch?

Helaas! Vandaag gebruiken nog veel ondernemingen op dagelijkse basis hun faxapparaat omdat het sterk ingeburgerd is in hun bedrijfsvoering, die van hun klanten of die van hun sector. Wereldwijd zouden er nog zo’n 300 miljoen faxnummers in gebruik zijn. Maar is faxen wel zo’n betrouwbare manier van communiceren? Let op met faxploits!

Wat zijn faxploits?

We kennen faxen voornamelijk als onderdeel van all-in-oneprinters die geconnecteerd worden met het interne bedrijfsnetwerk via bluetooth, WiFi of een ethernet-verbinding (UTP-kabel). De faxfunctionaliteit zelf wordt geactiveerd via een PSTN of ISDN telefoonlijn die niet achter een firewall zit zoals bij internetapparaten.

Een faxtoestel binnendringen en bedrijfsdocumenten uit het netwerk stelen blijkt daardoor verbazingwekkend simpel. Het enige dat een aanvaller nodig heeft is het faxnummer van het slachtoffer. Dit faxnummer staat meestal gewoon vermeld op de website van de organisatie of kan simpelweg met een kleine moeite opgevraagd worden.

De hacker stuurt een bestand door naar het faxtoestel van het doelwit. Dit bestand bevat een specifiek gecodeerd pakket dat een fout in de software van de faxtoestellen uitbuit en de malware zo kan uploaden naar het geheugen. De faxmachine gaat vervolgens dienen als een “gehackte computer” die vaak toegang heeft tot de overige toestellen in het interne bedrijfsnetwerk. Daardoor kunnen kritieke bestanden kenbaar worden gemaakt aan de hacker.

De onderzoekers spreken van een Faxploit; een exploit via faxapparaten. Hieronder kan je zien hoe faxploits in zijn werk gaan:

Faxploit Attack Flow

Moderniseren

Maakt jouw kmo momenteel nog gebruik van fax? Dan kan je beter overstappen op een moderne, veilige manier van communiceren en bestandsdeling. Als je denkt dat je strenge firewall je wel zal beschermen, ben je er helaas aan voor de moeite. Indien je faxapparaat een kwetsbaarheid bevat en zij rechtstreeks files kan ontvangen, zal de firewall bij een aanval omzeild worden. Schaf het faxgebruik volledig af of isoleer het faxapparaat in je bedrijfsnetwerk. Tegenwoordig kan je ook gebruik maken van “fax over e-mail” of “fax over IP”, een toepassing die inkomende faxen rechtstreeks aflevert in je mailbox, en faxen verstuurt vanaf een applicatie in de computer. Op die manier heb je geen PSTN of ISDN-lijn nodig en kan bijgevolg deze exploit niet toegepast worden op jouw faxlijn.

Wil je jouw IT-infrastructuur eens onder de loep laten nemen?

Contacteer ons dan vandaag nog. Ik sta samen met mijn team, graag voor je klaar.

SSL-certificaat

S is for Secure: waarom SSL een must is voor jouw kmo website

Veel van onze communicatie gebeurt digitaal. We delen leuke momenten op sociale media, we leggen contact met bedrijven die we vonden via zoekmachines en we kopen leuke goodies via onze favoriete webshops. Maar hoe veilig is het eigenlijk om je nformatie online te delen? Je laat de gegevens van je kredietkaart toch ook niet zomaar achter in de supermarkt? Waarom zouden online bezoekers dat dan wel doen via een website?

Zeker met de grote groei van ransomware en phishing-aanvallen die we de laatste jaren ervaren is het opletten geblazen op het wereldwijde web. Hoe kan je als surfer nagaan of er veilig omgegaan wordt met je ingevoerde gegevens en er gerust in zijn dat je informatie niet te grabbel ligt voor hackers? Hoewel vele aspecten van een website invloed hebben op de veiligheid ervan, is er ééntje wel extra belangrijk: het SSL-certificaat!

Wat is SSL?

SSL staat voor Secure Sockets Layer. Het is een encryptieprotocol dat gegevensuitwisseling (in dit geval via je website) beveiligt. Heel concreet is het SSL-certificaat een bestand dat de verbinding tussen de bezoeker van de website en de server waarop de website staat, beveiligt. We kennen het reeds lange tijd van websites waar je financiële transacties kan uitvoeren zoals die van banken en webshops, en online platformen waarin je een account aanmaakt. Alle informatie die je via zo’n website doorgeeft zal tijdens de overdracht geëncrypteerd (versleuteld) worden en dus onleesbaar zijn voor derden. Zo garandeert SSL dat communicatie enkel mogelijk is met de bedoelde website, en de ingevoerde gegevens onderweg niet kunnen gelezen worden door bijvoorbeeld hackers. Daarnaast gaat het SSL-certificaat de identiteit van de server garanderen. Dit wil zeggen dat SSL ervoor zorgt dat je 100% zeker bent dat de informatie die de bezoekers te zien krijgen, de juiste informatie is. Om terug te komen op het supermarktverhaal: SSL zorgt ervoor dat niet de hele digitale wereld weet wat je koopt (versleuteling van je ingevoerde gegevens), en dat je jouw kaart in het juiste bancontacttoestel stopt (verificatie van de identiteit van de website).

SSL certificaten kunnen naast op je webserver, ook op andere servers voorzien worden. Denk bijvoorbeeld aan je mailserver die ook zeer veel communicatie afhandelt, de webapplicatie die je gebruikt voor je bedrijfsadministratie, de online toepassing om de beelden van je bewakingscamera te bekijken, je terminal server enzovoorts.

Hoe herken je SSL?

De aanwezigheid van een SSL certificaat kon je in Google Chrome tot voor kort herkennen aan het groene slotje dat bovenaan de adresbalk links van de URL of het webadres stond. Onlangs heeft Google Chrome echter beslist om nog enkel aan te geven wanneer een website onveilig is. Het groene slotje zal je dus niet langer standaard zien staan op een website met SSL. Een snelle manier om een website met SSL te herkennen?  Het webadres zal altijd beginnen met ‘HTTPS’. De S staat hier voor ‘secure’ en duidt op de beveiligde verbinding. Zie je deze informatie? Dan kan je de website met een gerust hart bezoeken.

Welke soorten SSL bestaan er?

EV SSL-certificaten

EV SSL-certificaten oftewel Extended Validationcertificaten zijn enkel verkrijgbaar na strenge controle. Ze zorgen ervoor dat de adresbalk groen kleurt en stralen daarmee veel vertrouwen uit. Deze certificaten zijn ideaal voor webshops, websites waarin financiële verrichtingen plaatsvinden en privacygevoelige websites.

SSL certificaten met organisatievalidatie

Deze bevestigen de identiteit van de houder van het certificaat. De aanvrager wordt dus gecontroleerd. Dit certificaat vertoont het slotje in de adresbalk samen met de HTTPS-vermelding.

SSL certificaten met domeinvalidatie

SSL certificaten met domeinvalidatie zijn het snelst leverbaar. Er worden geen organisatiegegevens opgenomen in het certificaat, maar naast de URL verschijnen wel het bekende slotje en de vermelding https.

Welke voordelen heeft SSL?

Voor bezoekers van websites is het voordeel duidelijk: veiligheid. Maar voor jou als ondernemer biedt een SSL-certificaat nog veel meer voordelen.

Betrouwbaarheid

Als jij ervoor zorgt dat je bezoekers met een gerust hart kunnen surfen naar jouw website, zullen ze ook sneller geneigd zijn om daadwerkelijk tot actie over te gaan. Webbrowsers waarschuwen hun gebruikers steeds actiever over de aanwezigheid of afwezigheid van een SSL-certificaat, zeker wanneer ze een creditcard- of een wachtwoordenveld willen invullen. Door te werken met een SSL-certificaat laat je aanvoegen dat je veiligheid belangrijk vindt en dat schept vertrouwen.

Website zonder SSL certificaat

Ook jij kan er op vertrouwen dat de informatie die bezoekers van je website te zien krijgen, echt is en de gebruikers niet omgeleid worden naar een valse versie van je website.

SEO

Zoekmachines houden van websites met SSL en zullen je https-website belonen met een boost in de ranking die niet-veilige websites niet krijgen. Zo heeft SSL een positieve invloed op je positie in de SERP’s (Search Engine Results Pages) en zal de afwezigheid ervan zelfs bestraft worden. Als dat geen motivatie is om je website te beveiligen!

Let wel, SEO (search engine optimization of zoekmachineoptimalisatie) zal je wel in een ruimere context moeten bekijken. Enkel een SSL-certificaat zal je website niet op de eerste plaats in de rankings laten verschijnen. Je moet natuurlijk zoveel mogelijk acties ondernemen om je website te optimaliseren waaronder voldoende goedgeschreven teksten, handige menu’s en een gebruiksvriendelijke, responsive website.

Dit geldt ook voor je SSL-certificaat: het certificaat alleen zal niet maken dat jouw website een betrouwbare website is. Ook dient de broncode tijdig geüpdatet te worden, moeten de databanken voldoende afgeschermd zijn, is het belangrijk dat er bij eventuele gebruikersaccounts veilige wachtwoorden gebruikt worden, enzoverder.

Wil je graag weten of jouw website een veilige website is?

Contacteer onze experts voor een vrijblijvend voorstel

GDPR en de meldplicht: eerste hulp bij datalekken

De Europese Unie ziet streng toe op de veilige omgang met persoonsgegevens in het bedrijfsleven. Zo stelt de GDPR dat bedrijven niet alleen een verplicht register van hun verwerkingen van persoonsgegevens moeten bijhouden, ze dienen ook hun data breaches te registreren in een ‘register van datalekken’ en hebben een meldplicht omtrent datalekken te vervullen. Wat de meldplicht inhoudt, kom je te weten in deze blog.

Snel lezen? Klik door op de inhoudstabel:

  1. Wat is een datalek?
  2. Waarom is de meldplicht datalekken nodig?
  3. Wat houdt de nieuwe wetgeving in?
  4. Hoe verloopt een melding van een datalek aan de Privacycommissie?
  5. Wanneer moet je een datalek melden aan de betrokkene?
  6. Heeft de verwerker van mijn gegevens ook meldplicht?
  7. Wat zijn de gevolgen van een datalek?
  8. Hoe kan je je beveiliging verbeteren?

Wat is een datalek?

De GDPR definieert een datalek als “een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens”.

We spreken van een datalek wanneer persoonsgegevens in handen kunnen vallen van derden die geen toegang tot die gegevens mogen hebben. Een datalek kan bijvoorbeeld het gevolg zijn van een beveiligingsprobleem. Het kan gaan over uitgelekte computerbestanden, een cyberaanval, een gestolen laptop, verloren USB-sticks, een papieren lijst met klantengegevens of zelfs een bedrijfstelefoon die verloren gaat.

Een voorbeeld dat enkele maanden geleden in het nieuws kwam, is dat van de gehackte digitale wachtkamer. Meer dan 550.000 patiëntengegevens werden gelekt dankzij gebreken in de beveiliging van de webapplicatie en het gebruik van verouderde code. Het platform voor huisartsboekingen kreeg felle kritiek omdat het de getroffen consumenten niet zelf inlichtte, maar het datalek negeerde. Dit bevestigt het belang van encryptie of versleuteling van kritieke gegevens in webapplicaties en een degelijke onderhoudsroutine voor het updaten van broncode van websites en webapplicaties. Bovendien volg je best de Europese richtlijnen omtrent de verwerking van persoonsgegevens via online diensten en mobiele applicaties. Twijfel je of de software die jij hebt laten ontwikkelen of waar jij mee werkt voldoet aan de minimale technische standaarden? Neem gerust contact op voor een technische audit ervan.

Waarom is de meldplicht datalekken nuttig?

In 2015 onderzocht Beltug, de grootste Belgische vereniging van technologiebedrijven, hoe goed Belgische bedrijven op de hoogte waren van de wetgeving rond data-inbreuken. Het confronterende resultaat was dat minder dan de helft van de Belgische bedrijven hier kennis van hadden. Het feit dat de privacywetgeving uit 1995 dateerde, en er in de praktijk maar weinig sancties aan verbonden waren, heeft hier wellicht veel mee te maken. En toch wilde Europa bereiken dat de privacy en gegevens van haar inwoners zo goed mogelijk beschermd worden.

Om er dus ondermeer voor te zorgen dat de rechten van betrokkenen streng bewaakt worden, en dat gegevensbescherming hoog op de agenda terecht komt van onze grote én kleine bedrijven, legt de GDPR een meldplicht datalekken op.

Wat zegt de GDPR over datalekken?

Wanneer je bedrijf te maken krijgt met een datalek moet je hier correct mee omgaan. Er zijn drie mogelijke acties die je dient te ondernemen na een inbreuk op de gegevensbeveiliging, namelijk:

Registratie van het datalek in het intern register

Als verwerkingsverantwoordelijke dien je een register aan te leggen waarin alle inbreuken, met inbegrip van de feiten, gevolgen en genomen corrigerende maatregelen, worden geregistreerd. Ook wanneer er al passende beveiligingsmaatregelen aanwezig waren en het risico van de inbreuk nihil was, maak je hier nota van in het register. Denk bijvoorbeeld aan een smartphone die je vergeten bent in een ander filiaal waar pushberichten op ingeschakeld staan.

Notificatie van de DPA

De Belgische Gegevensbeschermingsautoriteit dient in kennis gesteld te worden van ieder gegevenslek, uiterlijk binnen de 72u, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van de betrokkenen. Dit dient beoordeeld te worden per uniek geval. Ondermeer de gevoeligheid van de gegevens spelen hier mee. Een DPO of Data Protection Officer kan je helpen om te beoordelen of de GBA moet ingelicht worden of niet.

Communicatie met de betrokkenen

Wanneer de inbreuk in verband met de bescherming van persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, dienen zij hiervan rechtstreeks op de hoogte gesteld te worden door de verwerkingsverantwoordelijke. In de praktijk is het terug de DPO van jouw kmo of de verantwoordelijke omtrent gegevensverwerking die deze rol op zich neemt.

Op inbreuken omtrent datalekken staan sancties. Daarom kan je maar best zélf het initiatief nemen om snel te handelen. Twijfel je of een bepaald gegevenslek dient gemeld te worden? Dan kan je je richten tot de Belgische Gegevensbeschermingsautoriteit of je DPO.

Hoe verloopt de melding van een datalek aan de Gegevensbeschermingsautoriteit?

Zoals hierboven aangehaald hoef je dus niet ieder datalek kenbaar te maken aan de Gegevensbeschermingsautoriteit. Houdt het lek een ernstig risico in voor de rechten en vrijheden van de betrokkenen? Dan moet de melding van het datalek binnen de 72 uur plaatsvinden nadat je als verwerkingsverantwoordelijke het lek vastgesteld hebt. De melding aan de GBA kan online gebeuren en moet verplicht een aantal gegevens bevatten, waaronder:

  • De aard van de inbreuk die te maken heeft met persoonsgegevens;
  • (waar mogelijk) de categorieën van de betrokken en het aantal persoonsgegevens;
  • de naam en de contactinformatie van de Data Protection Officer (DPO) of een ander contactpunt waar de autoriteit meer informatie kan verkrijgen;
  • de waarschijnlijke gevolgen van de inbreuk;
  • de maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorgesteld om de inbreuk aan te pakken zoals de beperking van de eventuele nadelige gevolgen.

TIP! Om aan de strakke deadline te voldoen, kan je maar beter proactief de benodigde datalekprocedures uitwerken én passende technische en organisatorische beveiligingsmaatregelen invoeren.

Wanneer moet je een datalek melden aan de betrokkenen?

In bepaalde gevallen moet je naast de GBA ook de betrokkenen op de hoogte brengen van een datalek. Dit is het geval indien de inbreuk een realistisch hoog risico inhoudt voor de rechten en vrijheden van de betrokken natuurlijke personen. Deze melding moet ook verplicht een aantal gegevens bevatten én moet in klare en begrijpbare taal geformuleerd worden. De contactgegevens van de privacycontactpersoon of DPO moeten ook aan de betrokkene bezorgd worden alsook informatie over de gevolgen van het datalek en de maatregelen die genomen werden.

Let op! Er bestaan situaties waarin je op het moment dat deze blog geschreven wordt niet verplicht bent om datalekken te melden aan de betrokkenen wanneer bijvoorbeeld:

  • de gegevens door encryptie of versleuteling onleesbaar werden gemaakt;
  • onmiddellijk maatregelen werden genomen die de impact beperken;
  • de melding onevenredige inspanningen vergt en de onderneming daarom beslist heeft om één algemeen openbaar bericht over het lek te verspreiden.

Heeft de verwerker van mijn gegevens ook een meldplicht?

Ja! De verwerker is verplicht om ieder datalek te melden aan de verwerkingsverantwoordelijke (jouw contactpersoon of DPO). Dit moet bovendien zo snel mogelijk gebeuren na het ontdekken van het datalek. We raden daarom aan om in de verwerkersovereenkomsten tussen jouw onderneming en haar gegevensverwerkers een procedure vast te leggen die de verwerker moet volgen wanneer er een datalek vastgesteld wordt. Hierin wordt ook een kortere termijn voor de meldplicht afgesproken dan de 72u waaraan jouw kmo zich moet houden. Leg concreet vast welke informatie de verwerkers moeten bezorgen en binnen welke termijn.

Wat zijn de gevolgen van een datalek?

De Gegevensbeschermingsautoriteit kan boetes opleggen wanneer ondernemingen de privacy van betrokkenen schaden of hun gegevens gebrekkig beveiligen. Deze boetes kunnen worden opgelegd samen met of in de plaats van de te nemen maatregelen en zijn afhankelijk van de aard, intentie, genomen maatregelen, verantwoordelijkheden, eerdere inbreuken, mate van samenwerking, mate van naleven van certificaties e.d.

Hoe kan je de beveiliging van gegevens verbeteren?

Het is duidelijk dat de Europese Unie serieus wilt inzetten om cybercriminaliteit de kop in te drukken en inwoners hun privacy te beschermen. Zorg er daarom voor dat je bedrijf voldoet aan de vooropgestelde eisen van de GDPR en de meldplicht datalekken. Ik sluit graag af met 4 tips waarmee je onmiddellijk aan de slag kan:

Stel een IT veiligheidsbeleid op

Een intern IT veiligheidsbeleid is een echte must. Wist je dat het interne IT veiligheidsbeleid van Datalink zo’n twintig artikels bevat en dit een dynamisch document is? Uniformiteit in de werking van je bedrijf is nog nooit zo belangrijk geweest en door structuren aan te reiken en het gebruik van Shadow IT te ontmoedigen perk je het risico op een lek al drastisch in. Formuleer in dit beleid ook duidelijk wie wat wanneer moet doen als je toch met een datalek of cyberaanval geconfronteerd wordt.

Breng gegevensstromen in kaart en beperk de hoeveelheid gegevens

Bekijk de data en persoonsgegevens waar je onderneming nu mee werkt. Zijn al deze gegevens noodzakelijk? Verzamel en bewaar enkel die gegevens die je echt nodig hebt. Zorg er voor dat je periodiek je databanken opkuist en onnodige gegevens verwijdert en zo het overzicht bewaart.

Beperk de toegang tot gegevens

Niet alle medewerkers binnen je bedrijf hebben toegang nodig tot alle (persoons)gegevens. Zorg er daarom voor dat werknemers uitsluitend toegang kunnen nemen tot die gegevens die zij nodig hebben voor de uitoefening van hun job, en laat gebruikers in geen geval met een administratoraccount werken.

Zorg voor adequate beveiliging

Laat je beveiligingsmaatregelen periodiek evalueren of auditen en bekijk wat er aangepast moet worden om mee te blijven met de hedendaagse standaarden. Maak van IT veiligheid een prioriteit. Ben je niet zeker of je bedrijf voldoende beveiligd is? Check eerst en vooral de paswoordendatabank van Haveibeenpwned om na te gaan of er paswoorden van jouw zakelijke e-mailaccounts op het internet rondslingeren. Nodig vervolgens een IT security specialist uit die zwakke punten kan identificeren en verbeteren.

Wist je dat we bij Datalink een IT Audit aanbieden? Deze audit die bestaat uit een situatieanalyse, vraagstelling, onderzoek, advies en implementatieplan is voor 40% subsidieerbaar via de kmo-portefeuille!

Heeft jouw organisatie voldoende IT-technische maatregelen tegen datalekken genomen? Volstaan de aanwezige procedures om de wetgeving te kunnen naleven?

Neem contact op met onze databeveiligingsexperts. We lokaliseren de ‘weak spots’ in de beveiliging van jouw bedrijf, en nog veel belangrijker… we helpen ze oplossen!

GDPR conform e-mailverkeer

Ongestructureerde e-mail: alternatieven voor kmo’s

E-mailverkeer is een van de meest belangrijke oorzaken van datalekken in kmo’s. Iedereen kent wel een situatie waarbij een e-mail per ongeluk bij de verkeerde ontvanger terecht is gekomen. Dit is meestal het gevolg van een onoplettendheid. Wat meestal maar een kleine fout lijkt, kan echter grote gevolgen hebben voor de veiligheid van je data én jouw kmo wanneer een e-mail in de verkeerde handen terechtkomt. Een degelijk e-mailbeleid en voldoende technische en organisatorische maatregelen zijn absoluut geen overbodige luxe om het veiligheidsniveau te verhogen en GDPR conform mailverkeer te garanderen.

Waarom is e-mailverkeer zo risicovol?

E-mailberichten behoren tot de ‘ongestructureerde data’ van een organisatie. Dit houdt in dat deze gegevens vaak ongesorteerd bewaard blijven en niet in een vast register of vaste structuur staan waardoor ze minder beheersbaar zijn dan gestructureerde data waarover je onderneming wel een duidelijk zicht heeft.

Bovendien worden e-mails vaak via de webbrowser bekeken en is deze toegang niet altijd optimaal beveiligd. Ten derde is het ook erg moeilijk om de impact te meten in het geval van een gelekte of gehackte mailbox. Waren alle inkomende CV’s van potentiële medewerkers en stagiairs wel netjes uit de mailbox gewist? Stonden er nog offertes in van prospecten? Werden er in het verleden mogelijk gevoelige gegevens of documenten via e-mail uitgewisseld?

Wanneer er een Data Access Request plaatsvindt oftewel een aanvraag van een betrokkene om zijn of haar gegevens in te zien, aan te passen of te vergeten, wordt het dankzij de vele bijgehouden e-mails en e-mailbijlages bovendien erg moeilijk om efficiënt aan deze rechten te voldoen. Hoewel de GDPR hier thans een plicht voor oplegt.

Een laatste risicofactor van e-mailverkeer is het feit dat veel medewerkers hun mailbox ook via hun mobiele apparaat zoals tablet of smartphone gebruiken. Hier loop je dus ook weer een risico op datalekken indien zo’n toestel gestolen wordt of verloren gaat.

Hoe kan je je e-mailverkeer optimaal beveiligen tegen datalekken?

E-mail is echter niet weg te denken in de communicatie binnen én tussen kmo’s. Daarom start je best met een optimale beveiliging tegen datalekken. In samenwerking met onze juridische partner bespraken we in de blog: GDPR en e-mails: grootste oorzaak van datalekken bij kmo’s al een aantal effectieve maatregelen die je kan implementeren om het e-mailverkeer van jouw kmo te beschermen tegen datalekken:

  • voorzie een streng en afdwingbaar e-mailbeleid via een uitgeschreven beleid en duidelijke procedures;
  • kies door middel van UTM (Unified Threat Management) voor proactieve afwering van bedreigingen zoals malware;
  • zet e-mails met gevoelige informatie in quarantaine dankzij Data Loss Prevention;
  • beveilig bestanden en mailboxen door Two Factor Identification in te schakelen;
  • kies voor kwalitatieve versleuteling of encryptie van de gegevens, en dit zowel voor je mailbox als de gebruikerstoestellen.

Indien je bovenstaande maatregelen geïmplementeerd hebt, ben je alvast op de goede weg ????Maar je kan nog een stap verder gaan om de kostbare data van jouw bedrijf én jouw contacten te beschermen. Zo kan je ook kiezen voor alternatieven voor zakelijk e-mailverkeer.

Welke alternatieven bestaan er voor e-mails?

Medewerkers wisselen constant gegevens uit. E-mails met persoonsgegevens of gevoelige data worden al snel van de ene naar de andere collega doorgestuurd terwijl dit in principe niet nodig is. Met de Europese GDPR-regelgeving is het extreem belangrijk dat het overzicht over alle data die persoonsgegevens bevat, behouden wordt. Wenst een betrokkene gebruik te maken van zijn recht op inzage of zijn recht om vergeten te worden? Dan is het niet handig om op dat moment alle mailboxen van je medewerkers uit te moeten pluizen en op zoek te gaan naar de informatie die voorgelegd of vergeten moet worden.

Daarom stel ik twee alternatieven voor waardoor intern mailverkeer én het risico op datalekken tot een minimum herleid kunnen worden: digitale platformen en een cloud opslag- en synchronisatieoplossing zoals Datasync.

Centraliseer data in een digitaal platform

Het eerste alternatief voor mailverkeer is een digitaal platform of webapplicatie op maat. Een eigen intranet of documentenplatform heeft verschillende voordelen waaronder de mogelijkheid voor klanten om zelf hun gegevens in te sturen, te bekijken en te bewerken. Denk bijvoorbeeld aan “My Telenet”, waar gebruikers hun persoonsgegevens, hun telefonie- of internetpakket alsook hun facturen kunnen bekijken. Je voorziet ineens de mogelijkheid om gegevens zelf te laten corrigeren door gebruikers én je bespaart je medewerkers tijd. Duimpje omhoog voor transparantie!

Een digitaal platform kan ook intern ingezet worden om de werking van het team te ondersteunen. Zo kan je bijvoorbeeld gebruik maken van een planningstool of intranet waarin je met verschillende medewerkers samen kan werken en dus onnodig mailverkeer uit de weg kan gaan. Ook procedures, afspraken en belangrijke informatie kan je zo op één centrale plek opslaan zodat uitsluitend de hiertoe gemachtigde personen deze kunnen consulteren. Let er wel op dat je de privacy by default en privacy by design principes correct toepast die de GDPR verlangt van nieuwe software-platformen.

Centraliseer je data in de cloud

Ook kan je kiezen voor een cloudmap om data in te centraliseren en uit te wisselen. In een cloudmap kunnen verschillende gebruikers, al dan niet met aangepaste toegangsrechten, hun bestanden delen. Het grote voordeel? Je hebt steeds de meest recente versie van je bestanden voor handen en je vermijdt dat er al snel vijf verschillende versies circuleren over vijf verschillende mailboxen. Hoe minder e-mails je intern moet versturen, hoe veiliger! Daarom is een cloud-synchronisatiedienst het ideale alternatief voor e-mails bij in-company gebruik tussen medewerkers alsook extern met bijvoorbeeld freelancers.

Wil je gebruik maken van een clouddienst? Dan adviseer ik je om je cloud partner zorgvuldig uit te kiezen. Je blijft namelijk steeds verantwoordelijk voor de veiligheid van je gegevens. Stel je daarom steeds de volgende vragen:

  • Waar bevindt de cloud zich?
  • Wie beheert de cloud?
  • Wordt mijn data nog met andere verwerkers gedeeld? Zoja, met wie?
  • Exporteert de cloudleverancier mijn data naar niet-Europese servers?
  • Welke beveiligingsmaatregelen worden er toegepast? Zijn deze voldoende?

Veel ondernemers maken gebruik van cloudoplossingen van niet-Europese aanbieders. Helaas kunnen deze giganten meestal geen of onvoldoende garanties bieden op GDPR-conformiteit. Dit hhoewel zij volop communiceren over de privacywetgeving die jij als ‘verwerkingsverantwoordelijke’ correct moet toepassen. Bovendien schuiven zij via de gebruikersvoorwaarden alle verantwoordelijkheid van zich af.

Verwerk je gegevens met een gevoelig karakter of wil je op safe spelen, dan kan je best overschakelen op een oplossing die gehost wordt binnen Europa, met transparante overeenkomsten die evenwichtig zijn en zowel de verwerker als de verwerkingsverantwoordelijke garanties bieden.

Wist je dat onze eigen dienst Datasync volledig ontwikkeld is om in regel te zijn met de GDPR-wetgeving? Bestanden worden gecentraliseerd én geëncrypteerd in de Benelux opgeslagen. Hiernaast kan je ze gemakkelijk delen met collega’s en apparaten, op kantoor én onderweg. Met Datasync:

  • wordt je data geëncrypteerd en gecentraliseerd in de cloud;
  • staat je data in een fysiek en softwarematig beveiligd datancenter in de Benelux;
  • worden er minimaal 10 versies van je cloud-bestanden bewaard;
  • kan flexibel documenten uitwisselen met collega’s zonder ze heen en weer te mailen;
  • zijn toegangsrechten aanpasbaar naargelang de noodzaak.

Even samenvatten?

  • E-mailverkeer is de grootste oorzaak van datalekken in kmo’s.
  • E-mailberichten zijn ongestructureerde data waarover een kmo vaak geen duidelijk overzicht heeft. Bovendien betekenen mobiele apparaten van medewerkers een bijkomend veiligheidsrisico.
  • Er bestaan maatregelen om het mailverkeer van je kmo te beveiligen zoals een streng e-mailbeleid, two factor verification en een UTM-firewall.
  • Hiernaast bestaan er ook alternatieven voor e-mailverkeer in kmo’s zoals digitale platformen en cloudoplossingen.
  • Een digitaal platform is te gebruiken voor externe communicatie tussen onderneming en klant alsook voor interne communicatie tussen medewerkers.

Minimaliseer overbodig mailverkeer

en structureer zo de werking van jouw kmo!

Verloopt de uitwisseling van gegevens in jouw organisatie al optimaal? Of is de kans op datalekken reëel? Contacteer onze IT experts voor een kennismaking en eerste advies.

Contacteer Team Datalink

wachtwoord gehackt

Is je wachtwoord gehackt na een datalek? Check “haveibeenpwned”

Is je wachtwoord gehackt?

Het aantal gehackte websites stijgt enorm, met alle desastreuse gevolgen van dien. Veel gebruikers hebben echter een “dat overkomt mij toch niet” -mentaliteit. Hierdoor beseffen ze niet dat hun gegevens, net zoals die van miljoenen andere gebruikers, mogelijk nu al op het internet te raadplegen zijn. Via een online zoekmachine check je zelf of je paswoord voorkomt in een databank met gelekte accountgegevens. Deze zoekmotor is al een goede start om awareness te creëren. Maar natuurlijk is deze databank niet volledig en spreekt het voor zich dat je ook voor toekomstige risico’s vandaag proactief moet handelen om je gegevens te beschermen.

Snel lezen?

  1. Have I Been Pwned
  2. Waar komen deze gehackte gegevens vandaan?
  3. Wat is het gevaar van een datalek?
  4. Hoe kan ik mezelf beschermen tegen datalekken?

Have I Been Pwned

Haveibeenpwned.com” is een website, gelanceerd door beveiligingsspecialist Troy Hunt, waarop je als surfer zelf kan testen of je e-mailadres en wachtwoord achterhaald zijn uit één van de opgespoorde databanken met gehackte gegevens. De verzameling telt al enkele miljarden gebruikersaccounts en is vrij te raadplegen op het internet.

Hunt, Regional Director bij Microsoft, maakt het via deze website mogelijk om je username of e-mailadres in te vullen en onmiddellijk te zien of jouw gegevens tot de gehackte data behoren. Wanneer er een “red alert” tevoorschijn komt met de melding: “Oh no – pwned!”, is het raadzaam om je inloggegevens onmiddellijk te veranderen op de desbetreffende website alsook op andere websites waar je dit wachtwoord gebruikt.

Misschien een kleine fun fact? De term “pwned” komt oorspronkelijk uit de gamingwereld waarbij in het spel Warcraft een Map Designer een spelfout schreef in het woord “owned”. Wanneer de computer een speler versloeg in het spel, kwam de melding “you have been pwned”. Al snel kwam er een eigen betekenis aan vast te hangen, namelijk het “gedomineerd worden” of “verslagen worden door een computer of externe kracht”.

Waar komen deze gehackte gegevens vandaan?

De logingegevens die in de online databank zijn verzameld, zwerven al enige tijd rond op het internet. Websites en webapplicaties worden al jaren geteisterd door hackers die uit zijn op het bemachtigen van gebruikersgegevens voor criminele doeleinden. Zo werd Dropbox in 2012 gehackt en maakten cybercriminelen gebruikersnamen én wachtwoorden van 69 miljoen gebruikers buit. De grootte van de hack kwam echter pas in 2016 aan het licht, vier jaar na de feiten.

Zo werd ook LinkedIn gehackt in 2012 en werd er destijds bekend gemaakt dat 6 miljoen onversleutelde (!) e-mailadressen en wachtwoorden werden gelekt. Helaas was er veel meer aan de hand. Zo ontdekte Motherboard dat in 2012 niet 6 miljoen maar 117 miljoen gegevens gestolen werden. Dit werd later ook officieel door LinkedIn bevestigd.

In februari 2018 werd zelfs applicatie MyFitnessPal gehackt waarbij data zoals e-mailadressen, wachtwoorden en gebruikersnamen van 150 miljoen gebruikers gelekt werden wat dit het grootste datalek van 2018 maakt (tot nu toe). Ook giganten zoals Ebay, Adobe en Uber werden al gehackt.

Wat is het gevaar van een datalek?

Je denkt nu misschien dat het niet zo’n drama is dat de gegevens van je oude e-mailadres of je slechts zelden gebruikte Twitter-account gelekt werden. Maar dat is het wel degelijk! Hackers bieden zulke info namelijk vaak aan op het “dark web”, de onderwereld van het internet, waardoor persoonsgegevens van miljoenen mensen voor het grijpen liggen. Vaak gebruiken surfers ook nog eens hetzelfde wachtwoord voor verschillende toepassingen waardoor de hacker toegang heeft tot een gigantische hoeveelheid van data. Beter vermijden dan genezen dus.

Ben je ondernemer? Dan heeft jouw organisatie verantwoordelijkheden als verwerkingsverantwoordelijke van persoonsgegevens. Je bedrijf is niet alleen verantwoordelijk voor eigen data maar ook voor de data die verzameld en verwerkt wordt van (potentiële) klanten, leveranciers en medewerkers. Om de persoonsgegevens van Europese betrokkenen te beschermen is de GDPR van kracht. Eén van de plichten die je dient te vervullen, is de meldplicht datalekken. Deze meldplicht houdt in dat je een datalek in bepaalde gevallen binnen de 72 uur moet melden bij de Gegevensbeschermingsautoriteit. Dit is verplicht wanneer er een gevaar is dat het lek aan persoonsgegevens een risico met zich mee brengt voor de vrijheden en de rechten van natuurlijke personen. Gebruik je een externe app of tool om gegevens van je klanten te delen met je collega’s en wordt deze dienst gehackt? Dan blijft jouw bedrijf verantwoordelijk en moet je dit lek ook zelf melden. Afhankelijk van de ernst is dit aan de Gegevensbeschermingsautoriteit en/of de betrokkene.

Hoe kan ik mijn organisatie beschermen tegen datalekken?

Eerst en vooral wil ik je adviseren om gebruik te maken van sterke wachtwoorden, en deze geregeld te veranderen om zo de kans op diefstal te verkleinen. Gebruik bij voorkeur voor ieder account een uniek wachtwoord. Zo voorkom je dat met één hack ook andere accountgegevens kunnen buitgemaakt worden.

Bij Datalink hebben een uitgebreide checklist van maatregelen opgesteld die je kan nemen om je organisatie te beschermen tegen datalekken. Natuurlijk zijn niet alle maatregelen in de praktijk toepasbaar of noodzakelijk. Dit hangt volledig af van je bedrijfsprocessen, je IT infrastructuur en je digitale tools.

Vele softwarediensten bieden Two Factor Authentication (2FA) aan, encrypteren (versleutelen) standaard alle opgeslagen data en voorzien een geautomatiseerd update-, patch-, en monitoringbeleid. Via 2FA krijg je pas toegang tot je account na het doorlopen van twee stappen: de eerste keer door je pincode of wachtwoord in te geven en de tweede keer door bijvoorbeeld een code aan te vragen via een mobiele app zoals Google Authenticator. Bij encryptie bestaat de kans dat een buitgemaakte databank onleesbaar is doordat de gegevens zijn veranderd in random tekst. Door middel van een strikt update-, patch en monitoringbeleid worden apparaten zeer snel bijgewerkt waardoor het risico op cybercrime afneemt.

Kortom: een audit op maat is nodig om alle risico’s nauwgezet in kaart te brengen en gerichte IT securitymaatregelen te implementeren.

Wil je hiermee begeleid worden door IT security-experts?

Dan helpen we je heel graag verder met een IT Audit. In deze audit:

  • Bevragen we je huidige digitale werking;
  • peilen we naar je toekomstambities;
  • inventariseren we je IT-apparatuur, software en clouddiensten;
  • onderzoeken we de sterktes, zwaktes, opportuniteiten en bedreigingen;
  • lijsten we concrete actiepunten op;
  • vullen we aan met ontbrekende beveiligingsmaatregelen;
  • formuleren we een strategisch toekomstadvies.

Kwam jouw domeinnaam of e-mailadres gelukkig heelhuids uit de opzoeking op de website haveibeenpwned.com en wil je dit graag zo houden? Of is het nodig om de informatieveiligheid in je organisatie dringend aan te scherpen? Start een livechat met onze Data Protection Officer, Ethical Hacker of een andere adviseur uit ons IT-team en minimaliseer het risico op datalekken in jouw kmo.

Team Datalink to the rescue

Out of sight, out of mind: de gevaren van Shadow IT

Het is snel gebeurd, een bestand delen met een collega via WeTransfer. Heel wat cloud storage services en file sharing applicaties worden tijdens een onbewaakt moment gebruikt om bestanden op te slaan of te delen. Maar zijn deze tools wel goedgekeurd door het management of de IT-verantwoordelijke? Wist je dat de GDPR specifieke voorwaarden voorziet voor de export van data naar niet-Europese providers en servers? Daarnaast worden er tegenwoordig heel wat apps in gebruik genomen om processen te vereenvoudigen. Denk maar aan ‘to-do-list’-apps op de smartphone. Op zich niet fout bedoeld, maar wanneer persoonsgegevens worden opgeslagen in deze apps (en dus gedeeld worden met derden) is het gebruik van de apps niet meer zo onschuldig.

Uit een onderzoek van Trend Micro blijkt dat maar liefst 61 procent van de ondervraagde Belgische werknemers toegeeft dat ze niet-werkgerelateerde software gebruiken op bedrijfstoestellen. 74 procent van de ondervraagden geeft zelfs aan al bedrijfsgegevens via zulke niet-toegestane tools verzonden te hebben. Zijn het management en de IT-afdeling van jouw organisatie op de hoogte van alle software die er op de werkvloer circuleert? Of zou er wel eens Shadow IT aanwezig kunnen zijn?

Wat is Shadow IT?

Onder Shadow IT verstaan we alle hardware, software en tools in een organisatie die niet officieel deel uitmaken van het IT-beleid. Wat valt hier zoal onder? Apparaten die van thuis meegebracht worden en aan het netwerk gekoppeld worden zoals usb sticks, wifi-versterkers of tablets. Maar ook applicaties die op eigen initiatief van de werknemer gebruikt worden zoals notitie-apps, websites waar bestanden worden geüpload en cloudsoftware. Het zijn tools en app’jes die zonder medeweten van de IT-afdeling geïnstalleerd en gebruikt worden.

Wat is het gevaar van Shadow IT?

Gemiddeld ziet zo’n 75 procent van de medewerkers er geen graten in om Shadow IT te gebruiken. Ze worden onvoldoende gesensibiliseerd waardoor ze zich niet realiseren wat de gevaren zijn die hieraan vasthangen. Daarnaast heeft een bijna even grote groep van managers of IT-verantwoordelijken er geen helder zicht op in welke mate Shadow IT binnen het bedrijf gebruikt wordt. Dit houdt natuurlijk ernstige risico’s in voor de informatieveiligheid.

Bedreiging voor GDPR-compliancy

Shadow IT vormt een groot probleem voor bedrijven als het gaat om GDPR compliancy. Werknemers staan er namelijk amper bij stil waar de ingevoerde informatie (die persoonsgegevens kan bevatten) in hun mobiele apps of websites werkelijk naartoe gaat. Daarnaast hebben ze bij het eerste gebruik ervan gebruiksvoorwaarden geaccepteerd die de organisatie niet juridisch heeft kunnen aftoetsen. Staan de gegevens op servers buiten de EU? Dan bestaat de kans dat de dienst onvoldoende garanties biedt om op een vertrouwelijke manier met de data om te gaan. Ook zou het kunnen dat er verschillende sub-verwerkers inzage krijgen in de data. Indien de afgesloten overeenkomst ontbreekt in het bedrijf, en de verwerking niet in het dataregister staat ingevuld, spreken we van inbreuken. Bij onwetendheid kunnen plichten ten opzichte van betrokkenen (wanneer er bijvoorbeeld persoonsgegevens worden opgeslagen van prospecten, klanten of medewerkers) niet nagekomen worden. Shadow IT vormt dus een grote uitdaging voor iedere kmo die persoonsgegevens verwerkt van Europese burgers.

Bedreiging voor de meldplicht datalekken

Vanaf 25 mei 2018 bestaat er ook een meldplicht datalekken. Dit wilt zeggen dat je binnen de 72 uur melding moet maken wanneer er een datalek heeft plaatsgevonden in jouw bedrijf. Die melding moet je mogelijk registreren in een register, melden aan de betrokkenen en/of aan de Gegevensbeschermingsautoriteit.

Ook hier vormt Shadow IT een groot gevaar. Als je niet weet waar je verwerkte persoonsgegevens zich bevinden, is het moeilijk om de veiligheid van deze gegevens te garanderen en volledig correcte dataregisters op te stellen. Snel en efficiënt ingrijpen wanneer er wat misloopt of wanneer iemand beroep doet op “het recht om vergeten te worden” is dan al helemaal onmogelijk.

Bedreiging voor de veiligheid van jouw KMO

Daarnaast bestaat ook het gevaar dat de gebruikte Shadow Apps of software van slechte kwaliteit zijn en je medewerkers onbewust malware of andere virussen het bedrijf binnensluizen. De rol van mobiele apparaten is in dit opzicht ook niet te onderschatten. Niet iedereen zal bijvoorbeeld de benodigde beveiligingssoftware op zijn telefoon geînstalleerd hebben.

Hoe kan je Shadow IT vermijden?

Met deze praktische tips kan je Shadow IT binnen je kmo vermijden en kan je werknemers bewust maken van de gevaren die het met zich meebrengt.

  • voorzie een sluitend IT veiligheidsbeleid met alle afspraken omtrent de omgang met data, hardware, software en websites;
  • formaliseer afspraken omtrent de omgang met data in de overeenkomsten met je medewerkers;
  • voorzie een duidelijk omkaderd thuiswerkbeleid en BYOD (bring your own device) beleid;
  • introduceer als organisatie zelf een beveiligde cloudomgeving zodat je team doeltreffend kan (samen)werken;
  • registreer alle tools en verwerkingsactiviteiten in je dataregister;
  • verzorg periodieke interne sensibilisering;
  • voorzie een procedure voor medewerkers die toestemming willen vragen om een niet-goedgekeurde tool te gebruiken en voor medewerkers die een nieuwe tool willen introduceren.

Wil je het IT veiligheidsbeleid formaliseren waardoor shadow IT geen kans krijgt? Of je bedrijf laten auditen om de pain points op te sporen?

Stel je vraag via ons webformulier

Is my website GDPR ready

Hoe maak ik mijn website GDPR compliant?

Met de komst van de GDPR heeft jouw kmo er een aantal plichten bij gekregen, en dat geldt uiteraard ook voor jouw website en/of digitale applicaties. Het wordt nog belangrijker om transparant te zijn over de verwerkingen van persoonsgegevens via je digitale kanalen. Zo dien je bezoekers en gebruikers van je websites proactief te informeren over welke data er ingezameld wordt, waar ze exact voor gebruikt wordt, door wie en hoe lang ze bewaard wordt. Betrokkenen moeten geïnformeerd worden over hun rechten, én voor verschillende verwerkingsactiviteiten heb je een actieve toestemming nodig.

Je mag bijvoorbeeld personen die je een e-mail hebben gestuurd via de website, niet automatisch aan je marketinglijst toevoegen. Acht stappen die wij alvast aanbevelen vind je hieronder in mijn blog! Ready…. Set…. Action !

Privacy by design

Vooraleer je een nieuwe website of applicatie bouwt, moet je rekening houden met de bescherming van de persoonsgegevens van toekomstige gebruikers. Dit principe wordt privacy by design genoemd. Privacy by design stelt dat je enkel de absoluut noodzakelijke informatie mag verwerken, dat standaard de privacy-instellingen maximaal ten voordele van de betrokkene moeten staan (privacy by default) en dat je uiteraard de nodige technische maatregelen moet nemen om de persoonsgegevens passend te beveiligen.

Cookies

Vervolgens starten we met de verwelkoming van je websitebezoekers. Nog voordat zij actief hun persoonsgegevens meedelen via bijvoorbeeld een formulier, begin je vaak al met het verzamelen ervan. Google Analytics maakt bijvoorbeeld gebruik van analytische cookies en zij vallen onder de definitie van persoonsgegevens. Hoe kan je dit oplossen? Door actief te laten bevestigen dat websitebezoekers akkoord gaan met het gebruik van cookies dat transparant en duidelijk beschreven staat in je privacybeleid, door niet meer gegevens te verzamelen dan nodig (je verantwoordingsplicht), en uiteraard door voldoende technische maatregelen te nemen om de persoonsgegevens te beveiligen en waar mogelijk te pseudonimiseren of anonimiseren. Ook dien je ervoor te zorgen dat het doel waarvoor de gegevens verwerkt worden, absoluut beperkt blijft tot datgene je vooropstelt (denk aan benchmarking en doorgifte aan Google of andere partijen).

Formulieren

Kunnen websitebezoekers een digitaal formulier invullen? Zorg ervoor dat de inhoud ervan enkel naar de strikt noodzakelijke ontvanger(s) verzonden worden en zorg ervoor dat je websitebezoeker kennis heeft van het privacybeleid en de disclaimer. We komen tijdens onze website audits vaak tegen dat er overbodige kopieën (levenslang) op de webserver bewaard worden, of dat er andere ontvangers in CC staan. Behandel inkomende vragen of inschrijvingen steeds via één bepaalde procedure (via een portaal of via een mailbox) en gebruik de persoonsgegevens nooit breder dan voor de opgegeven doeleinden. Als iemand verzoekt om zijn of haar persoonsgegevens te wissen, moet je daar op een snelle en eenvoudige manier aan kunnen voldoen en niet op vijf verschillende plaatsen kopieën en back-ups gaan aanspreken. Bovendien is het je plicht om de e-mails standaard te wissen na een verantwoordbare termijn.

HTTPS

Gebruik maken van een SSL-certificaat is vandaag de standaard. Hierdoor zorg je ervoor dat ingevoerde data in geëncrypteerd wordt verzonden en tijdens het transport van de gegevens de kans op onderschepping nihil is. Bovendien kan de websitebezoeker er zeker van zijn dat de tentoongestelde website de juiste is. Het correct installeren van een SSL-certificaat is één van de technische maatregelen die je kan aanhalen in je verwerkingsregister of GDPR-documentatie.

Opt-ins

Je mag websitebezoekers nog steeds de kans geven om zich in te schrijven op je nieuwsbrief wanneer zij een formulier invullen. Let wel dat je voor dit extra verwerkingsdoel een aankruisvakje voorziet waardoor je kan aantonen dat er uitdrukkelijk voorafgaandelijke toestemming werd gegeven via een opt-in. Let wel: dit vakje mag standaard niet aan staan, en het mag natuurlijk ook geen vereist veld zijn aan een offerteformulier. Gebruikers moeten bewust aangeven dat ze de verwerking van hun persoonsgegevens voor bijvoorbeeld marketingdoeleinden goedkeuren. Stuur bij twijfel een e-mail naar de gebruiker met een bevestigingsvraag. Zo heb je een aantoonbare opt-in wanneer hij of zij antwoordt. Let er op dat je nieuwsbrief in regel is met de GDPR-wetgeving en er bij de opt-in ook een verwijzing staat naar je privacyverklaring.

Recht op toegang, verbetering en wissing

De GDPR legt op dat gebruikers hun gegevens moeten kunnen bekijken en verbeteren. Een klantvriendelijke oplossing kan een online self-service system zijn waarbij betrokkenen zelf de gewenste aanpassingen kunnen doen. Dit is geen verplichting (het mag ook een manueel proces zijn) maar kan wel tijdbesparend zijn voor je kmo.

Daarnaast hebben betrokkenen the right to be forgotten. Dit recht om vergeten te worden betekent dat individuen jou als bedrijf kunnen vragen om al hun persoonsgegevens te wissen indien er geen reden is waarvoor je ze zou nodig hebben (zoals bijvoorbeeld het kunnen uitvoeren van een overeenkomst).

Samenwerking met externe dienstverleners

MailChimp, Google, Salesforce, Sendgrid, Facebook, HotJar,…. allemaal externe gegevensverwerkers waar je mogelijk mee samenwerkt. Vaak zijn deze bedrijven buiten Europa gevestigd en maken ze gebruik van niet-Europese servers voor gegevensopslag. Ook merken we dat in hun gebruikersovereenkomsten vaak staat opgenomen dat ze de gegevens nog met subverwerkers delen. In dit geval ben je als verantwoordelijke gegevens aan het doorgeven en exporteren. Het is belangrijk dat je – wanneer er export van persoonsgegevens plaatsvindt – de nodige GDPR-conforme overeenkomsten afsluit met deze bedrijven, en aan alle overige GDPR-verplichtingen voldoet.

Plugins

Is je website gebaseerd op een CMS (content management system) zoals WordPress of Drupal? Dan heb je mogelijk plugins of extensies van externe ontwikkelaars in de website zitten. Het is je plicht om ervoor te zorgen dat alle partijen waar je mee samenwerkt, GDPR compliant zijn en niet ongevraagd persoonsgegevens verwerken. Stel: je website wordt gehackt doordat je gebruik maakt van een onbetrouwbare plugin. Ben jij daar dan van op de hoogte en kan je alle betrokkenen die hun gegevens via deze weg verzonden hebben nog bereiken? Jij wordt immers wel als verantwoordelijke aangeduid.

Website audit

Wist je dat de bovenstaande acht stappen slechts de tip van de sluier zijn? In onze privacy audit gaan we nog veel verder in onze technische analyse. Mijn advies? Trek je interne GDPR-audit zeker ook door naar je website en stel jezelf kritisch de vraag:

  • welke persoonsgegevens er verzameld worden
  • door wie deze persoonsgegevens verwerkt worden
  • waar deze persoonsgegevens opgeslagen worden
  • of de verwerking van deze persoonsgegevens strikt noodzakelijk is
  • hoelang deze persoonsgegevens bijgehouden worden
  • of met eventuele derden de nodige overeenkomsten bestaan, én zij voldoende technische en organisatorische maatregelen hebben genomen om de gegevens te beschermen

Onthoud dat het jouw plicht en verantwoordelijkheid is om op eigen initiatief te controleren of je externe verwerkers in orde zijn. Ook dient alle informatie op een transparante manier in je privacybeleid te staan. Zijn je partners niet in orde met de regelgeving? Dan is het belangrijk dat je hen begeleidt om dat voor jouw data in orde te brengen voor 25 mei 2018. Gebeurt dat niet? Dan adviseer ik je om op zoek te gaan naar alternatieve dienstverleners.

Website monitoring

Tot slot wordt website monitoring eens zo belangrijk. Bij een datalek is het immers je plicht om het lek kenbaar te maken. Website monitoring voer je best op serverniveau uit om de website niet onnodig te belasten. Daarnaast is het superbelangrijk om de broncode en het eventuele CMS met haar uitbreidingen goed up-to-date te houden.

Is jouw website klaar voor de GDPR regelgeving?

Vergeet je websites en applicaties niet onder de loep te nemen in je voorbereiding op de GDPR-regelgeving. Of stel gerust je vraag aan onze privacy experts! Bij Datalink hebben we gecertificeerde DPO’s (Data Protection Officers) in het team én hebben we een GDPR Traject ontwikkeld dat ook je applicaties doorgrondt.

Vraag hier meer informatie aan

GDPR voor KMO's

GDPR, wat betekent het voor je KMO?

GDPR staat voor General Data Protection Regulation, oftewel Algemene Verordening Gegevensbescherming (AVG). Deze verordening heeft de verouderde Europese databeschermingsrichtlijn uit 1995 vervangen omdat ze niet meer was afgestemd op de digitale technologieën van vandaag. Omdat de GDPR impact heeft op zowat iedere kmo, deel ik graag het antwoord op een aantal veel gestelde vragen.

Waarom bestaat er een wettelijk kader rond gegevensbescherming?

Er worden vandaag in het bedrijfsleven heel wat persoonsgegevens verzameld. Denk maar aan gegevens die in websiteformulieren worden ingevuld, databanken met klantgegevens, e-maillijsten, ticketingsystemen enzovoort. Om een goede bescherming van deze gegevens te verzekeren, legt Europa verplichtingen op aan bedrijven die gegevens verzamelen en verwerken, en geeft het rechten aan natuurlijke personen die hun persoonsgegevens met deze bedrijven delen. Europese burgers dienen immers de controle te kunnen behouden over hoe en aan wie hun gegevens verstrekt worden en waarvoor ze gebruikt worden. De GDPR heeft als doel om één overkoepelende wetgeving over gegevensbescherming te verstrekken die automatisch geldt in alle Europese lidstaten.

Is de GDPR ook voor mijn bedrijf van toepassing?

De General Data Protection Regulation (GDPR) is een officiële Europese wetgeving die van toepassing is op alle organisaties die gegevens van Europese burgers verzamelen en verwerken. Ook indien je een éénmanszaak of vereniging hebt dus.

Wat valt er onder persoonsgegevens?

Met persoonsgegevens wordt alle informatie bedoeld waarmee een natuurlijke persoon geïdentificeerd kan worden. Hieronder vallen onder andere namen, adressen, telefoonnummers, e-mailadressen, foto’s, klantennummers, IP-adressen, maar ook genetische en biologische gegevens.

Wat als mijn beleid niet GDPR compliant is?

Heb je je bedrijfsvoering niet afgestemd op de Europese regelgeving, en komt er een klacht of vindt er een ernstige datalek plaats? Dan riskeer je boetes en sancties die kunnen oplopen tot 20 miljoen euro of 4% van je jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is. De Belgische Gegevensbeschermingsautoriteit is bevoegd om controles uit te voeren en sancties uit te delen.

Wat houdt de GDPR in?

Veel van de basisprincipes van de GDPR kennen we uit de vroegere Belgische privacywetgeving. Onderstaande pijlers zijn belangrijke aspecten die de nieuwe Europese regels kenmerken:

Transparantie

Het is de plicht van je bedrijf om personen duidelijk te informeren over welke gegevens er verzameld en verwerkt worden, en waarvoor je ze gebruikt. Dit alles moet op een begrijpelijke, transparante manier gebeuren.

Verantwoording

Het is noodzakelijk dat je kan verantwoorden voor welk vooropgesteld doel je de verwerkte persoonsgegevens nodig hebt, anders mag je ze niet langer bijhouden (purpose limitation). Ook is het belangrijk dat er een rechtsgrond of actieve toestemming is toegekend aan de verwerkingsactiviteit. Anders mag er geen verwerking plaatsvinden.

Dataportabiliteit

Europese burgers moeten persoonsgegevens die ze aan je bedrijf hebben gegeven, kunnen overdragen naar een andere dienstverlener. Bijvoorbeeld bij een verandering van telecomprovider. Deze pijler is een aanvulling op het reeds bestaande inzagerecht waarbij personen een verzoek kunnen indienen om opgeslagen informatie te bekijken. Personen hebben trouwens ook het recht op hun persoonsgegevens te laten wissen, ook indien hun data gedeeld is met derde partijen.

Data Protection by Design

Maak een Data Protection Impact Assessment (DPIA) op wanneer je een nieuwe tool laat bouwen. Nog voordat je website of webapplicatie daadwerkelijk ontwikkeld wordt, maak je een risicoanalyse op met betrekking tot de privacy en bescherming van persoonsgegevens.

Databeveiliging

het is je plicht om persoonsgegevens veilig op te slaan en te beveiligen via gepaste technische en organisatorische maatregelen. Indien er toch een datalek plaatsvindt (bijvoorbeeld via een gestolen laptop of smartphone, virus of hacking) ben je in bepaalde gevallen verplicht om dit datalek kenbaar te maken. Afhankelijk van de ernst moet dat in je logboek, aan de Gegevensbeschermingsautoriteit en/of aan de betrokkenen. Voorzie nu al een Data Disaster Plan waarin staat beschreven welke procedure je zal toepassen wanneer het fout loopt met je gegevensbescherming.

Wat moet ik ondernemen om ervoor te zorgen dat mijn bedrijf GDPR compliant is?

Er bestaat helaas geen standaard stappenplan of checklist die je kan afvinken waarbij je zeker bent dat je gegevensverwerking in overeenstemming met de GDPR plaatsvindt. Meer nog, wat voor andere ondernemingen te verantwoorden is, is dat mogelijk niet voor jou.

We delen graag het GDPR compliancy traject dat we bij Datalink hebben doorgevoerd omdat het een handige richtlijn is om zelf te volgen:

1. Training

Netwerkarchitect Danny Daniëls is een opleiding gaan volgen tot DPO en mag zich vandaag gecertificeerd Data Protection Officer noemen. Vervolgens hebben er interne GDPR-opleidingen en sensibiliseringstrainingen plaatsgevonden.

2. GDPR audit

Door middel van een doorgedreven audit zijn we een analyse gaan opmaken van de mate waarin de GDPR-principes reeds correct werden toegepast in onze kmo. In deze audit zijn we alle verwerkingen van persoonsgegevens van websitebezoekers, fysieke bezoekers, prospects, klanten, leveranciers, (freelance) partners en medewerkers gaan analyseren. Het resultaat werd een helder adviesrapport, opgesteld door onze DPO, gevolgd door een actieplan.

3. Opstellen van het dataregister

Het dataregister is een nieuwe wettelijke verplichting die de vroegere aangifteplicht bij de Privacycommissie heeft veranderd naar een documentatieplicht. Het register met de verwerkingsactiviteiten van persoonsgegevens moet je bij een eventuele controle kunnen tonen. Omdat wij bij Datalink zowel een rol als verantwoordelijke als een rol als verwerker vervullen, hebben we meerdere registers opgesteld.

4. Doelbinding

Iedere verwerking van persoonsgegevens moet met een rechtmatig doel verbonden zijn. Voor iedere verwerkingsactiviteit hebben we het doel bepaald én daarbij het principe van dataminimalisatie in het achterhoofd gehouden. Je mag immers niet méér persoonsgegevens bijhouden dan nodig voor het beoogde doel.

5. Controle van de rechtsgrond en/of toestemming

Voor iedere verwerkingsactiviteit is een rechtsgrond of actieve toestemming vereist. Toestemming van de betrokkenen moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Bij verwerking van persoonsgegevens van minderjarigen is bovendien de toestemming van een ouder of voogd nodig. Bij iedere verwerkingsactiviteit vulden we de rechtsgrond aan in het register.

6. Communicatie over privacy

Door ons privacybeleid en onze overeenkomsten kritisch te evalueren zijn we gaan kijken of we steeds op een beknopte, begrijpbare en duidelijke manier informeerden over de verwerkingsactiviteiten. Zo herschreven we onze privacy policy.

7. Opstellen van overeenkomsten, clausules en procedures

We hebben overeenkomsten, werkwijzen en procedures opgesteld met betrekking tot de rechten van de betrokkenen, de bescherming van de gegevens die we bij Datalink verwerken en de plichten die we als verantwoordelijke en als verwerker te vervullen hebben.

8. Evaluatie van de technische en organisatorische maatregelen

Omdat de beveiliging van de persoonsgegevens die wij verwerken als verantwoordelijke, én als verwerker voor de klant aantoonbaar moet zijn, en omdat we van security een top priority maken, werken we bij Datalink zowel met geautomatiseerde als met manuele controles van de beveiliging. We zetten alles op alles om een datalek te voorkomen en dat moet de standaard zijn.

9. Sensibilisering van het team

We blijven de medewerkers in ons bedrijf bewustmaken over de GDPR. Vandaag bieden wij zelf ook in-company GDPR workshops aan op maat.

10. Opvolgingsaudits

Door middel van periodieke opvolgingsaudits plannen we onze kritische denkoefening jaarlijks opnieuw in en blijft ook in de toekomst duidelijk in welke mate de veilige omgang met data nog steeds correct wordt toegepast. Zo blijft onze organisatie, maar ook ons team scherp!

Conclusie

Het is enorm belangrijk dat je een actueel zicht behoudt op je datastromen en data-opslaglocaties, hoe je data verwerkt en beschermd wordt. Organiseer daarom een interne GDPR audit waarbij je alle activiteiten en verwerkingsdoeleinden van persoonsgegevens gedetailleerd in kaart brengt. Deze houd je bij in een dataregister dat bij een controle kan worden opgevraagd. Het dataregister kan je samen met je IT partner opstellen.

Focus in het verzamelen en verwerken van persoonsgegevens enkel op de informatie die je écht nodig hebt. Je zal kritisch moeten onderzoeken waarom je bepaalde data hebt (doelbinding) en mag ze ook niet onnodig lang bewaren (dataminimalisatie). Wis alle overbodige data.

Check je organisatie op alle overige GDPR-vereisten, al dan niet met behulp van een Data Protection Officer (DPO). Zorg er ook voor dat al je overeenkomsten en voorwaarden GDPR compliant zijn en beroep je hiervoor op een gespecialiseerde advocaat. Je kan de volledige GDPR-wetgeving hier terugvinden.

Is jouw kmo klaar voor de GDPR regelgeving?

Plan vandaag nog je GDPR traject of je GDPR controleaudit in. Of stel gerust je vraag via ons contactformulier. Onze DPO & GDPR adviseurs staan voor je klaar.

Winkelwagen