Waarom AVG/GDPR naleving essentieel is voor bedrijven van alle groottes.

Voor wie is de AVG Wetgeving van toepassing?

De AVG/GDPR is van toepassing op alle bedrijven en organisaties die persoonsgegevens van personen in de EU verwerken, ongeacht de grootte of sector.

Dit betekent dat zowel zelfstandigen, MKB-bedrijven als grote ondernemingen aan deze wetgeving moeten voldoen.

Waarom is dit belangrijk?

Of  je nu alleen werkt, met externe of meerdere medewerkers, je verwerkt persoonsgegevens van klanten, zoals namen, adressen en andere persoons gegevens. De AVG/GDPR wetgeving vereist dat je deze gegevens goed beschermt om datalekken te voorkomen.

De AVG/GDPR wetgeving is essentieel voor iedereen die met persoonsgegevens werkt, ongeacht de omvang van het bedrijf

Wat kunnen kwaadwillende met persoonsgegevens?

Het beschermen van persoonsgegevens is cruciaal omdat het voorkomt dat kwaadwillende deze gegevens misbruiken voor frauduleuze activiteiten, zoals identiteitsdiefstal en social engineering-aanvallen.

Als jouw onderneming betrokken raakt bij een datalek en deze gegevens worden misbruikt door kwaadwillende om succesvolle scams uit te voeren die leiden tot financiële schade, levert dit niet alleen een boete op, maar ook reputatieschade. Bovendien ben je mede verantwoordelijk voor de gevolgen, waardoor iemand gedupeerd raakt.

Belangrijke websites over de AVG/GDPR Wetgeving.

Zie: https://www.datalekt.nl/

Zie: https://www.digitaltrustcenter.nl/de-5-basisprincipes-van-veilig-digitaal-ondernemen

Zie: https://autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/verantwoordingsplicht

Zie: https://www.kvk.nl/wetten-en-regels/privacywetgeving-avg-wanneer-ben-je-compliant/

Zie: https://ondernemersplein.kvk.nl/bedrijfsvoering/juridische-zaken/de-avg-dit-moeten-ondernemers-doen/

Veelvoorkomende fouten rond de AVG/GDPR.

1. Zelfstandigen, kleine bedrijven zijn vaak in de veronderstelling omdat ze een beperkt klantenbestand hebben niet onder de AVG/GDPR wetgeving vallen, dit is echter niet waar. Deze wetgeving geldt voor elke ondernemer, bedrijf ongeacht de omvang en het aantal klanten.
2. Zelfstandigen, kleine bedrijven denken dat ze geen doelwit zijn voor kwaadwillende omdat ze te klein zijn. Dit is niet waar, sterker nog kwaadwillende focussen meer op zelfstandigen, kleine bedrijven omdat ze hun beveiliging vaak niet op orde door beperkte beveiliging of weinig kennis rondom digitale veiligheid.
3. Bij bedrijven met medewerkers is er vaak niet iedereen bewust over de gevaren of hoe ze moeten omgaan met digitale veiligheid. Cybersecurity trainingen zijn een must have om iedereen op hetzelfde kennisniveau te krijgen.

Welke persoonsgegevens vallen onder de AVG/GDPR?

Eigenlijk alles, vandaar dat deze wet van toepassing is voor Zelfstandigen, MKB en Enterprise bedrijven.

Onder de AVG/GDPR wetgeving vallen alle persoonsgegevens die direct of indirect naar een geïdentificeerde of identificeerbare natuurlijke persoon te herleiden zijn. Dit omvat onder andere:

• Naam, adres, telefoonnummer
• E-mailadressen
• IP-adressen
• Locatiegegevens
• Gezondheidsinformatie
• Financiële gegevens
• Foto’s en video’s
• Gevoelige Persoonsgegevens

Daarnaast zijn er bijzondere categorieën van persoonsgegevens die als gevoelig worden beschouwd en extra bescherming vereisen. Deze omvatten:

• Ras of etnische afkomst
• Politieke opvattingen
• Religieuze of levensbeschouwelijke overtuigingen
• Lidmaatschap van een vakbond
• Genetische gegevens
• Biometrische gegevens (bijv. vingerafdrukken)
• Gezondheidsgegevens
• Gegevens over seksueel gedrag of seksuele gerichtheid

Beveiligingsmaatregelen: Voor alle persoonsgegevens moeten passende technische en organisatorische beveiligingsmaatregelen worden genomen om een adequaat beveiligingsniveau te waarborgen.

Verwerk enkel gegevens die je echt nodig hebt, beperk het verwerken van persoonsgegevens tot gegevens die je echt nodig hebt om jouw werk te doen. Hoe minder persoonsgegevens je nodig hebt hoe makkelijker het wordt om te voldoen aan deze wetgeving.

AVG beveiliging maatregelingen.

De AVG stelt voldoende beveiliging maatregelingen toepassen en nog belangrijker aantonen dat deze zijn toegepast bij een controle of audit.

Elke organisatie die persoonsgegevens verwerkt, moet zelf bepalen welke beveiligingsmaatregelen nodig zijn. Vervolgens moet de organisatie kunnen aantonen dat persoonsgegevens goed zijn beveiligd. Verder moet beveiliging van persoonsgegevens binnen de organisatie een blijvend punt van aandacht zijn.

Toezicht door de AP

De Autoriteit Persoonsgegevens (AP) houdt toezicht op hoe organisaties hun verwerkingen van persoonsgegevens beveiligen. Als een organisatie de beveiliging niet goed geregeld heeft, kan de AP ingrijpen. Bijvoorbeeld door een boete op te leggen.

Hoge boetes: Dit is een handhavingsmaatregel die inhoudt dat een overtreder van de privacywetgeving voor straf een bedrag moet betalen aan de AP. Een boete is maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, hoogste wordt toegepast.

Voorbeelden van technische beveiliging maatregelingen (zie ook AVG Website)

AVG Aanbevelingen die altijd worden toegepast.

Gegevensbeveiliging: De AVG vereist dat organisaties passende technische en organisatorische maatregelen nemen om persoonsgegevens te beschermen.

• AVG, DTC Aanbeveling antivirus beveiliging voor bedrijven: Bijvoorbeeld ESET Protect Cloud voor Windows, MacOS, iOS en Android.
• AVG, DTC Aanbeveling e-mail filtering, beveiliging: Bijvoorbeeld ESET Cloud Office Security voor Microsoft 365 voor Bedrijven.
• AVG, DTC Aanbeveling ssd-encryption: Bijvoorbeeld ESET Full Disk encryptie, versleutelt Windows, MacOS apparaten voorkomt dataverlies (datalek) bij gestolen, verloren apparaten.
• AVG, DTC aanbeveling sterk wachtwoord beheer, met 2 staps verificatie: Bijvoorbeeld met Keeper Security wachtwoord manager, inclusief naleving rapportage voor de AVG/GDPR wetgeving.
• AVG, DTC aanbeveling Vulnerability controle: Bijvoorbeeld: ESET  Vulnerability scan of Microsoft 365 voor Bedrijven Premium, inzicht in software kwetsbaarheden of oude apparaten die geen beveiliging updates meer ontvangen waardoor een verhoogd risico ontstaat.
• AVG, DTC aanbeveling patch management (update beheer): Bijvoorbeeld: ESET patch management, waarmee zo snel mogelijk app updates worden geïnstalleerd om kwetsbaarheden te voorkomen.
• AVG aanbeveling centraal beheer: Bijvoorbeeld ESET Protect cloud, centraal beheer van alle apparaten die specifieke beveiliging instellingen forceert op apparaten die eindgebruikers niet kunnen uitschakelen. (Tevens bewijs van het toepassen van beveiliging maatregelingen).

Alleen geautoriseerde personen toegang tot bedrijfsgegevens.

Toegangsbeheer: De AVG stelt dat alleen geautoriseerde personen toegang mogen hebben tot persoonsgegevens, apps of online systemen. (bijvoorbeeld boekhoud systeem)

Hier onder valt: sterke wachtwoorden, het gebruik van 2 staps verificatie, beperk account toegang tot enkel wat nodig is voor de betreffende medewerker en een beveiliging systemen die voorkomt dat er oude apparaten, oude apps worden gebruikt die op een onveilige manier toegang krijgen tot de persoonsgegevens.

Sterke wachtwoorden maken, beheren.

Het is aanbevolen om een bekroonde wachtwoord manager te gebruiken zoals Keeper Security waarmee je een centraal wachtwoord beleid kan toepassen binnen jouw organisatie met controle mogelijkheden rondom de AVG/GDPR wetgeving.

Als een organisatie afhankelijk is van een browser wachtwoord manager of als medewerkers het zelf moeten verzinnen ontstaat er een verhoogd onnodig risico.

Zeker met een browser wachtwoord manager zoals Microsoft Edge, Google Chrome, Mozilla Firefox of Safari (sleutelhanger) kunnen makkelijk gehackt worden door beperkte beveiliging.

Voor de AVG wetgeving is het belangrijk dat je kan aantonen dat je een centrale oplossing gebruiken met een sterk wachtwoord beleid.

Met Keeper Security wachtwoord manager kan je tevens 2 staps verificatie toepassen en passkeys gebruiken.

Zoveel mogelijk 2 staps verificatie toepassen met 2 authenticator apps.

We gebruiken voor 2 staps verificatie een authenticator app (Meestal de Microsoft Authenticator) Als je toegang verliest tot de authenticator app (Verloren smartphone) dan heb je geen toegang tot accounts die zijn beveiligd met de authenticator app.

Met deze reden is het raadzaam om 2 authenticator apps te gebruiken, als je de QR Code scant met de 1^e app. Scan deze daarna met de 2^e app.

Gebruik bijvoorbeeld de Microsoft Authenticator en de Keeper Security wachtwoord manager met ingebouwde authenticator app.

Microsoft 365 voor bedrijven beveiligen.

De meeste ondernemers en bedrijven gebruiken Microsoft 365 voor Bedrijven voor hun zakelijke e-mail en cloud opslag. Deze centrale omgeving dien je goed te beschermen, als kwaadwillende toegang krijgen tot jouw omgeving hebben ze meestal toegang tot alle bedrijfsgegevens en bedrijfsgegevens.

• 2 staps verificatie: Pas in ieder geval altijd 2 staps verificatie toe op alle account binnen de Microsoft 365 voor Bedrijven omgeving.
• Beperk beheer omgeving: Maak aparte beheerder accounts zodat eindgebruikers geen rechten om aanpassingen te maken. (geldt ook voor ZZP’ers) Als kwaadwillende toegang hebben tot jouw account met alle rechten hebben ze alle controle over jouw omgeving.
• Gebruik voorwaarlijke toegang (M365 Premium): Voorwaarlijke toegang is een uitgebreide vorm van 2 staps verificatie en heeft de mogelijkheid om oude apparaten, oude mail, cloud apps automatisch te blokkeren. Hiermee voorkom je dat oude kwetsbare apparaten (zonder beveiliging updates) die vaak gebruikt worden door kwaadwillende niet door een achterdeur toegang kunnen krijgen tot Microsoft 365 voor Bedrijven.
• Voorwaarlijke toegang voor BYOD (M365 Premium): Heb je medewerkers die hun privé apparaten mogen gebruiken of huur je zelfstandige in, dan kan je met voorwaarlijke toegang deze apparaten blokkeren of beperken zodat ze enkel bedrijfsgegevens kunnen bekijken en niet downloaden of kopiëren. (voorkomt data verlies, data lek.)

Gebruik je ook andere plekken waar je persoonsgegevens opslaat zoals Google workspace, Dropbox of een boekhoud pakket dan dien je hiervoor vergelijkbare beveiliging maatregelingen te treffen.

Bedrijfsgegevens beschermen, datalekken voorkomen.

Gegevensbeheer: De AVG vereist dat organisaties persoonsgegevens op een veilige manier beheren en verwerken. Pas bijhorende beveiliging maatregelingen toe om data lekken te voorkomen.

Microsoft 365 voor Bedrijven standaard biedt enkel de productiviteit apps van Microsoft geen beveiliging maatregelingen om data lekken verder te voorkomen.

Hiervoor die je een apart beveiliging systeem te gebruiken bijvoorbeeld een upgrade naar Microsoft 365 voor Bedrijven Premium (Windows, Apple en Android), Apple bedrijven manager (Alleen Apple apparaten) of een vergelijkbaar beveiliging systeem.

• Controle of apparaten up-to-date zijn, gebruik een centraal systeem waarmee automatisch wordt gecontroleerd of het apparaat blijvende beveiliging updates ontvangt. (Bijv. met Microsoft 365 voor Bedrijven Premium.)
• Apparaat naleving, gebruik een centraal systeem waarmee automatisch wordt gecontroleerd of het apparaat dagelijks voldoet aan de AVG voorschriften. Het gaat hier om bewijs, zoals eerder aangegeven. (Bijv. met Microsoft 365 voor Bedrijven Premium.)Als het apparaat niet voelt aan de apparaat naleving kan je deze met Microsoft 365 voor Bedrijven Premium automatisch blokkeren. Hiermee voorkom je wederom dat oude, onveilige apparaten geen toegang hebben tot bedrijfsgegevens en persoonsgegevens.
• App-beveiliging DLP: Om data lekken te voorkomen kan je met Microsoft 365 voor Bedrijven Premium gebruik maken van app-beveiliging. Met alle Microsoft apps (of andere beheerde apps) kunnen bedrijfsgegevens enkel gedeeld worden met Microsoft apps.Voorbeeld 1: een pdf downloaden vanuit Microsoft outlook en proberen te delen via whatsapp is niet mogelijk.Voorbeeld 2: een tekst kopiëren in een word document en plakken in de mobiele notitie app is niet mogelijk, echter plakken naar Microsoft OneNote of andere Microsoft app is toegestaan.

  Het gaat hier om controle, een datalek kan eenvoudig gebeuren en de wettelijke boetes hiervoor zijn erg hoog. Deze preventie maatregelingen werken automatisch en zorgt voor een geen gedoe oplossing.

• MAM, MDM apparaat beveiliging: Mobiele apparaten moeten voldoen aan strenge beveiliging maatregelingen. Zoals een sterke pincode, versleuteling of op afstand wissen. Dit kan je eenvoudig toepassen met Microsoft 365 voor Bedrijven Premium of een uitgebreid Endpoint Security pakket (ESET Protect Cloud)
• Automatisch updates installeren: Besturingssysteem updates dien je tijdig te installeren om apparaten veilig te houden. Met onder andere Microsoft 365 voor Bedrijven Premium kan je Windows Updates, Apple MacOS en iOS Updates beheren. Door een geautomatiseerd systeem te gebruiken heb je wederom altijd bewijs dat deze updates tijdig worden geïnstalleerd.
• Apparaat beveiliging forceren: Met Microsoft 365 voor Bedrijven Premium kan je beveiliging instellingen forceren voor Windows en MacOS, die een eindgebruiker niet kan aanpassen. Hiermee zorg je ervoor dat altijd de juiste beveiliging maatregelingen worden toegepast.

AVG Aanbeveling: Verouderde gegevens automatisch of tijdig verwijderen.

Persoonsgegevens die je niet langer nodig hebt dien je tijdig te verwijderen, hiermee voorkomen we dat onnodig persoonsgegevens bewaart blijven.

• Gebruik automatisch archiveren met exchange online (M365 Premium), e-mail berichten ouder dan 2 jaar worden automatisch gearchiveerd waardoor het makkelijker wordt om oude mail gegevens of gehele mappen tijdig te verwijderen.
• Controleer regelmatig of je oude bestanden kan verwijderen, bijvoorbeeld een project die je een paar geleden hebt afgerond.

3-2-1 back-up methode toepassen.

AVG Aanbeveling: meerdere back-ups: Back-ups maken waarmee je de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen. Overweeg de 3-2-1 back-up methode zodat het geheel goed blijft functioneren wanneer een onderdeel uitvalt.

Belangrijk: Als het gaat om back-ups ben je altijd eind verantwoordelijk voor jouw back-up oplossingen. Je kan dit niet uitbesteden aan een ICT partner, een ICT partner kan je enkel een back-up oplossing aanbieden. Je bent zelf verantwoordelijk voor de controle en het testen van jouw back-up. (Wordt vaak vergeten)

De 2^e, 3^e back-up regel je altijd zelf of met begeleiding van jouw ICT parner, het is in ieder geval belangrijk dat je zelf een fysieke back-up hebt.

Microsoft 365 voor bedrijven, cloud diensten: Werken in de cloud is geen back-up, dit is enkel een cloud service waarmee je jouw e-mail, bestanden syncroniseert op verschillende apparaten. Een cloud provider is enkel verantwoordelijk voor de uptime van de cloud service zodat deze vrijwel altijd voor jouw toegankelijk is.

Je bent zelf verantwoordelijk voor het maken van een back-up en het waarborgen van bedrijfsgegevens, persoonsgegevens.

3-2-1 back-up toepassen: Zorg voor 3 kopieën van jouw bedrijfsgegevens, gebruik 2 verschillende back-up oplossingen en 1 offline back-up.

1. Gebruik een cloud back-up service voor een dagelijkse back-up van Microsoft 365 voor bedrijven.
2. Gebruik een 2^e cloud back-up service of bijvoorbeeld een Synology NAS met actieve back-up voor Microsoft 365 voor Bedrijven.
3. Gebruik een externe SSD (of meerdere) waarmee je regelmatig een back-up maakt en deze bewaard op een veilige afgesloten plek. (bijvoorbeeld een kluis.)

AVG Aanbeveling: Beveiligingsbewustzijn vergroten bij bestaande en nieuwe medewerkers.

(geldt ook voor zelfstandige)

Je bent zelf de firewall van jouw onderneming, als je zelf op een kwaadwillende link drukt waardoor problemen ontstaan heb je snel een cyberincident. Door jouw kennis rondom digitale veiligheid te vergroten kan je beter omgaan met kwaadwillende berichten. ( Je zal niet zo snel schrikken of verkeerde acties ondernemen.) Volg hiervoor digitale veiligheid trainingen en maak gebruik van phishing simulatie trainingen.

Maak jezelf #cyberfit.

Zijn er nog andere beveiliging maatregelingen die ik moet nemen?

Ja de AVG/GDPR wetgeving stopt niet alleen bij jouw Microsoft 365 voor Bedrijven omgeving en bijhorende apps, apparaten. Dit geldt ook voor je website, 3^e partij apps en andere online diensten die je gebruikt waarin je persoonsgegevens verwerkt.

Jouw bedrijf beveiligen met ons werkplek beveiliging pakket, we raden aan dit altijd te combineren met Microsoft 365 voor Bedrijven Premium voor optimale beveiliging.

 

Microsoft 365 voor Bedrijven standaard met Werkplek beveiliging.	Microsoft 365 voor Bedrijven Premium met ons Werkplek beveiliging.
Exchange e-mail (zonder auto archiveren.)	Exchange e-mail (auto archiveren.)
Basis anti-spam beveiliging	Uitgebreid anti-spam beveiliging, incl. defender voor office 365.
1TB OneDrive	1TB OneDrive
Microsoft Office Online	Microsoft Office Online
Microsoft Office Apps	Microsoft Office Apps
Microsoft zakelijke apps zoals To-Do, Planner, Forms, Bookings.	Microsoft zakelijke apps zoals To-Do, Planner, Forms, Bookings.
Basis MFA. (Microsoft Security Default)	Uitgebreide MFA. (voorwaarlijke toegang)
	Microsoft Intune: Apparaat beveiliging.
	Microsoft Intune: Apparaat naleving.
	Microsoft Intune: Apparaat update beleid.
	Microsoft Intune: App beveiliging en DLP.
	Microsoft Intune: MDM beveiliging. (zakelijke mobiele apparaten)
	Microsoft Security: Kwetsbaarheden controle
	Microsoft Pureview: Inzicht bedrijfsgegevens.
	Bestand labels, automatisch bestanden beveiligen.
Werkplek beveiliging pakket.	Werkplek beveiliging pakket.
Endpoint Security (zakelijke antivirus)	Endpoint Security (zakelijke antivirus)
E-mail filtering, ESET Cloud Office Security.	E-mail filtering, ESET Cloud Office Security.
ESET Full disk encryptie	ESET Full disk encryptie
ESET Vulnerability and patch management.	ESET Vulnerability and patch management.
Maandelijkse online trainingen rondom digitale veiligheid.	Maandelijkse online trainingen rondom digitale veiligheid.
Wekelijkse phishing simulatie trainingen.	Wekelijkse phishing simulatie trainingen.
Maandelijkse controle M365 omgeving.	Maandelijkse controle M365 omgeving.