Blog

SecAwareSummit Londen 2016

    [English text below] European Security Awareness Summit op 11 november 2016 in Londen, wat een geweldig evenement was dat. Onder de bezielende leiding van SANS training director Lance Spitzner bespraken ruim 80 security-awarenessprofessionals de ontwikkelingen op het vakgebied. Het was heel inspirerend om zo veel mensen bij elkaar te zien die er allemaal hard aan werken de informatiewereld veiliger te maken. Ik ben vereerd dat ik een presentatie mocht houden over trainen met impact door het gebruik van Accelerated Learning. Voor mijn bijdrage ontving ik de “Security Awareness Leader”-penning van SANS Institute.     Deze video geeft een korte samenvatting van de Summit maar ook een interview met […]
Read More

Laptop met medische gegevens kwijt…

Je laptop wordt gestolen uit je huis. Hoe erg is dat? Je bent ook nog coassistent in een ziekenhuis en er staan patiëntgegevens van ruim 500 patiënten op je laptop. Hoe erg is het dan? Erg genoeg om er melding van te maken bij de Autoriteit Persoonsgegevens in ieder geval. Sinds begin dit jaar is het verplicht om dergelijke datalekken te melden en zelfs strafbaar om het niet te doen. Bovenstaand voorbeeld overkwam een coassistent van het Isala-ziekenhuis in Zwolle afgelopen jaar. Het lek werd tijdig gemeld en het onderzoek loopt nog. Interessant is dat het ziekenhuis in de berichtgeving meldt: “Isala betreurt dit incident ten zeerste, omdat het volgens […]
Read More

Uw medisch dossier is van u! (en van de zorgverzekeraar)

Volgens een nieuwe wet kunnen cliënten opvragen wie een dossier heeft ingezien. Als je weet dat de cliënt kan zien dat je een dossier hebt doorgenomen, ga je dan nog “snuffelen” in dossiers waar je niets te zoeken hebt? Medewerkers moeten zich hiervan bewust zijn. Ook zijn er nieuwe regels voor toegang tot dossiers voor zorgverzekeraars.   Op 4 oktober 2016 is er een wetsvoorstel aangenomen aangaande cliëntenrechten bij elektronische verwerking van gegevens. De Eerste Kamer gaf haar goedkeuring aan het voorstel getiteld ‘Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens)’. In dit voorstel is onder […]
Read More

Datalekken duurst in de zorgsector

Datalekken vormen een aanzienlijk risico voor veel zorginstellingen die persoonlijke gegevens van patiënten en cliënten opslaan en beheren. Als deze informatie terechtkomt bij onbevoegde partijen kan dit leiden tot identiteitsdiefstal of andere vormen van fraude. Aan zulke datalekken zitten hoge kosten verbonden voor de getroffen instelling. Deze kosten zijn in de zorgsector hoger dan in elke andere sector, maar waarom? Getroffen organisaties kunnen geconfronteerd worden met boetes of andere straffen, in aanvulling op de kosten voor het vinden en verhelpen van het datalek en het upgraden van de beveiliging van de data. Verder kunnen bedrijven te maken krijgen met kosten als gevolg van geschillen die voortvloeien uit de mogelijk gelekte […]
Read More

Ransomware, de zorgsector en bewustwording

  Losgeld betalen? In 2016, in Nederland? Jazeker! De kwaadaardige software die dat veroorzaakt wordt ransomware genoemd. Ransom is het Engelse woord voor losgeld. Het is een stukje software dat, als het ergens je netwerk is binnengedrongen, al je bestanden versleutelt door middel van encryptie. Daarom heet het ook wel “cryptoware”. Je kunt dan nergens meer bij, je bestanden zijn ontoegankelijk. Als je een bedrag in bitcoins overmaakt aan de crimineel, dan krijg je de sleutel om je bestanden weer te “bevrijden”. Voor criminelen is het ideaal, veel eenvoudiger om mee te werken dan bijvoorbeeld het skimmen van bankpasjes of via een site gegevens verzamelen. Als je je ransomware weet […]
Read More

Wat kunnen we leren van de Security Culture Conference?

Interessante gasten waren er op de Security Culture Conference in Oslo in juni 2016. Het was een vol tweedaags programma, waarin ook een presentatie van mij was opgenomen. In deze blog doe ik verslag en deel ik inzichten die ik daar heb opgedaan. Heel inspirerend is het, om op een conferentie te zijn over een onderwerp waar alle aanwezigen met hart en ziel aan werken. Iedereen is ervan overtuigd dat het belangrijk is om alle medewerkers betrokken te krijgen bij informatieveiligheid. Het is leuk om te leren over de verschillende invalshoeken. De community van awareness-professionals is heel open in het delen van kennis en ervaring. Dat merken we ook in […]
Read More

Mijn verhaal op de Security Culture Conference in Oslo

  Oslo is de plaats van handeling van de Security Culture Conference, op 14 en 15 juni. Daar komen gelijkgestemden bij elkaar om twee dagen lang informatieveiligheid met elkaar te bespreken. Twee conferenties in een, met een deel voor de Cloud Security Alliance en een deel over veiligheidscultuur. Het programma bestaat voor de helft uit gezamenlijke bijeenkomsten en de andere helft zijn er gescheiden paden. Sprekers uit de wereld van security komen hun nieuwste inzichten met elkaar delen. Ik houd op deze conferentie een presentatie over persona’s. Kai Roer, de organisator, kennende zal het naast interessant ook een gezellige bijeenkomst worden met mogelijkheden om te spreken met mensen die ook […]
Read More

Gaming: het leren zien van risico’s

  Gaming in security-awareness gaat niet over aanleren van regels maar over het zien van risico’s. Serious gaming is een middel om het beveiligingsbewustzijn bij medewerkers te verhogen. Om daar meer over te weten komen heb ik een avond over dit onderwerp georganiseerd. In deze blog deel ik een aantal van de lessen uit die avond, verteld door gebruikers en opdrachtgever van de Elevator-game.   Met welk doel zet je gaming in? Ludiek genoeg om er bij de koffieautomaat over te praten, dat is het doel als je gaming inzet. Het gaat er niet om dat de medewerkers procedures en regels leren kennen. Het gaat erom dat ze alert worden, […]
Read More

Uitnodiging bijeenkomst ‘Security Awareness/Culture en Gaming’

Ik geloof in samenwerking en leren van elkaar. Daarom heb ik samen met Chris Karelse het initiatief genomen om een community op te richten voor mensen die zich professioneel bezig houden met security-awareness en veiligheidscultuur. De groep heeft als doel om security-awareness/culture in Nederland verder te ontwikkelen en elkaar daarbij te versterken. Het is een open groep voor iedereen die hierin geïnteresseerd is. Wij willen kennis en ervaringen delen. Onze groep op LinkedIn heeft op het moment dat ik dit schrijf ruim tachtig leden. Wij willen fungeren als Nederlandse Security Culture User Group (gebruikers van het Security Culture Framework) en Nederlands chapter van de Securing The Human–community. Graag nodig ik geïnteresseerden hierbij […]
Read More

5 tips voor zelfsturende teams en privacy

In de zorg wordt steeds meer gewerkt met zelfsturende teams. Teamleden maken zelf werkafspraken en planning. Ze kunnen snel reageren op vragen en problemen. Toch worstelen veel organisaties bij het vergroten van de autonomie van teams of met het oogsten van de potentiële resultaten van autonome teams. Paradoxaal genoeg vraagt dat juist om meer aansturing, maar dan anders: gericht op visie, kaders, cultuur en faciliteren. Onderdeel van deze kaders zou privacybescherming moeten zijn. In deze blog geef ik een aantal aandachtspunten hoe dit te waarborgen bij het werken met zelfsturende teams.   Zelfsturende teams en privacy Zelfsturende (of autonome) teams kunnen belangrijk zijn in het effectief en soepel functioneren van […]
Read More