Voorkom datalekken door menselijke fouten

Voorkom datalekken door menselijke fouten

Mensen in de zorg willen graag zorg verlenen en anderen helpen. Hierbij zijn ze zich vaak niet bewust van risico’s voor privacy van de cliënten. En daarmee loopt u grote risico’s op datalekken en het niet-voldoen aan privacywetgeving. Met alle gevolgen van dien. In de training Privacybewustzijn leer je hoe je medewerkers bewust maakt en zo datalekken kunt voorkomen.  Bekijk dit filmpje voor een korte introductie   Na technische maatregelen aandacht voor de factor mens Zorginstellingen hebben inmiddels meestal wel middelen geïnvesteerd in technische informatiebeveiliging, maar nog niet zo veel aandacht besteed aan de factor mens in privacybescherming en informatiebeveiliging. De voorbeelden van datalekken door menselijk handelen zijn talrijk, van gestolen laptops met onversleutelde cliëntgegevens tot […]
Read More
PrivacyLab kijkt terug en blikt vooruit

PrivacyLab kijkt terug en blikt vooruit

De laatste dagen van 2016, wat gebeurde er afgelopen jaar en waar kunnen we naar uitkijken?   Privacy- en informatiebeveiligingsbewustzijn in 2016 Datalek op datalek maakten we mee in 2016. De Autoriteit Persoonsgegevens liet weten dat de zorgsector kampioen gemelde datalekken is geworden. Betekent dat ook echt dat daar de meeste lekken waren? Of is de meldingsbereidheid gewoon het grootst? Even in de herinnering een paar voorbeelden. Harde schijf met patiëntgegevens van het Antoni van Leeuwenhoekziekenhuis werd gestolen. Het ziekenhuis zegt: “Zo is het verboden om vertrouwelijke informatie op computer- of andere systemen te plaatsen die niet zijn beveiligd.” Het mocht niet, maar de medewerker deed het toch. Gestolen laptop van […]
Read More
SecAwareSummit Londen 2016

SecAwareSummit Londen 2016

    [English text below] European Security Awareness Summit op 11 november 2016 in Londen, wat een geweldig evenement was dat. Onder de bezielende leiding van SANS training director Lance Spitzner bespraken ruim 80 security-awarenessprofessionals de ontwikkelingen op het vakgebied. Het was heel inspirerend om zo veel mensen bij elkaar te zien die er allemaal hard aan werken de informatiewereld veiliger te maken. Ik ben vereerd dat ik een presentatie mocht houden over trainen met impact door het gebruik van Accelerated Learning. Voor mijn bijdrage ontving ik de “Security Awareness Leader”-penning van SANS Institute.     Deze video geeft een korte samenvatting van de Summit maar ook een interview met […]
Read More
Laptop met medische gegevens kwijt…

Laptop met medische gegevens kwijt…

Je laptop wordt gestolen uit je huis. Hoe erg is dat? Je bent ook nog coassistent in een ziekenhuis en er staan patiëntgegevens van ruim 500 patiënten op je laptop. Hoe erg is het dan? Erg genoeg om er melding van te maken bij de Autoriteit Persoonsgegevens in ieder geval. Sinds begin dit jaar is het verplicht om dergelijke datalekken te melden en zelfs strafbaar om het niet te doen. Bovenstaand voorbeeld overkwam een coassistent van het Isala-ziekenhuis in Zwolle afgelopen jaar. Het lek werd tijdig gemeld en het onderzoek loopt nog. Interessant is dat het ziekenhuis in de berichtgeving meldt: “Isala betreurt dit incident ten zeerste, omdat het volgens […]
Read More
Uw medisch dossier is van u! (en van de zorgverzekeraar)

Uw medisch dossier is van u! (en van de zorgverzekeraar)

Volgens een nieuwe wet kunnen cliënten opvragen wie een dossier heeft ingezien. Als je weet dat de cliënt kan zien dat je een dossier hebt doorgenomen, ga je dan nog “snuffelen” in dossiers waar je niets te zoeken hebt? Medewerkers moeten zich hiervan bewust zijn. Ook zijn er nieuwe regels voor toegang tot dossiers voor zorgverzekeraars.   Op 4 oktober 2016 is er een wetsvoorstel aangenomen aangaande cliëntenrechten bij elektronische verwerking van gegevens. De Eerste Kamer gaf haar goedkeuring aan het voorstel getiteld ‘Wijziging van de Wet gebruik burgerservicenummer in de zorg, de Wet marktordening gezondheidszorg en de Zorgverzekeringswet (cliëntenrechten bij elektronische verwerking van gegevens)’. In dit voorstel is onder […]
Read More
Datalekken duurst in de zorgsector

Datalekken duurst in de zorgsector

Datalekken vormen een aanzienlijk risico voor veel zorginstellingen die persoonlijke gegevens van patiënten en cliënten opslaan en beheren. Als deze informatie terechtkomt bij onbevoegde partijen kan dit leiden tot identiteitsdiefstal of andere vormen van fraude. Aan zulke datalekken zitten hoge kosten verbonden voor de getroffen instelling. Deze kosten zijn in de zorgsector hoger dan in elke andere sector, maar waarom? Getroffen organisaties kunnen geconfronteerd worden met boetes of andere straffen, in aanvulling op de kosten voor het vinden en verhelpen van het datalek en het upgraden van de beveiliging van de data. Verder kunnen bedrijven te maken krijgen met kosten als gevolg van geschillen die voortvloeien uit de mogelijk gelekte […]
Read More
Ransomware, de zorgsector en bewustwording

Ransomware, de zorgsector en bewustwording

  Losgeld betalen? In 2016, in Nederland? Jazeker! De kwaadaardige software die dat veroorzaakt wordt ransomware genoemd. Ransom is het Engelse woord voor losgeld. Het is een stukje software dat, als het ergens je netwerk is binnengedrongen, al je bestanden versleutelt door middel van encryptie. Daarom heet het ook wel “cryptoware”. Je kunt dan nergens meer bij, je bestanden zijn ontoegankelijk. Als je een bedrag in bitcoins overmaakt aan de crimineel, dan krijg je de sleutel om je bestanden weer te “bevrijden”. Voor criminelen is het ideaal, veel eenvoudiger om mee te werken dan bijvoorbeeld het skimmen van bankpasjes of via een site gegevens verzamelen. Als je je ransomware weet […]
Read More
Wat kunnen we leren van de Security Culture Conference?

Wat kunnen we leren van de Security Culture Conference?

Interessante gasten waren er op de Security Culture Conference in Oslo in juni 2016. Het was een vol tweedaags programma, waarin ook een presentatie van mij was opgenomen. In deze blog doe ik verslag en deel ik inzichten die ik daar heb opgedaan. Heel inspirerend is het, om op een conferentie te zijn over een onderwerp waar alle aanwezigen met hart en ziel aan werken. Iedereen is ervan overtuigd dat het belangrijk is om alle medewerkers betrokken te krijgen bij informatieveiligheid. Het is leuk om te leren over de verschillende invalshoeken. De community van awareness-professionals is heel open in het delen van kennis en ervaring. Dat merken we ook in […]
Read More
Mijn verhaal op de Security Culture Conference in Oslo

Mijn verhaal op de Security Culture Conference in Oslo

  Oslo is de plaats van handeling van de Security Culture Conference, op 14 en 15 juni. Daar komen gelijkgestemden bij elkaar om twee dagen lang informatieveiligheid met elkaar te bespreken. Twee conferenties in een, met een deel voor de Cloud Security Alliance en een deel over veiligheidscultuur. Het programma bestaat voor de helft uit gezamenlijke bijeenkomsten en de andere helft zijn er gescheiden paden. Sprekers uit de wereld van security komen hun nieuwste inzichten met elkaar delen. Ik houd op deze conferentie een presentatie over persona’s. Kai Roer, de organisator, kennende zal het naast interessant ook een gezellige bijeenkomst worden met mogelijkheden om te spreken met mensen die ook […]
Read More
Gaming: het leren zien van risico’s

Gaming: het leren zien van risico’s

  Gaming in security-awareness gaat niet over aanleren van regels maar over het zien van risico’s. Serious gaming is een middel om het beveiligingsbewustzijn bij medewerkers te verhogen. Om daar meer over te weten komen heb ik een avond over dit onderwerp georganiseerd. In deze blog deel ik een aantal van de lessen uit die avond, verteld door gebruikers en opdrachtgever van de Elevator-game.   Met welk doel zet je gaming in? Ludiek genoeg om er bij de koffieautomaat over te praten, dat is het doel als je gaming inzet. Het gaat er niet om dat de medewerkers procedures en regels leren kennen. Het gaat erom dat ze alert worden, […]
Read More