Adviseur en auditor gegevensbescherming
Vanuit mijn kantoor in Anderlingen, Nedersaksen adviseer en assisteer ik B2B en B2C ondernemingen en organisaties. Vanuit dit kantoor in de Landkreis Rotenburg (Wümme) ben ik remote beschikbaar en uw competente partner op het gebied van gegevensbescherming. Als adviseur en auditor gegevensbescherming heb ik mij gespecialiseerd op ondernemingen en organisaties...
Lees nu hier verder
"VOLDOET DIT AAN DE AVG?"
is niet de juiste vraag!
De juiste vraag is:
“Hoe moeten we dit organiseren zodat het voldoet aan de AVG?“.
Als gegevensbeschermingsauditor, -consultant en externe functionaris gegevensbescherming ondersteun ik u bij het implenteren van een gegevensbeschermingsorganisatie binnen uw onderneming in overeenstemming met de wetgeving gegevensbescherming.
Ik concentreer mij op de volgende doelgroepen
B2B- en B2C-ondernemingen in de volgende sectoren;
Binnen deze doelgroepen richt ik mij voornamelijk, maar niet uitsluitend, op bedrijfsoprichters / jonge ondernemers (start-ups).
Mijn doelgebieden zijn: Nederland en Duitsland.
Om de toegankelijkheid te waarborgen, tijd en reiskosten te besparen, maak ik gebruik van online conferenties / webmeetings.
Als u meer over mij wilt weten, klik dan hier
AVG Aktueel
12 december 2023
Schadevergoeding voor mogelijk misbruik van persoonlijke gegevens.
Informatie over de procedure EHvJ EG C-340/21 – 14.12.2023
Kort samengevat:
Met deze uitspraak heeft het Europese Hof van Justitie de rechten van consumenten in de EU enorm versterkt.
In het geval van een hackeraanval zal het voor bedrijven, gegevensverwerkers en openbare diensten moeilijk worden om te bewijzen dat hun beveiligingsmaatregelen passend waren op het moment van het datalek en dat de verantwoordelijken op geen enkele wijze verantwoordelijk zijn voor de schade. Als gevolg van deze uitspraak moeten de verantwoordelijken ervoor zorgen dat de documentatie ook geschikt is om de beveiligingsmaatregelen voor een voorbije periode aan te tonen. Het gaat hierbij in de eerste plaats om het bewijzen dat een veiligheidsmaatregel niet alleen was gepland, maar ook daadwerkelijk was geïmplementeerd.
Aangezien het EHvJ in deze uitspraak niet verwijst naar een “grotere” hoeveelheid getroffen gegevens, zal in de toekomst voor verantwoordelijken een groot risico zijn van schadeclaims van individuen in verband met nawijsbare immateriële schade.
Vooral voor kleinere ondernemingen zullen de eisen voor een verweer, zoals de EU-rechters dit vastgelegd hebben, maar moeilijk te bewerkstelligen zijn. Door deze uitspraak wordt is toename van rechtszaken voor immateriële schade te verwachten.
In de regel zal het voor de voor de verwerking verantwoordelijke nauwelijks mogelijk zijn om zichzelf vrij te pleiten of om aan te tonen en te bewijzen dat het vereiste beveiligingsniveau werd nageleefd op het moment van de cyberaanval of gegevensinbreuk. Tenzij ze maatregelen hebben genomen om het vereiste beveiligingsniveau en de getroffen beschermingsmaatregelen met terugwerkende kracht aan te tonen.
In de toekomst zullen de verantwoordelijken van ondernemingen, freelancers, verenigingen en publieke organisaties veel zorgvuldiger en op een voor het verleden aantoonbare manier aan hun documentatie- en verificatieverplichtingen moeten voldoen.
Opmerking:
De AVG, de UAVG zijn van toepassing op geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens en op niet-geautomatiseerde verwerking van persoonsgegevens die zijn opgeslagen of moeten worden opgeslagen in een bestandssysteem, zoals een archief.
De uitspraak in zaak C340/21 van het HvJ is dus ook van toepassing op datalekken van niet-geautomatiseerde gegevensverwerking!
Uit de praktijk
E-mail verificatie en authentificatie
In mijn dagelijkse werk merk ik keer op keer dat werknemers, door de eisen van het dagelijkse werk, op e-mails met een valse identiteit reageren. De reactie veroorzaakt dan in de meeste gevallen een veiligheidsincident met vaak grote gevolgen voor de gegevensbescherming.
Dit roept de vraag op:
“hoe kan dit risico worden beperkt?”
Tegelijkertijd wordt mij vaak gevraagd wat de reden kan zijn dat een e-mail de ontvanger niet bereikt.
Het antwoord hierop is in de meeste gevallen:
Het mailadres (@uwdomein.nl) wordt als “niet betrouwbaar” geïdentificeerd of de authentificatie kan niet gecontroleerd worden.
Voor serieuze verzenders is het daarom bijzonder belangrijk dat de verzonden e-mails niet onbedoeld als ongewenst worden gecategoriseerd. Voor e-mailverificatie kunnen verzenders verschillende methoden gebruiken om aan te tonen dat ze zijn wie ze beweren te zijn.
In beide gevallen gaat het dus om de verfificatie en authenticatie van de afzender van de e-mail.
Om er zeker van te zijn dat de afzender van een e-mail niet de identiteit van een derde partij vervalst, authenticeren steeds meer providers van e-mailinboxen de afzender als eerste stap. Hiervoor worden de verzendende mailserver en de afzender- en antwoordadressen geanalyseerd. De identiteit van de afzender wordt gecontroleerd met behulp van verschillende verificatieprocedures.
Momenteel worden hiervoor de volgende protocollen voor het uniek identificeren van de afzender gebruikt:
SPF (Sender Policy Framework)
Controleert de basisbevoegdheid om e-mails te verzenden namens een specifiek domein;
DKIM (DomainKeys Identified Mail)
Bindt elke verzonden e-mail cryptografisch aan het domein;
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
Het DMARC-protocol bevat regels over hoe om te gaan met inbreuken op legitimiteit en verificatie en waar rapporten hierover naartoe moeten worden gestuurd.
Meer informatie over de verificatieprocedures vindt je hier
Is het gebruik van SPF, DKIM en DMARC verplicht?
Ja, het gebruik van verificatieprocedures is verplicht volgens de GDPR!
Zie hiuervoor ook: Art. 25 lid 1 van de AVG – Gegevensbescherming door ontwerp en door standaardinstellingen.
Welke authenticatiemethode moet worden gebruikt?
Zoals je hier kunt zien, heeft het alleen zin als alle drie de authenticatiemethoden, d.w.z. SPF-, DKIM- en DMARC-vermeldingen, zijn opgenomen in het domeinnaamsysteem (DNS).
Is het gebruik van SPF, DKIM en DMARC protocollen gratis?
Ja, in principe is het gebruik gratis, maar je hebt wel enige technische expertise nodig om de DNS-server in te stellen en te beheren.
Er zijn echter ook bedrijven die kunnen helpen de protocollen voor u te implementeren. Deze diensten zijn vaak niet gratis en vereisen meestal een abonnement.
En hoe zit het met BIMI?
Brand Indicators for Message Identification, kortweg BIMI, is een nieuwe standaard waarmee organisaties hun geregistreerde merklogo’s kunnen weergeven in uitgaande e-mails in overeenstemming met de BIMI-richtlijnen. Deze standaard is momenteel (03.2024) nog niet “state of the art” en valt daarom niet onder Art. 25 lid 1 van de GDPR – gegevensbescherming door ontwerp en standaard.
OVER MIJZELF
De professionele implementatie van de Algemene Verordening Persoonsgegevens (AVG) vereist veel ervaring en expertise.
Als adviseur en auditor gegevensbescherming met uitgebreide IT-kennis, vele jaren ervaring in het webdesign, online marketing, de voertuigtechnologie en een afgeronde bacheloropleiding aan de Hanzehogeschool in Groningen, kan ik u met mijn knowhow ondersteunen bij de implementatie van de GDPR (AVG / DS-GVO) binnen uw onderneming of organisatie.
Als u zich nog niet of nauwelijks gedachten gemaakt hebt over het implementeren van de AVG / GDPR binnen uw onderneming of organisatie, dan is het nu toch echt wel aan de tijd ….
