Op donderdag 14 november organiseert V-ICT-OR de 4e editie van de Cyber & Information Security Day.

Dit congres is een ‘must-attend’ voor iedereen die te maken heeft met IT-beveiliging (cybersecurity & cybercrime/ Information security); zowel management als technisch betrokkenen, want door aanwezig te zijn, vergroot je meteen jouw praktische kennis en inzicht.

Justine Simal van IFORI spreekt er tussen 11u00 – 11u30 over “Gegevens delen … Wat zijn de spelregels?

Tijdens deze presentatie zet IFORI, een juridisch kantoor gespecialiseerd in intellectuele eigendomsrechten en ICT-recht, uiteen hoe je op een praktische manier gegevensuitwisseling in een samenwerkingsovereenkomst tussen de verschillende stakeholders op lokaal niveau moet aanpakken. Er zijn op lokaal niveau steeds meer vragen en verplichtingen tot samenwerking, denk bijvoorbeeld aan het Geïntegreerd Breed Onthaal (GBO). Deze brengen in vele gevallen uitdagingen met zich mee op vlak van privacy, gegevensbescherming en data security. Deze sessie wil praktische handvaten aanreiken voor het opstellen van een samenwerkingsovereenkomst, met focus op het aspect van de gegevensuitwisseling.

Inschrijven kan via: https://www.v-ict-or.be/events/cyber-information-security-day-2019

Op 14 september 2019 eindigde de overgangstermijn voor de nieuwe Europese betaalrichtlijn PSD2, de opvolger van PSD1. Voluit staat PSD voor ‘Payment Services Directive’. Het doel van deze richtlijn is het betaalverkeer vlotter laten verlopen. Los van de evidente toepassing van deze regelgeving in de financiële wereld en de bankensector, heeft PSD2 ook voor vele andere ondernemingen een impact.

De richtlijn werd in Belgisch recht omgezet door de wet van 11 maart 2018 betreffende het statuut van en het toezicht op de betalingsinstellingen en de instellingen voor elektronisch geld, de toegang tot het bedrijf van betalingsdienstaanbieder en tot de activiteit van uitgifte van elektronisch geld, en de toegang tot betalingssystemen.
Een aantal maanden geleden werd echter duidelijk dat het ecosysteem voor e-commerce nog niet klaar is voor de strikte toepassing van de vereisten rond de verplichte sterke klantenauthenticatie (of in het Engels strong customer authentication of SCA) vanaf 14 september 2019. Om die reden heeft de Nationale bank op 27 augustus een transitieperiode aangekondigd. Deze tendens is zichtbaar in heel Europa. Er zal een migratieplan worden uitgewerkt samen met de industrie om het volledige ecosysteem te migreren naar een strike toepassing van deze sterke klantenauthenticatie en dit binnen een meer realistische termijn.
PSD2 wil zorgen voor meer concurrentie en innovatie en wil drempels voor nieuwe toetreders tot de financiële markt wegnemen. Dit eengemaakte juridisch kader moet daarnaast leiden tot een eenvoudiger, efficiënter en veiliger betalingsverkeer binnen de Europese Unie.
Toegang tot betaalrekeningen door derden
Eén van de meest ingrijpende gevolgen van PSD2 is dat een consument aan derde partijen de toestemming kan geven om diens betaalrekeningen in te kijken. Wanneer er sprake is van uitdrukkelijke toestemming, mag de betalingsdienstaanbieder (of in het Engels een payment service provider of PSP) dit niet weigeren en is deze verplicht om de rekeninggegevens en dus zijn data-infrastructuur open te stellen voor derde partijen, mits deze derde partij erkend is door de Nationale Bank. Let wel, het gaat enkel om betaalrekeningen, wat betekent dat bijvoorbeeld spaarrekeningen of beleggingsrekeningen uitgesloten zijn.
Bovenstaande betekent dat het bijvoorbeeld mogelijk is om een overzicht te krijgen van alle rekeningen bij verschillende banken in één app. Dit kan een app van een betalingsdienstaanbieder zijn, maar ook een app van een onderneming die een eigen betaalapp aanbiedt. Dergelijke onderneming noemt men een rekeninginformatiedienstaanbieder (of in het Engels een account information service provider of AISP). Dit maakt de ontwikkeling van nieuwe businessmodellen mogelijk die gebruik van maken van financiële data, iets wat tot nu toe enkel mogelijk was voor banken aangezien deze data exclusief aan hen toebehoorde.
Naast het feit dat betaalrekeningen kunnen worden ingekeken door derde partijen, is het ook mogelijk om als onderneming een licentie te verkrijgen om zelf betaalverkeer rechtstreeks te initiëren. Een onderneming die zelf betalingen van consumenten rechtstreeks initieert noemt men een betalingsinitatiedienstaanbieder (of in het Engels payment initiation service provider of PISP). Denk bijvoorbeeld aan Amazon die dan rechtstreeks de betaling zal kunnen afhandelen via de zichtrekening van de consument. Er wordt verwacht dat vele e-commercespelers deze licentie zullen aanvragen en op die manier betalingen rechtstreeks zullen verwerken. Het verkrijgen van deze licentie is echter niet evident en er zijn hoge beveiligingseisen waaraan moet worden voldaan.

De Gentse school Sint-Bavo wil vanaf dit schooljaar een nieuw betaalsysteem invoeren dat gebruik maakt van de handpalm van leerlingen in plaats van het gebruik van cash geld, kaartjes of bonnetjes. Een drankje kopen of een kopie betalen kunnen leerlingen vanaf oktober doen door middel van het scannen van hun handpalm. Het gebruik van een app of badge werd overwogen maar uiteindelijk niet weerhouden als betaalmogelijkheid. De school stelt dat deze gegevens veilig en conform de GDPR zullen worden opgeslagen in een database van PALMKI, de achterliggende software. De onderhandelingen omtrent het contract met PALMKI bevinden zich in de laatste fase. De school, die het belang van innovatie benadrukt, stelt dat de keuze voor dit systeem weloverwogen is en breed wordt gedragen zowel bij het onderwijzend personeel, de ouders en de ouderraad. In deze blog onze mening waarom het geen goed idee is om leerlingen te laten betalen met handpalm.

 

Hoe zit het met je privacy?

Het is meteen duidelijk dat hier vanuit privacy-oogpunt veel vragen bij te stellen zijn. Net zoals vingerafdrukken zijn handpalmafdrukken biometrische en dus gevoelige gegevens. Voor het gebruik hiervan is toestemming van de betrokkene vereist. Aangezien het merendeel van de leerlingen minderjarig is, zullen de ouders moeten toestemmen in hun plaats. Een belangrijke eigenschap van de toestemming is dat deze ‘vrij’ moet zijn. Wanneer er geen alternatief beschikbaar is en je als het ware wordt gedwongen, kun je niet van vrije toestemming spreken. De school zal dus een alternatief moeten voorzien voor het betalingssysteem met de handpalm, anders kan er geen sprake zijn van een vrije toestemming en worden de persoonsgegevens niet conform de GDPR verwerkt, wat aanleiding kan geven tot sancties.
Een belangrijke wettelijke verplichting bij het verwerken van persoonsgegevens is de beveiliging ervan. De school moet als verwerkingsverantwoordelijke de nodige technische en organisatorische maatregelen nemen om deze gegevens afdoende te beveiligen. Of zoals David Stevens, de voorzitter van de Gegevensbeschermingsautoriteit (GBA) het zegt: “Als uw wachtwoord wordt gestolen, kunt u het altijd wijzigen, maar uw vinger kan u niet vervangen. Daarom is het noodzakelijk om het hoogste veiligheidsniveau voor dit soort gegevens te garanderen en deze nooit lichtzinnig te behandelen.” Of de school hiertoe in staat is, is nog maar de vraag. We denken liever niet aan de -opzettelijk of onopzettelijke- openbaarmaking van honderden handpalmafdrukken van minderjarigen. Eerder deze maand nog werd bekend dat er een datalek had plaatsgevonden bij Suprema: onderzoekers verkregen toegang tot miljoenen biometrische gegevens zoals vingerafdrukken en afbeeldingen die gezichtsherkenning toelaten, waaronder 2000 vingerafdrukken van de werknemers van Adecco in België. Datalekken zijn schering en inslag en dit voorbeeld maakt pijnlijk duidelijk dat ook biometrische gegevens de dans niet ontsnappen. Dit zet de deur open naar identiteitsdiefstal en ondermijnt alle veiligheidssystemen die gebaseerd zijn op biometrische gegevens.

Is dit echt nodig?
De vraag is ook of het verzamelen van deze biometrische persoonsgegevens proportioneel is t.a.v. het nagestreefde doel, met name het uitvoeren van een betaling. Er zijn tientallen andere manieren te bedenken om op een veilige en minder indringende manier hieraan uitvoering te geven en die ook allen innovatiever zijn dan gebruik maken van kaartjes of bonnetjes, zoals bijvoorbeeld een app.
Eind vorig jaar formuleerde de GBA uit eigen beweging een negatief advies omtrent de registratie van vingerafdrukken op de elektronische identiteitskaart. Een parallel kan worden getrokken tussen de registratie van vingerafdrukken en de registratie van een handpalmafdruk. In haar advies wijst de GBA op het principiële verbod op de verwerking van biometrische gegevens. Dit verbod kan slechts worden opgeheven indien de evenredigheid met het nagestreefde doel wordt gewaarborgd en passende en specifieke beschermingsmaatregelen worden getroffen. Deze zijn momenteel nog niet gekend, maar het is reëel dat de risico’s op hacking en misbruik onvoldoende afgeschermd zijn. Daarnaast wijst de GBA er in haar advies op dat er voor dergelijke verwerkingen voorafgaand een gegevensbeschermingseffectbeoordeling (GEB of DPIA) moet worden uitgevoerd. Het is niet duidelijk of dit gebeurde, maar het is evident dat voor een verwerking van dergelijke gevoelige persoonsgegevens op zo’n grote schaal zeker een DPIA dient plaats te vinden.
De directie van Sint-Bavo gaf al aan dat ze zouden bekijken welke alternatieven mogelijk zijn wanneer er bezwaren zouden rijzen. Ons lijkt het, gezien bovenstaande bekommernissen, raadzaam om meteen over te schakelen op deze -hopelijk niet biometrische- alternatieven en het gebruik van de handpalmafdruk te laten voor wat het is.

Zo’n 17% van de Belgische bedrijven was vorig jaar het slachtoffer van een succesvolle cyberaanval, zo blijkt uit onderzoek van Microsoft. Bedrijven maken zich dan ook terecht zorgen over de risico’s die cyberincidenten met zich mee kunnen brengen. Toch heeft 8 op de 10 paradoxaal genoeg geen plan om met een aanval om te gaan.

Tijdens deze opleiding,die we samen met Voka Oost-Vlaanderen organiseren, bekijken we de verschillende dreigingen, welke risico’s eraan verbonden zijn en hoe u uw bedrijf voldoende kan beschermen.

Op het programma staan:
• Het cybersecuritylandschap: dreigingen en risico’s.
• Beveiligingsmaatregelen a.d.h.v. praktische voorbeelden.
• Hoe sensibiliseer ik mijn medewerkers over de gevaren?
• Compliancy benadering: een wettelijk kader.
• Een vooruitblik: de toekomst van digitale veiligheid en privacy.

Wanneer?
Maandag 23 september 2019 van 13u30 tot 17u00 bij Voka Box in Gent

Inschrijven kan via Voka
Dit seminarie wordt georganiseerd in samenwerking met Voka. Inschrijven kan heel eenvoudig via hun website via deze link.
Indien je er niet bij kan zijn maar wel interesse hebt in deze topic dan kan je uiteraard altijd rechtstreeks contact opnemen met ons voor een vrijblijvend kennismakingsgesprek.
Tot gauw!

Audit Vlaanderen kwam tot de conclusie dat heel wat lokale besturen ondermaats scoren bij informatiebeveiliging.

Informatiebeveiliging: “De beveiliging van informatie tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden of opgeslagen informatie

Het gaat om de beveiliging van alle informatie, waaronder ook persoonsgegevens. De GDPR zelf voorziet principieel dat organisaties de integriteit en vertrouwelijkheid van persoonsgegevens moeten waarborgen!

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.

Probleempunten

Uit het rapport blijken voornamelijk volgende punten problematisch:

  • Leveranciersrelaties;
  • Bewustzijn van medewerkers;
  • Technisch beheer (cryptografie, onderhoud systemen, …);
  • Incidentenbeheer;

Positieve noot

Er is dus nog heel wat ruimte voor verbetering. Anderzijds merkt het verslag wel op dat er hier en daar wel goed wordt gewerkt: zo is er speciale vermelding voor besturen die medewerkers sensibiliseren en trainen op vlak van privacy & informatieveiligheid.

Naast eigen incidenten en persaandacht voor incidenten elders blijkt ook het einde van de inwerkingtredingsperiode van de AVG een goede aanleiding om ad-hoc-infosessies te organiseren.

Sensibilisering

IFORI kan uw gemeente of OCMW bijstaan door te voorzien in sensibiliseringssessies omtrent informatieveiligheid en/of privacy. Dit deden we reeds voor lokale besturen, met een positieve vermelding tot gevolg.

Oplossing

Tot slot geeft het rapport enkele aanbevelingen mee waarmee elk lokaal bestuur aan de slag kan om haar informatieveiligheid te verbeteren.

Neem uiteraard gerust contact met ons op indien u zich hierover extern wil laten adviseren door experten op vlak van informatieveiligheid & privacy bij lokale besturen.

GDPR, DPO… U mag CWC aan het (to do) lijstje toevoegen.

Het idee van een cyberweerbaarheidscertificaat (FR: certificat de cyberrésilience) voor bedrijven werd deze week gelanceerd door het Strategisch Comité. Het is duidelijk dat, na de GDPR, niemand van de partners rond de tafel nog nieuwe verplichtingen wil/durft opleggen aan de bedrijven rond cyber security. Enkel een sterke aanmoediging… Daarom wil de Belgische regering werken aan een certificaat dat bedrijven kunnen behalen en aantoont dat niet alleen het betrokken bedrijf maar ook haar volledige distributieketen ‘weerbaar is’ tegen cybercriminaliteit. Dit staat los van de certificaten die de Gegevensbeschermingsautoriteit (de vroegere Privacycommissie) nog in het leven kan roepen.

Wat de criteria zullen zijn, wie zal instaan voor de controle en de toekenning en wat de impact ervan zal zijn bij het brede publiek van het nieuwe label, valt af te wachten. Wij volgen het evident verder voor u op.

Alles is te lezen in het Nationaal Pact voor Strategische Investeringen dat het Strategisch Comité op 11 september 2018 voorgesteld heeft: https://www.premier.be/sites/default/files/articles/Report_FULL-NL_WEB_FINAL.pdf

 

Heeft u vragen hoe u nu al uw cyberweerbaarheid kan verbeteren, zoekt u een doorlichting van uw weerbaarheid op vandaag of zoekt u een opleiding van uw mensen rond cyber security, laat het ons weten, we helpen u graag verder. Op vandaag heeft IFORI als expert reeds duizenden personeelsleden binnen bedrijven en organisaties opgeleid en gesensibiliseerd rond cyberveiligheid.