Gebruik Awareness Training Voor Het Naleven Van De AVG

Gillian Loones
By: Gillian Loones Awareness-training | 7 december

De invoering van de AVG in de EU heeft vele verstrekkende gevolgen gehad voor zowel kleine als grote organisaties. Voor veel organisaties is het nog steeds niet duidelijk hoe ze de AVG precies moeten implementeren in hun dagelijkse werkzaamheden. Daarnaast kan het niet naleven van de AVG ernstige gevolgen hebben, variërend van zware boetes tot ernstige beveiligingsinbreuken. Daarom is het belangrijk dat iedereen in de organisatie weet hoe in de dagelijkse praktijk met gegevens om te gaan. In deze blogpost bespreken we hoe awareness training kan bijdragen aan de naleving van de AVG.

Inhoudsopgave

De AVG leidt nog altijd tot veel verwarring

De AVG werd in mei 2018 door de EU ingevoerd om consumenten beter te informeren over de manier waarop hun persoonsgegevens worden gebruikt en om een betere gegevensverwerking en -bescherming bij organisaties af te dwingen.

Daardoor werden met de AVG veel regels ingevoerd ten aanzien van de verwerking van persoonsgegevens en het voorkomen van beveiligingsinbreuken. De naleving van deze regels wordt afgedwongen met grote geldboetes voor organisaties die zich niet aan de regels houden.

Hoewel de AVG nu al meer dan twee jaar van kracht is, heerst er bij veel mensen nog steeds verwarring over de gevolgen ervan voor hen en hun organisatie. Het kan bijvoorbeeld nog steeds onduidelijk zijn wat persoonsgegevens zijn, wat nu eigenlijk goede praktijken zijn op het gebied van gegevensverwerking, of wat de mogelijke gevolgen zijn van het niet naleven van de AVG.

Dit vraagt reeds veel inspanning; zowel om de AVG te handhaven als ook om te zorgen dat IT-experts dit bijhouden. Het is daarom niet verwonderlijk dat bij veel teamleden enige verwarring bestaat over hoe ze in hun werk met de AVG en met persoonsgegevens om moeten gaan.

Risicoanalyse

‘Persoonsgegevens’ omvat een heleboel zaken

Laten we kort illustreren hoe verwarrend het begrip ‘persoonsgegevens’ kan zijn. Veel mensen weten waarschijnlijk niet helemaal wat er precies bedoeld wordt met ‘persoonsgegevens’ – behalve dat het gaat om informatie over een persoon. Het wordt al snel ingewikkeld als je vragen gaat stellen als: valt je schoenmaat onder persoonsgegevens? En hoe zit het met je haarkleur?

Using AWT for GDPR compliance-1

 

Persoonsgegevens kunnen van alles zijn en het is soms onduidelijk wat wel en niet als persoonsgegevens wordt beschouwd. Bijna iedereen in je bedrijf heeft echter dagelijks te maken met persoonsgegevens, het is dus belangrijk dat ze begrijpen wat het betekent.
We zullen hier kort uitleggen wat persoonsgegevens zijn. Je kunt er veel meer over lezen in enkele van onze andere blogposts.

De AVG definieert persoonsgegevens als:

informatie die betrekking heeft op een geïdentificeerd of identificeerbaar individu

Met andere woorden: als bepaalde informatie over een specifieke persoon gaat of naar een specifieke persoon leidt, dan worden deze informatie beschouwd als persoonsgegevens. 

Zoals je ziet vallen er een heleboel zaken onder persoon  Zelfs de schoenmaat en de haarkleur kunnen eronder vallen. Ik weet zeker dat je nog veel meer voorbeelden kunt bedenken die hier niet zijn opgenomen.

Het is belangrijk om op te merken dat persoonsgegevens niet alleen betrekking hebben op tekst. Een audio-opname, een foto of een video met identificeerbare informatie valt ook onder persoonsgegevens.

Meer lezen: Foto’s en video’s online plaatsen

 

Niet alle persoonsgegevens zijn gelijk: gewone versus bijzondere persoonsgegevens

De verwarring is daarmee helaas nog niet weggenomen. Persoonsgegevens kunnen verder worden onderverdeeld in twee categorieën, afhankelijk van hoe gevoelig de informatie is. Het is belangrijk dat jouw team gevoelige persoonsgegevens kan herkennen omdat er strengere regels gelden voor de omgang met deze gegevens. Dat komt omdat een inbreuk op dergelijke gevoelige gegevens aanzienlijke gevolgen kan hebben voor de betrokkenen. Het kan bijvoorbeeld leiden tot discriminatie, bedreiging of lichamelijk letsel.

Gewone persoonsgegevens

Voorbeelden:

    • Naam
    • Geslacht
    • Adres
    • E-mail

Hiervoor is niet per se toestemming nodig, maar je moet er wel zorgvuldig mee omgaan en je gezond verstand gebruiken.

Bijzondere categorieën van persoonsgegevens

Voorbeelden:

    • Politieke overtuiging
    • Religieuze overtuiging
    • Etnische achtergrond
    • Gezondheidsgerelateerde informatie
    • Sexuele relaties
    • Vakbondslidmaatschap

Dit zijn gevoelige persoonsgegevens en voor de verwerking ervan is speciale aandacht vereist – en vaak ook toestemming.

poster-persondata-NL

 

Een  goede manier om te onthouden hoe je met persoonsgegevens moet omgaan, is door ze te beschouwen als iets wat je leent van een vriend, zoals op de poster hiernaast is afgebeeld. Je kunt deze en andere posters hier downloaden.

Nu weet je wat persoonsgegevens zijn. Je weet ook dat het belangrijk is om zorgvuldig om te gaan met persoonsgegevens. De hamvraag is natuurlijk: weet iedereen in het bedrijf dat ook? En zo ja, weten ze dan ook hoe ze ermee om moeten gaan?

Het is inderdaad zeer belangrijk dat deze kennis niet alleen op de IT-afdeling aanwezig is, maar dat alle medewerkers van de organisatie zich ervan bewust zijn en weten hoe ze daarnaar moeten handelen. Zoals we al eerder hebben gezegd, kan het echter moeilijk zijn voor het personeel om op eigen houtje de dataregelgeving bij te houden.

Laten we, om het belang hiervan te illustreren, eens kijken naar wat er kan gebeuren wanneer men de praktijken voor een veilige omgang met gegevens niet goed kent.

De meeste beveiligingsinbreuken zijn te wijten aan menselijke fouten, maar het hoeft niet zo te zijn

Een beveiligingsinbreuk betekent over het algemeen dat sommige of alle persoonsgegevens die binnen de organisatie worden verwerkt, per ongeluk of met kwade bedoelingen, buiten de organisatie terechtkomen.

Wanneer mensen denken aan beveiligingsinbreuken, denken ze aan kwaadwillende, professionele hackers die de IT-systemen van een organisatie aanvallen en gegevens stelen.

Vaak zijn beveiligingsinbreuken echter het gevolg van een menselijke fout. Dit probleem heeft twee kanten. De ene kant is dat mensen fouten maken of nonchalant omgaan met gegevens omdat ze niet weten hoe belangrijk het is om zorgvuldig met gegevens om te gaan. Bijvoorbeeld:

  • Een e-mail wordt naar de verkeerde persoon gestuurd
  • Gegevens worden aan onbevoegden getoond
  • Gegevens worden zonder toezicht achtergelaten
  • Er wordt onjuist of onterecht toegang verleend
  • Gegevens worden verkeerd opgeslagen
  • Een apparaat wordt gestolen of met anderen gedeeld
  • Documenten met informatie worden verkeerd afgedrukt en/of mogelijk vergeten
  •  

Aan de andere kant betekent het feit dat mensen niet alert zijn, dat de meeste hack-aanvallen zich net op mensen richten in plaats van op IT-systemen. Ze lopen dus meer kans om ten prooi te vallen aan social engineering-aanvallen, zoals phishing-e-mails, die kunnen leiden tot een data-inbreuk.

Natuurlijk blijft technische cyberbeveiliging een essentiële rol spelen in de beveiliging van je organisatie. Verschillende technische hulpmiddelen kunnen worden gebruikt om het risico op beveiligingsincidenten te beperken, zoals:

NewImage3

Maar hoewel technische hulpmiddelen er wel in slagen om zeer complex te zijn, zijn ze niet 100% effectief om alle bedreigingen tegen te gaan. Ze vormen slechts de helft van de strijd en kunnen niet bijdragen aan de verbetering van:

  • Personeelsgedrag: bijvoorbeeld: een firewall kan niet verhinderen dat je team onjuiste/onterechte toegang verleent.

  • Onduidelijke processen als het gaat om de omgang met persoonsgegevens.

  • Gebrek aan kennis over cybersecurity.

Dit zijn dingen die alleen je medewerkers zelf kunnen oplossen en voorkomen. En gelukkig kunnen alle medewerkers dat met de juiste hulpmiddelen en training gemakkelijk aan.

De sterkste verdediging tegen beveiligingsincidenten is een algehele bewustwording bij alle medewerkers in combinatie met duidelijke processen ten aanzien van de omgang met gegevens. Simpel gezegd: alle medewerkers moeten het ‘hoe en wat’ goed begrijpen als het gaat om de AVG en persoonsgegevens.

Awareness training: van je team je sterkste verdediging maken

Awareness training is een van de instrumenten die jouw organisatie kan gebruiken om de kennis van je team over cybersecurity en de zorgvuldige omgang met gegevens aanzienlijk te verbeteren.

Het moet ook aan de AVG voldoen:

  • Artikel 39 vereist dat jouw functionaris voor gegevensbescherming bewustmakingstrainingen geeft aan personeel dat betrokken is bij gegevensverwerking

  • Artikel 43 vereist dat medewerkers die permanent of regelmatig toegang hebben tot persoonsgegevens een opleiding over gegevensbescherming krijgen

Zoals we eerder in deze blogpost hebben beschreven, kunnen persoonsgegevens ingewikkeld zijn. Je kunt niet verwachten dat alle medewerkers AVG-specialisten zijn. Daarom kan een awareness training die je team regelmatig voorziet van duidelijke, eenvoudige en praktische uitleg en voorbeelden over het veilig omgaan met persoonsgegevens, een grote bijdrage leveren aan het verbeteren van het personeelsgedrag.

Wanneer mensen zich bewust zijn van het gevaar dat cybercriminelen vormen, is de kans groter dat ze phishingaanvallen herkennen en tegelijkertijd is de kans kleiner dat ze andere fouten maken, zoals het onjuist opslaan van gegevens.

Naast bewustwording over cybersecurity en het belang van een zorgvuldige omgang met gegevens, moeten medewerkers zich ook bewust zijn van de specifieke processen en verantwoordelijkheden op het gebied van informatiebeveiliging binnen jouw organisatie. Simpel gezegd is het de taak van de IT-afdeling en het managementteam om duidelijke processen op te zetten die het personeel kan volgen en om mensen aan te stellen die als centraal adviespunt kunnen fungeren met betrekking tot alles wat met de AVG en informatiebeveiliging te maken heeft.

 

De organisatie moet zorgen voor:
  • Duidelijke gegevensverwerkingsprocessen zodat medewerkers altijd kunnen handelen met het oog op informatiebeveiliging.
  • Een verantwoordelijke voor de AVG en informatiebeveiliging die het personeel kan helpen en die bij beveiligingsincidenten als centraal aanspreekpunt kan fungeren.
Medewerkers moeten zich bewust zijn van:
  • Cybersecurity en de gevaren van IT-criminelen.
  • De gegevensverwerkingsprocessen binnen de organisatie en de AVG.
  • De noodzaak om potentiële beveiligingsincidenten altijd te melden en om bij twijfels of vermoedens hulp te vragen aan de AVG-verantwoordelijke.

Awareness training helpt je voldoen aan de AVG en andere cyberbeveiligingscertificeringen

Naleving van de AVG staat bij de meeste organisaties hoog in het vaandel en er zijn verschillende kaders die organisaties gebruiken om hen te helpen de naleving van de AVG te handhaven en te documenteren. Sommige zijn bijvoorbeeld branchespecifiek en andere zijn landspecifiek. Niet alle cyberbeveiligingskaders zorgen voor naleving van de AVG, maar sommige vereisten van de kaders overlappen met de AVG en veel kaders vereisen Awareness Training.

Hieronder zie je enkele van de aanvullende cyberbeveiligingskaders die organisaties gebruiken bij hun AVG-werk en hoe bewustmakingstrainingen in elk daarvan passen.

 

Kader: ISO 27701
Beschrijving Een uitbreiding van ISO 27001, een internationale standaard voor informatiebeveiligingspraktijken. ISO 27701 heeft aanvullende vereisten met betrekking tot persoonlijke gegevens die zorgen voor naleving van de AVG
Awareness Training Vereiste Clausule 7.2.2 vereist dat alle werknemers van het bedrijf en noodzakelijke aannemers bewustmakingseducatie en training krijgen
Kader: ISAE 3000 GDPR
Beschrijving Een specifieke versie van de ISAE 3000 die AVG-vereisten bevat. Afhankelijk van de hoeveelheid persoonsgegevens die jouw organisatie verwerkt, voldoe je aan ISAE 3000 Hoog (voor hoge niveaus van persoonsgegevens) of ISAE 3000 Laag (voor lage niveaus van persoonsgegevens)
Awareness Training Vereiste Vereist relevante opleiding van personeel
Kader: CIS (Center for Internet Security Critical Security Controls)
Beschrijving Richtlijnen voor best practices omtrent computerbeveiliging met een lijst van acties die organisaties moeten ondernemen om aanvallen te voorkomen
Awareness Training Vereiste Control 14 vereist dat er een beveiligingsbewustzijnsprogramma wordt gemaakt en onderhouden
Kader: ISO 27001 en 27002
Beschrijving Internationale norm met best practice richtlijnen voor managementsystemen voor informatiebeveiliging
Awareness Training Vereiste Clausule 7.2.2 vereist dat alle werknemers van het bedrijf en noodzakelijke aannemers bewustmakingseducatie en training krijgen
Kader: NIST
Beschrijving Op de VS gebaseerd raamwerk met informatiebeveiligingsrichtlijnen waaraan organisaties die zaken doen met de Amerikaanse federale overheid moeten voldoen
Awareness Training Vereiste Om hieraan te voldoen moeten de managers, systeembeheerders en systeemgebruikers van een organisatie zich bewust zijn van beveiligingsrisico's. Awareness trainingen moeten betrekking hebben op het herkennen en rapporteren van bedreigingen
Kader: CMMC
Beschrijving Vervangt binnenkort NIST in de VS. Gebruikt door entiteiten die zaken doen met de Amerikaanse overheid
Awareness Training Vereiste Er zijn verschillende niveaus voor naleving. Niveau 2 en hoger, geeft een minimale intermediaire cyberhygiëne aan en vereist Awareness Training
Kader: ISRS 4400
Beschrijving Vergelijkbaar met ISAE 3000, maar de ISRS 4000 is alleen gebaseerd op de criteria die de auditor moet verifiëren
Awareness Training Vereiste Vergelijkbaar met ISAE 3000, maar de ISRS 4000 is alleen gebaseerd op de criteria die de auditor moet verifiëren

Awareness training kan op verschillende manieren worden geïmplementeerd

Aan de slag gaan met Awareness Training is makkelijker dan je zou denken. Het komt allemaal neer op het geven van kennis over persoonlijke gegevens en cybersecurity aan mensen op een manier die ze gemakkelijk kunnen begrijpen en onthouden.

Daarom is het een goed idee om deze kennis op meerdere manieren en via meerdere kanalen over te dragen, om echt iedereen bewust te maken van cybersecurity.

Je kunt bijvoorbeeld verschillende vormen van e-learning en klassikaal leren combineren. E-learning om een zekere continuïteit te bereiken en medewerkers te stimuleren om in hun eigen tempo te leren. Klassikaal leren om ideeën uit te wisselen en kennis in de praktijk te brengen. Hoe je deze twee vormen van leren optimaal combineert, lees je hier.

Er zijn echter nog veel meer mogelijkheden om een goede bewustwordingstraining te organiseren. Je kunt behoorlijk creatief te werk gaan als je wilt, bijvoorbeeld met het gebruik van gamification-elementen. Hieronder geven we een aantal voorbeelden van verschillende formats van Awareness Training:

E-learning: Korte online leermodules bestaande uit video’s, tekst, quizzen en meer.

Klassikaal leren: Langere sessies verzorgd door een instructeur. Dit kan de discussie stimuleren of aanleiding geven tot het uitnodigen van een deskundige.

Simulaties: Phishing en andere cybersecurity-simulaties geven mensen de mogelijkheid om hun kennis te toe te passen tijdens realistische beveiligingsincidenten.

Workshops: Bijvoorbeeld een workshop waarbij medewerkers in de schoenen kunnen treden van een cybercrimineel om te begrijpen hoe een cybercrimineel denkt.

Gratis online materiaal: Online zijn er veel studiebronnen en ander materiaal gratis beschikbaar. Dit varieert van YouTube-video’s, over overheidscampagnes, tot posters en diagrammen die je op kantoor kunt ophangen.

Zowel in Nederland als in België biedt de overheid heel wat info en materiaal aan. Zo zijn er bijvoorbeeld campagnemateriaal en tips op Alert Online en Safeonweb,webinars van het CCB (het Belgische cybersecurity agentschap), awareness tools van de Cyber Security Coalition en informatie en advies van het Digital Trust Centre.

Ook international vind je o.a. dit gratis materiaal van ENISA, het Europees Agentschap voor netwerk- en informatiebeveiliging. Of deze gratis videoserie van NCSA, de United States National Cyber Security Alliance.

Groepsactiviteiten & spellen: Dit kan verschillende vormen aannemen, bijvoorbeeld een escape room of een Cluedo-achtig scenario waarbij het team moet uitzoeken hoe en door wie het bedrijf is geïnfiltreerd.

Er zijn nog veel meer mogelijkheden om awareness trainingen te organiseren. Je kunt de vorm kiezen die het beste bij je organisatie en behoeften past, zolang je er maar voor zorgt dat het een toegevoegde waarde heeft voor je team. Een goede awareness training is een training die door de medewerkers niet als een last wordt ervaren, maar juist als iets waar ze misschien zelfs naar uitkijken.

Een geslaagde toepassing van awareness trainingstechnieken zorgt voor medewerkers die intuïtief weten wat ze moeten doen in hun dagelijkse werkzaamheden om te voldoen aan de AVG. Ook draagt het bij aan een betere algemene cybersecurity binnen de organisatie. Bewuste medewerkers kunnen uiteindelijk misschien wel je sterkste cyberverdediging worden! Meer over het meten van het effect van je Awareness Training lees je hier.