Nieuws

Cultuurconnect heeft eind juni een datagebruikers- en SLA-overeenkomst uitgestuurd naar alle bibliotheken i.v.m. de uitrol van het EBS. Tijdens de zomermaanden hebben we jullie reeds geadviseerd om te wachten met ondertekenen. Intussen heeft Cultuurconnect naar aanleiding van onze opmerkingen een nieuw voorstel gemaakt en hebben zij ook van het Rijksregister hun machtiging ontvangen.

Vanaf 2020 willen we onze DPO-werking (nog meer) in het ritme van periodieke rondes van verbeterpunten, actie en evaluatie van het informatieveiligheidsplan krijgen. Onze DPO’s zullen daarbij telkens samen met de leden van de informatieveiligheidscellen de cadans bewaken.

In 2018 en 2019 volgenden 11 organisaties ons optimalisatietraject Fileserver. Door een combinatie van expertisedeling in groepssessies en begeleiding op maat hebben we samen hun fileservers herwerkt tot een logisch en functioneel geordend digitaal klassement. Want een functioneel geordende fileserver is vaak het meest aangewezen eerste traject om een breed informatiemanagement praktisch vorm te geven en meteen een grote stap vooruit te zetten.

De Algemene Verordening Gegevensbescherming (AVG of GDPR) verplicht elke verwerkingsverantwoordelijke om overeenkomsten af te sluiten met de verwerkers waarop hij/zij beroep doet. Dit bleek in de praktijk niet eenvoudig. Bovendien wil elke verwerker zijn eigen versie gebruiken, wat duidelijkheid en overzichtelijkheid niet ten goede komt. Daarom heeft de VVSG-werkgroep Informatieveiligheid, waar ook wij deel van uitmaken, één generiek sjabloon opgesteld voor de lokale besturen.

Enkele weken geleden stuurde Binnenlandse Zaken een brief naar alle besturen om heb er op te wijzen dat zij voldoende logging moeten maken van het consulteren van rijksregistergegevens. Deze verplichting geldt niet alleen voor het consulteren van het centrale rijksregister maar ook voor de lokale databanken.

We mailen constant en sturen allerlei bijlages door. Meestal is dat onschuldig, maar niet altijd. Hoe herken je de 'schuldige' en wat doe je er mee? Audit Vlaanderen heeft dit opgepikt met een phishing actie naar lokale besturen.

VVSG en OVSG hebben enkele weken geleden de gemeentebesturen een brief gestuurd i.v.m. de informatieveiligheid in scholen. Zij waarschuwden dat iedere onderwijsinstantie moet voldoen aan de privacywet en in de toekomst ook aan de algemene Europese verordening over de verwerking van persoonsgegevens. Dit houdt o.a. in dat ook scholen een veiligheidsconsulent moeten hebben.

We hebben vernomen dat Microsoft Exchange Online stopt met ondersteuning voor Office 2007 en Outlook 2007 eind oktober 2017. Voor de niet-technisch geschoolden onder ons betekent dit gewoon: je moet upgraden naar een hogere Office versie. Waarschijnlijk heb je deze upgrade al uitgevoerd want Microsoft kondigt al sinds 2012 aan dat ze haar ondersteuning voor Office 2007 stop zal zetten in 2017.

Gemeente Bertem heeft op 21 november via de post een oplichtingsfactuur gekregen voor een 'Office 365 Extended Cloud Package' t.w.v. € 885! De factuur stond op naam van 365officeDocs.com, met een adres in Podgorica Montenegro. De oplichters verwijzen naar een abonnement met pincode om het factuur geloofwaardig te maken.

In de andere twee nieuwsberichten ging het over de voorwaarden die de privacywet stelt voorafgaand aan de inzameling van persoonsgegevens. De bescherming van persoonsgegevens houdt echter niet op na de inzameling hiervan. Als je persoonsgegevens eenmaal in je bezit hebt, moet je aandacht blijven hebben voor de vertrouwelijkheid en de beveiliging ervan.

Informatieveiligheid gaat over het correct en veilig gebruik van gegevens, maar ook over het beheer van materiaal en gegevens die niet meer actief worden gebruikt. Wat doe je met je oud materiaal en welk veiligheidsniveau voor vernietiging kies je?

Elk bestuur moet gegevens uitwisselen met burgers, organisaties en andere overheden. Maar hoe doe je dit op een veilige manier als je de gegevens niet persoonlijk kan overhandigen? Wij beoordelen in dit eerste deel alvast verwijderbare media (usb-sticks, dvd's, ... ) en e-mail als mogelijk alternatief.

De privacywet is uitgebreid en niet altijd eenvoudig te interpreteren. Dus hoe doe je nu aan een verwerking van persoonsgegevens, geheel conform de wetgeving? We lichten alvast het begrip 'persoonsgegevens' toe en geven concrete richtlijnen en bijhorende voorbeelden waarmee je rekening moet houden. Inclusief enkele praktische tips!

De VTC heeft onlangs versie 3 van de richtsnoeren m.b.t. informatieveiligheid bij steden en gemeenten gepubliceerd. Vooral de richtlijn over gescheiden accounts bij samenwerking tussen gemeente en OCMW zorgt voor commotie.

Steenokkerzeel heeft het hele traject van gunning tot uitgerold veiligheidsbeleid en -plan in sneltreinvaart afgelegd. En dit voor gemeente en OCMW samen!

Enkele handige & veilige tips i.v.m. het forwarden van e-mails en het gebruik van gemeenschappelijke computers.

De vorige keer hebben we toegelicht wat de beveiligingsvereisten zijn bij gebruik van verwijderbare media en e-mail als middel om persoonsgegevens digitaal te verwerken. Deze keer staan we stil bij enkele andere media, nl. websites, documentmanagementsystemen en server-to-server communicatie.

Na de inhoudelijke bepalingen van de privacywet focussen we nu op het verkrijgen van toestemming om mensen te contacteren en de verschillende soorten toestemming. Ook dat is niet zo evident.

Eigenlijk is de eerste vraag: wat is e-mail beveiligen? Wij focussen op 3 standaarden die jou als bestuur op het juiste pad sturen om spam- en phishing-mails terug te dringen.

We kunnen er maar niet genoeg op hameren, maar een wachtwoord is belangrijk! Het is de 'virtuele' sleutel tot jouw persoonlijke informatie of informatie van jouw organisatie. Ondertussen bevinden zich reeds veel wachtwoorden in lijsten waar hackers gebruik van kunnen maken. De laatste maanden wordt vastgesteld dat er enorm veel misbruik wordt gemaakt van deze lijsten voor tal van programma’s en sociale media platformen. Zo werd recent ook de Twitter account van Marck Zuckerberg overgenomen.

TeamViewer, de software die het mogelijk maakt om systeembeheer te doen vanop afstand (d.m.v. schermovername), wordt door hackers ingezet om zich toegang te verschaffen tot jouw systeem. Door als eindgebruiker, als bestuur of leverancier, zwakke wachtwoorden of dezelfde wachtwoorden voor verschillende accounts te gebruiken, kunnen hackers deze accounts gebruiken om fraude te plegen of jou tot het betalen van een dwangsom aan te zetten (chantage). Wat kan je doen om dit te voorkomen?

Enkele lokale besturen zijn het slachtoffer geweest van een hevige virusaanval. Het virus wordt verspreid via e-mail (in bijlage of door het klikken op een link in de mail) en zorgt ervoor dat alle bestanden op jouw computer, maar ook op het bedrijfsnetwerk onleesbaar worden gemaakt (mogelijks zelfs ook de back-up bestanden). De aanvallende partij vraagt vervolgens losgeld te betalen zodat je de bestanden 'terugkrijgt'. Dit soort virus noemt een cryptolocker (behoort tot de categorie Ransomware.

Er is een nieuwe kwetsbaarheid in websites aan het licht gekomen waardoor hackers de beveiliging van deze webdiensten – initieel beveiligd met htpps – kunnen omzeilen en zo toch het verkeer onderscheppen én lezen.