Wat is het Digital Trust Center?

Is je bedrijf slachtoffer geworden van een cyberaanval of vermoed je dit? Dan kan je terecht bij de HackHelpdesk voor gratis advies. Zo kan je (meer) schade voorkomen.

Om schade te beperken, is het belangrijk om snel te handelen wanneer je te maken krijgt met cybercriminaliteit. Wat je dan precies kan doen, hangt af van de cyberaanval. Raadpleeg de HackHelpdesk voor snel en gratis advies.

Probeer cybercriminaliteit zoveel mogelijk te voorkomen. Zorg ervoor dat je je basisveiligheid op orde hebt.

Defacement is het bekladden van een website, waarbij cybercriminelen de inhoud van de website ongewenst aanpassen of pagina's toevoegen. Defacement kan verschillende doelen hebben, zoals bijvoorbeeld het verspreiden van malware of het verspreiden van ideologische boodschappen.

Vaak gebeurt dit door cybercriminelen die inbreken in een contentmanagementsysteem (CMS) of een webserver. Dit doen ze door een bestaand gebruikersaccount en wachtwoord te gebruiken of door misbruik te maken van de kwetsbaarheid in een bedrijfssysteem. Kijk voor meer informatie over defacement op de website van het DTC.

Het plaatsen van een privacyverklaring is verplicht op elke website waarmee persoonsgegevens worden verzameld. Dit is vastgelegd in de 'Algemene verordening gegevensbescherming' (AVG).

Heeft jouw bedrijf een website met de mogelijkheid tot bijvoorbeeld het aanmelden voor een nieuwsbrief, het invullen van een contactformulier, het reageren op een blog, of een aankoop waarbij mensen hun persoonsgegevens invullen? Dan is je bedrijf verplicht om privacy-voorwaarden in een privacyverklaring te vermelden en deze privacyverklaring op de website te plaatsen. In de privacyverklaring vertel je aan je klanten of websitebezoekers wat je met hun persoonsgegevens doet en waarom. 

De Algemene verordening gegevensbescherming (AVG) stelt het plaatsen van een privacyverklaring op de website verplicht voor elk bedrijf dat met die website persoonsgegevens verzamelt. Deze informatieplicht geldt ongeacht de omvang of rechtsvorm van een organisatie. Het maakt niet uit of je zzp'er bent of eigenaar van een multinational.

Op veiliginternetten.nl kan je een privacyverklaring laten maken met een tool.

Bij een datalek worden persoonlijke gegevens met anderen gedeeld wanneer dat niet de bedoeling is.

Een datalek kan ontstaan als gevolg van een beveiligingsprobleem, waardoor cybercriminelen toegang krijgen tot zakelijke computerbestanden met persoonsgegevens of DDoS-aanvallen kunnen uitvoeren. Andere voorbeelden van manieren waarop persoonsgegevens onbedoeld in handen van anderen komen zijn een zakelijke e-mail die naar een verkeerd adres is verzonden, en zakelijke laptops en usb-sticks die gestolen of verloren worden. Denk daarnaast aan afgedankte zakelijke computers, smartphones en tablets die worden doorverkocht en niet schoongemaakt zijn.

Kijk voor meer informatie over een datalek en wat je kan doen in een geval van een datalek op de website van het DTC.

Je moet je bezoekers informeren over het gebruik van cookies op je website
Bijvoorbeeld wat voor cookies het zijn, waar de cookies voor worden gebruikt, of andere partijen ook toegang hebben tot de gegevens die door de cookies worden verzameld. Dit doe je bijvoorbeeld in een privacyverklaring.

Kijk voor meer informatie over het gebruik van cookies op de website van het DTC.

Zakelijk en privégebruik van eigen apparatuur heeft voordelen zoals het vergroten van de productiviteit,  tevreden werknemers en dalende hardware kosten maar brengt ook risico’s met zich mee zoals beveiligingsproblemen, verantwoordelijkheid in geval van diefstal (en daarmee verlies van data) en gevoelige privacy issues. Duidelijke afspraken verkleinen dit soort risico’s. Ook afspraken over welke apparaten zijn toegestaan en hoe ze mogen worden gebruikt, zijn aan te raden.

Kijk voor meer informatie over BYOD op de website van het Digital Trust Center.

Met het Internet of Things (IoT), 'internet der dingen' in het Nederlands, worden alle apparaten bedoeld die met internet verbonden zijn. Zogenoemde 'slimme apparaten', zoals een webcam, koelkast, smart-tv, thermostaat, printer, verlichting, auto en apparatuur voor netwerkopslag. Kortom, het gaat om apparaten naast je computer, tablet of smartphone.

Meer over het Internet of Things lees je op de website van het Digital Trust Center.

Op Doe je updates vind je meer informatie over slimme apparaten.

In de Algemene verordening gegevensbescherming (AVG) is geen concrete bewaartermijn voor persoonsgegevens opgenomen. Je bepaalt (als organisatie) zelf hoe lang je persoonsgegevens bewaart. Je kijkt hierbij naar hoe lang de gegevens nodig zijn voor het doel waarvoor je ze hebt verzameld. Heb je bijvoorbeeld iemands adres verwerkt voor de bezorging van goederen en diensten en is die persoon geen klant meer, dan is het redelijk dat je de gegevens verwijdert. Bedenk wel dat er voor andere wetten dan de AVG wél concrete bewaartermijnen zijn waar je je als ondernemer aan moet houden. Denk bijvoorbeeld aan de fiscale wetgeving die je verplicht je administratie tot 7 jaar te bewaren.

Er zijn een aantal wetten die je kunt raadplegen om te zien welke bewaartermijn op jou van toepassing is. Dit lijstje is niet uitputtend. Voor meer duidelijkheid kun je juridisch advies inwinnen.

• De Algemene wet inzake Rijksbelastingen;
• Het Burgerlijk Wetboek;
• Archiefwet;
• Onderwijswetgeving.

Een RAT is een Remote Access Tool. Hiermee kunnen cybercriminelen malware malware Malware (malicious software) is een verzamelnaam voor alle software met een opzettelijk kwaadaardige werking. Vaak wordt dit ook een virus genoemd. maken en verspreiden. Dit kan zo ver gaan dat ze de volledige controle over een systeem kunnen overnemen.

Een Remote Access/Administration Tool (RAT) is software waarmee een ICT'er vanaf één basiscomputer kan inloggen op alle geregistreerde computers en deze op afstand kan beheren. Bijvoorbeeld voor probleemoplossing, hulp op afstand en een goede werking van de computers binnen het netwerk.

Cybercriminelen kunnen een RAT gebruiken om je computer voor hackdoeleinden te gebruiken. Ze sturen de RAT als een e-mailbijlage naar je toe in de hoop dat je deze opent. De RAT installeert zich dan op je computer. Men spreekt dan van een Remote Access Trojan. Dit kan hele nadelige gevolgen hebben. 

Voer onderstaande stappen uit als je bedrijfsnetwerk met een RAT is besmet.

• Isoleer het besmette systeem door de netwerkverbinding te verbreken (verwijder de netwerkkabel en schakel de wifi-verbinding uit). Laat het systeem aan staan.
• Bel vervolgens de politie (0800-8844) om aangifte te doen.
• Waarschuw de bank en volg hun instructies op.

Je kunt op allerlei manieren persoonsgegevens van anderen binnenkrijgen via je website. Denk aan een betaal- of inlogmodule, reactiemogelijkheid bij een blog of aanmeldmogelijkheid voor een nieuwsbrief en een contactformulier. De Algemene verordening gegevensbescherming (AVG) verplicht je om deze gegevens op een veilige manier op te slaan, te verzenden en te ontvangen. Met welke techniek je dit precies doet, schrijft de wet niet voor. Een beveiligingscertificaat (SSL-certificaat) is wel een veilige mogelijkheid. Hiermee versleutel je alle gegevens van je websitebezoeker die van en naar je webserver verstuurd worden. Als een cybercrimineel de gegevens zou onderscheppen, kan hij ze in ieder geval niet lezen. Als je website een SSL-certificaat heeft, kan een websitebezoeker dit zien aan https in plaats van http in het webadres en aan het hangslotje in de adresbalk van de browser.

Een beveiligingscertificaat voor je website kun je aanvragen bij je hostingprovider. Deze kan je ook vertellen welke soorten certificaten er zijn, welke je nodig hebt en wat het kost.

Lees meer over certificaten in het factsheet van het Nationaal Cyber Security Centrum.

Je moet als bedrijf voldoen aan de meldplicht datalekken als er bijvoorbeeld een bedrijfslaptop van jezelf of een medewerker wordt gestolen waar vertrouwelijke gegevens op staan.

De volledige naam van de wet is Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp. Deze wet verplicht bedrijven en overheden om direct een melding te doen bij de Autoriteit Persoonsgegevens (AP) zodra zij een ernstig datalek hebben waarbij sprake is van vernietiging, verlies, wijziging of delen van persoonsgegevens zonder dat dat de bedoeling was. Ook moeten ook zij de betrokkenen (bijvoorbeeld de klanten of zakelijke relaties van een bedrijf) informeren over het lek.

Met deze meldplicht wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Overtreed je de wet doordat je te maken met een datalek dat onder de meldplicht valt en geen melding maakt, dan kan de AP je bedrijf een boete opleggen van maximaal 820.000 euro.

Je hoeft alleen een functionaris voor de gegevensbescherming (FG) aan te stellen als jouw organisatie een overheidsinstantie is. Dit geldt niet voor rechtbanken tijdens het uitvoeren van hun rechtsprekende taak, je op grote schaal bijzondere persoonsgegevens verwerkt en als je op grote schaal mensen volgt.

Een cyberverzekering kan het overwegen waard zijn als de kosten voor je bedrijf flink oplopen in geval van een cyberincident. Zet voor je bedrijf de risico's en kosten dus op een rij en maak daarna de keuze om wel of geen cyberverzekering af te sluiten. Het is ook aan te bevelen de polissen van de verschillende aanbieders van deze verzekering naast elkaar te leggen. Net als bij elke andere verzekering, zijn er onderlinge verschillen tussen de verschillende verzekeraars.

Lees meer over cyberverzekeringen en wat er door wordt gedekt op de website van het DTC.

Veel Nederlandse organisaties voeren een actief beleid als het gaat om Coordinated Vulnerability Disclosure (CVD), voorheen responsible disclosure genoemd. Het beleid is belangrijk om digitale kwetsbaarheid te verhelpen.

Op de website van het DTC vind je meer informatie hierover.

Je kunt zelf aan de slag gaan met de basisbeveiliging van je bedrijfsrouter(s).

Lees hier het stappenplan van het DTC.