Blog

Consignium @ dcypher symposium 2019
By in ,

Consignium @ dcypher symposium 2019

dcypher symposium 2019

Op donderdag 3 december 2019 vond het tweejaarlijkse symposium van dcypher plaats,  een symposium met ruim driehonderd deelnemers en inspirerende sessies en demo’s. Een plek waar onderwijs en onderzoek op het gebied van cybersecurity samen komen. Het symposium is georganiseerd door dcypher in nauwe samenwerking met diverse organisaties waaronder de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), het Nationaal Cyber Security Centrum (NCSC) en het Dutch Institue for Vulnerability Disclosure. Consignium was aanwezig en luisterde aandachtig naar de actuele ontwikkeldingen en ervaringen.  

dcypher

Voor diegene onder ons die niet bekend zijn met dcypher een korte introductie. Allereerst de naam: er is bewust gekozen voor een naam welke wordt geschreven zonder hoofdletters. De horizontale lijn in het beeldmerk symboliseert de platform gedachte, en benadrukt dat het om de cybersecuritygemeenschap gaat.

 Nederland is namelijk een land dat, op het terrein van cybersecurity, zeer actief is en goed academisch werk levert. Met de wetenschap en hoger onderwijs zorgen we ervoor dat de (academisch) verkregen kennis positief bijdraagt aan het innovatieve vermogen van de publieke- en private sector. Dit is dan ook de visie van dcypher, een organisatie die ervoor zorgt dat onderzoekers, hackers, docenten, studenten, producenten, gebruikers en beleidsmakers in Nederland de kennis en kunde over cyberveiligheid verbeteren. Het Ministerie van Justitie en Veiligheid, Economische Zaken, Defensie, Onderwijs, Cultuur en Wetenschap participeren tevens actief in dcypher.

NWO Programma Cybersecurity – Digital Security & Privacy

Het tweejaarlijkse symposium was een succes. NWO – voorzitter Stan Gielen maakte in zijn openingsspeech bekend dat 10 projecten financiering zouden ontvangen uit het NWO programma Cybersecurity – Digital Security & Privacy. Met deze financiering zullen de onderzoekers de komende 4 jaar aan de slag gaan met onderzoek naar o.a. onderwerpen zoals het veilig delen van data en encryptie.

Het NWO heeft meerdere soorten financieringsinstrumenten waarmee ze wetenschappelijk onderzoek van Nederlandse universiteiten en onderzoeksinstituten kan financieren. Eerder dit jaar vroeg de NWO onderzoekers een voorstel voor onderzoek in te dienen welke zal bijdragen aan de kennis op het gebied van cybersecurity, maar daarnaast ook op relatief korte termijn toepasbaar zijn bij maatschappelijke en private partners. De uitkomst hiervan is gepresenteerd tijdens dcypher.

Challenge the Cyber en European Cyber Security Challenge (ECSC)

dcypher heeft samen met het Nationaal Cyber Security Centrum (NCSC) een ‘capture the flag’ event georganiseerd: Challenge the Cyber. Studenten van Nederlandse onderwijsinistellingen konden het op 7 september 2019 tegen elkaar op nemen om 3 opgaven te kraken uit 5 categorieën: web, crypto, server, netwerk en osint). Dagvoorzitter Chris van ’t Hof stelde het team dat mee heeft gedaan verschillende vragen over hun deelname. Ze vertelden dat het erg belangrijk was dat de teamleden over zowel de ‘technical skills’ als de ‘social skills’ beschikten, daarin blonken ze namelijk uit ten opzichte van de andere Europese teams tijdens the European Cyber Security Challenge.

Kwetsbaarheden in hardware

Na de presentatie van de studenten nam Herbert Bos van de Vrije Universiteit het woord over kwetsbaarheden in hardware. Hij nam ons mee in zijn verhaal waarbij hij toelichtte hoe het wetenschappelijk onderzoek verliep en de wijze waarop de frustratie meermaals aanwezig was. Herbert Bos ontdekte samen met zijn team (de Systeem- en netwerkbeveiligingsgroep) een lek in chips van Intel, maar het gevoel voor urgentie was (en is nog steeds) afwezig bij Intel. Eerder dit jaar werd al bekend gemaakt dat er een ernstige kwetsbaarheid aanwezig is in de Intel-chips, waarmee het mogelijk is om details uit te lezen die door de processors verwerkt worden zoals wachtwoorden. Deze kwetsbaarheden zijn nog steeds niet gedicht, wat duidelijk laat zien dat het samenspel tussen wetenschappelijk onderzoek en maatschappelijke relevantie tot onmogelijke situaties en verzoeken kan leiden van grote bedrijven. Intel zou op enig moment namelijk een verzoek hebben ingediend tot het niet publiceren van deze kwetsbaarheden.

Meer Europese samenwerking

Namens het Code Institut Munchen was Gabi Dreo Rodosek aan het woord, en ze hield een pleidooi voor meer Europese samenwerking. Europa wordt op dit moment namelijk als ‘hamburger’ tussen de Verenigde Staten van Amerika en China ‘gesandwitcht’. In de top 15 bedrijven vinden we op dit moment alleen maar Amerikaanse en Chinese bedrijven, welke ook nog eens alle ‘unicorns’ (startups met een waarde van 1 miljard of meer) opkopen en/of overnemen. Hier moet volgens Gabi Dreo Rodosek iets veranderen, we hebben een Europese ‘IT-boeing’ nodig: een Cyber Airbus! Ze pleit voor een Ecosysteem waarin bedrijven, overheden en het onderzoekers participeren. Hiermee voorkomen we dat we straks enkel in een museum Europese ICT uitvindingen kunnen bekijken.

Parallelsessies

Na de plenaire sessies was het tijd voor de verschillende parallelsessies. Een ervan ging over het melden van gevonden kwetsbaarheden en de oprichting van DIVD (Dutch Institute for Vulnerability Disclosure). Op dit moment zijn er al security researchers actief welke vrijwillig werken aan het beschermen van de systemen. Dit doen zij door zwakke plekken te zoeken in systemen en deze te melden bij de desbetreffende partijen. Daar waar de responsietijd in 1998 31 dagen was, zitten we op dit moment op 5 dagen. Het gaat hierbij om de tijd die een organisatie neemt om een reactie te sturen als antwoord op de melding.

Secure Multi-Party Computation and Data Sharing

Tijdens deze sessie stond de vraag centraal hoe organisaties informatie veilig kunnen delen zonder onderliggende gevoelige gegevens prijs te geven. Voorkomen moet worden dat privacywetgeving in het geding komt, maar ook de commerciële gevoeligheid kan op het spel komen te staan. Door gegevens veilig te combineren en te ordenen kunnen organisaties efficiënter en effectiever worden, waarmee partijen ook geld kunnen besparen. Hierdoor wordt het mogelijk om risico’s beter te managen in bijvoorbeeld de gezondheidszorg, maar ook financieel-economische misdaden beter te traceren. Als oplossing zijn IT oplossingen gepresenteerd welke een antwoord zouden kunnen zijn op deze uitdagingen. Een ervan is de Secure Multi-Party Computation (MPC), een toolbox met cryptografische technieken waarmee partijen gezamenlijk gegevens kunnen analyseren, alsof ze een gezamenlijke database hebben. De gevoelige gegevens blijven echter veilig want alleen de output of de analyse wordt gepresenteerd. De MPC techniek is gebruikt tijdens een onderzoeksproject tussen de ABN AMRO, ING en Rabobank samen met TNO met positieve resultaten.

Afsluitende paneldiscussie

Tijdens de afsluitende paneldiscussie stond de Europese digitale soevereiniteit centraal. Het moet mogelijk worden voor burgers om vrije keuzes te maken en op een redelijke manier tot die keuze te komen zonder dat zij of hun gegevens bedreigd worden. Maar hiervoor is wel een cultuuromslag nodig. Anders wordt het lastig om een Europees alternatief voor de Amerikaanse of Chinese technologie te kiezen. Er was een mooie discussie ontstaan waarbij ook de zaal op diverse momenten applaudisseerde. Consignium kijkt terug op een leerzame dag tijdens het dcypher symposium 2019 en zal de ontwikkelingen blijven volgen.

Meer informatie is terug te lezen op de website van dcypher. Alle presentaties zijn te bekijken via deze link.

Foto: Sjoerd van der Hught (link)

Wetgevingskalender [download]
By in ,

Wetgevingskalender [download]

Ons doel is een tevreden klant. Door op tijd in te spelen op de actualiteiten en tijdig te informeren houden wij onze klanten blij. Communication is key! Wilt u weten wat de stand van zaken is op het gebied van nieuwe wetgeving? Bekijk dan de wetgevingskalender welke wij beschikbaar stellen voor alle geïnteresseerden. Klik hier

De wetgevingskalender is een instrument welke wij actief gebruiken om geïnformeerd te blijven. Wij hebben geprobeerd de inhoud op een inzichtelijke manier weer te geven. Waarom zouden we deze informatie niet met onze lezers van de website delen? Onze wetgevingskalender, nu vrij downloadbaar.

In de wetgevingskalender leest u een opsomming van de recente wetgeving en de fase waarin deze zich bevindt. Onderverdeeld in de volgende categorieën:

  • Witwassen & terrorisme
  • Privacy
  • Consumenten
  • Kapitaalmarkten & ondernemingen
  • Internationale regelgeving & ontwikkelingen 
Wilt u weten in hoeverre de wetgeving impact heeft op uw organisatie? Neem dan contact op voor een vrijblijvend gesprek. We drinken graag een kop koffie met u. 

Liever een hardcopy ontvangen? Stuur ons een e-mail via info@consignium.nl en wij zorgen dat u een mooie grote versie krijgt welke u kunt ophangen op kantoor. Vergeet u zich niet te abonneren op onze nieuwsbrief? Zo weet u als eerste wanneer de geüpdate versie van de kalender online staat.

[Review] Dag van de Privacy Officer 6 & 7 juni 2019
By in ,

[Review] Dag van de Privacy Officer 6 & 7 juni 2019

Afgelopen maand was het weer zo ver. Consignium sloot met Riskworld aan bij de Dag van Privacy Officer om samen met andere professionals in Privacy en Dataprotectie alle actualiteiten van het afgelopen jaar de revue te laten passeren. Na eerdere succesvolle edities kwam IIR, experts in conferenties en trainingen, ook voor 6 en 7 juni met een veelbelovend programma: het bieden van een platform rond de inrichting, uitvoering en ontwikkeling van de DPO/FG-functie. Onder meer de rol die de DPO/FG aanneemt en welke invulling daar aan gegeven moet worden stonden centraal. Simon Hania, DPO bij Uber, presenteerde in klare taal wat men zou moeten verwachten van een DPO, maar vooral ook wat niet verwacht moet worden. Belangrijke partijen waren vertegenwoordigd op dit informatieve event, o.a. professionals van de NS, Lidl, de Kamer van Koophandel en KPN, waarbij veel actuele inzichten en belangrijke informatie is verschaft.

Donderdag 6 juni stond in het teken van de actualiteiten van het afgelopen jaar op het gebied van dataprotectie, waarbij met name gekeken werd naar de inrichting en uitvoering van de rol van DPO/FG en de invloed die uitgeoefend moet worden. Maar ook wat de ethische dillema’s voor de DPO/FD zijn als het aankomt op AI bijvoorbeeld. De tweede dag van event was meer op de praktijk gericht. Een mooie combinatie, volgens Riskworld. Als FG heb je een solistische rol in de organisatie. Op veel plekken zijn praktijken aan het ontstaan en als je alleen in je eigen organisatie blijft kijken zie je die niet. Het is daarom belangrijk om samen te komen tijdens een event als de Dag van de Privacy Officer. Een congres brengt mensen samen, wat waardevol is in zowel de gedragenheid van de regelgeving als de

Één jaar later

Tijdens een van de eerste events van IIR bespraken we de op dat moment ‘nieuwe’ AVG, vervolgens werd een bijeenkomst georganiseerd waarbij is ingegaan op de implementatie tijdens het actualiteitencongres. Een jaar na de inwerkingtreding van de AVG is intern veel werk verricht. De vraag is echter – hoe professionaliseren we het, bouwen we het verder uit en houden we vast aan dat wat is neergezet?

Op hoofdlijnen is het noodzakelijk om een aantal van de processen die zijn neergezet op een goede manier te operationaliseren, bijvoorbeeld door het gebruik van slimme tools. Het doel is om de grootste risico’s klein te houden en daarmee het proces binnen de organisatie verbeteren.

Compliance doorlopend monitoren 

Geconcludeerd kan worden dat organisaties meer volwassenheid moeten tonen als het gaat om dataprotectie. Daar waar het afgelopen jaar binnen organisaties de nadruk lag op de herstelmaatregelen die genomen moeten worden om in lijn met de AVG te handelen, is het de komende periode belangrijk om meer verantwoordelijkheid te nemen voor de privacy en bescherming van persoonsgegevens. De Autoriteit Persoonsgegevens (AP) heeft aangegeven actiever te zullen optreden, zo vertelt Friederike van der Jagt tijdens haar presentatie.

Rol DPO helder?

Simon Hania, de Data Protection Officer bij Uber heeft in zijn presentatie benadrukt dat het belangrijk is voor DPO/FG’s te weten welke taken wel, en welke niet tot hun rol behoren. In de eerste plaats zal de FG optreden als gids, iemand die de wet- en regelgeving weet uit te leggen aan zijn organisatie. Daarnaast zal de FG ook als interne toezichthouder moeten fungeren, een toeziend oog op de naleving van de wet. Als de rol van de FG duidelijk is, kan sneller geschakeld worden met experts van andere specialismen. Aandachtig luistert het publiek naar Simon die tot slot benadrukt dat de FG/DPO geen oordelen mag en kan vellen over de verwerking van persoonsgegevens en daarmee ook geen verantwoordelijkheid kan nemen voor de uitvoering van het privacybeleid binnen de organisatie. Het risico bestaat dat de Data Protection Officer beslissingen gaat nemen en daarmee een verkapte goedkeuring geeft voor een bepaalde verwerking. Dat is juist iets wat we niet moeten willen, omdat daarmee de onafhankelijkheid niet langer geborgd kan worden. De DPO moeten ten alle tijden aan kunnen geven wanneer verwerkingen en handelingen niet volgens de regels verlopen. Ook de CPO en FG van ABN Amro bekrachtigt dit en geeft aan dat je als DPO/FG je niet gek mag laten maken door de waan van de dag. Vraag je af of de taken en verantwoordelijkheden goed zijn afgebakend zodat je voldoende onafhankelijk kan werken?

Samenwerking

Om compliant te kunnen zijn aan de AVG/GDPR is het noodzakelijk dat de collega’s, afdelingen en lagen binnen een organisatie goed met elkaar kunnen samenwerken. Als iedereen goed op de hoogte is van de laatste ontwikkelingen, het beste ervan maakt en zorgvuldig om gaat met persoonsgegevens dan weet je dat op een professionele manier invulling is gegevens aan het thema. De DPO neemt hier de belangrijkste rol in door te zorgen dat de organisatie zich bewust is van de risico’s die gepaard gaan met de verwerking van persoonsgegevens. Daarnaast is het zo dat de DPO een brede blik moet hebben en verder moet kijken dan het (privacy) recht, andere rechtsgebieden kunnen namelijk net zo relevant zijn voor de werkzaamheden van de FG. Het is onvoldoende om alleen vanuit een juridisch oogpunt te handelen, omdat je ook moet weten hoe datastromen lopen en organisatieprocessen in elkaar steken.

Al met al een zeer verhelderende donderdag in Amsterdam. Interessant om op zo’n event bijgepraat te worden door professionals over de actualiteiten van het afgelopen jaar. Voor de vrijdag stonden een vijftal workshopsessies op de agenda.

Praktijkdag To Stay Compliant

Op vrijdag 7 juni was het tijd voor de praktijkdag. Het is namelijk één ding om het GDPR/AVG programma binnen de organisatie op te zetten, maar een iets anders om in control te komen en blijvend te kunnen voldoen aan de privacywetgeving.

Focus

De eerste workshopsessie had als thema ‘AVG Governance’ waar dieper werd in gegaan op de wijze waarop een governance structuur georganiseerd kan worden en welke middelen daarvoor gebruikt kunnen worden. Draagvlak creëren en de focus leggen op de ‘benefits’ is hierbij belangrijk. Wanneer privacy als ‘unique selling point’ ingezet wordt kan voordeel worden behaald, net als wanneer privacy wordt ingebed in bestaande processen in plaats van het opvoeren van nieuwe processen

Lessons learned

  • “iets beters is een bedreiging van iets goeds”
  • “te veel enthousiasme kan ook remmend werken”
  • “communicatie is belangrijk”

DPO als influencer 

Tijdens de tweede workshopsessie stond het belang van zichtbaarheid op de vloer centraal. Het is van groot belang dat de DPO een operationele rol aanneemt, waarbij hij als strategisch beleidsbepaler te werk gaat – men zou kunnen zeggen dat de DPO een influencer is. De rol omvat namelijk niet alleen maar Legal/Compliance activiteiten, op alle niveaus en afdelingen moet de ‘spirit’ leven welke de DPO doorgeeft. Ook bij management.

Workshopsessies

In totaal volgden we vijftal workshopsessies met verschillende thema’s, onder meer de privacy op de werkvloer en de grondslagen ‘toestemming’ en ‘gerechtvaardigd belang’ kwamen ter sprake. Daarnaast werd de rol van DPO/FG besproken vanuit het oogpunt van digitale security. Omdat de sessies vrijwillig zijn gekozen zaten er tijdens de praktijkdag professionals aan tafel met dezelfde interesses. Dit maakt dat er hele waardevolle discussies ontstonden wat ten goede komt aan de ontwikkelingen op de werkvloer.