NHL Stenden Data Care Centre – Pagina 2 – Learn how to handle your data with care

Have I been hacked?

These days any organisation can fall victim to hacking attempts. Whether it’s the government, LinkedIn, or another big name. While major hacks are still reported by the news, many smaller attempts go unreported. In the meantime, personal data of hundreds of millions of people are in the hands of – yeah, of whom, really? Fortunately, there is a simple way to find out whether your login data have ever been hacked.

Haveibeenpwned.com
The website Haveibeenpwned.com maintains an overview of the internet services that have been hacked, along with the stolen login data. Enter your mail address(es) or username(s), and you get an immediate overview of the organisations that were hacked and whether your account was active at the time.

Change your password
Do you have an account with an organisation that was hacked? Be smart and change your password. Have you used the same password for multiple accounts? Don’t ever do that again! You must change the passwords of the respective accounts as well.

Don’t forget to change your security questions.

Ben ik gehackt?

De ene na de andere organisatie wordt tegenwoordig gehackt. Als het de overheid niet is, dan wel LinkedIn of andere grote namen. Bij omvangrijke hacks komt dit nog wel eens in het nieuws. Maar vaak al niet eens meer. Ondertussen belanden persoonsgegevens van honderden miljoenen mensen in de handen van − ja van wie eigenlijk? Gelukkig is er een eenvoudige manier om te ontdekken of jouw inloggegevens ooit zijn gehackt.

Haveibeenpwned.com
Haveibeenpwned.com is een website die bijhoudt welke internetdiensten zijn gehackt, compleet met de ontvreemde inloggegevens. Vul hier jouw mailadres(sen) of username(s) in. Je ziet dan meteen welke organisaties er gehackt zijn en of jouw account toen actief was.

Wijzig je wachtwoord
Zijn er organisaties gehackt waar jij accounts hebt? Wees dan verstandig en wijzig je wachtwoord. Heb jij ditzelfde wachtwoord gebruikt voor meerdere accounts? Doe dit nooit meer! Wijzig ook je wachtwoorden van de desbetreffende accounts.

Vergeet niet om ook je veiligheidsvragen aan te passen
Je veranderde wachtwoord is het nieuwe slot op de deur van je account. Maar vergeet nooit om je extra veiligheidsvragen aan te passen. Weet je niet hoe dit moet? Vaak wordt in de help aangegeven waar je deze kunt aan passen.

Hotline for Data Breaches

In 2016, the Dutch Personal Data Protection Act was expanded with the obligation to report data breaches. Organisations with a serious data breach must report this to the Dutch Data Protection Authority, and sometimes also to the people whose data were leaked. The fines for not reporting are very high.

What is a data breach?
A data breach always involves personal data that may have ended up in the hands of the wrong people. This ranges from a lost USB drive or laptop, to an email with sensitive data that was mistakenly sent to the wrong address. Another example is a hack in the student information system, or data obtained with a phishing mail or with ransomware.

Report to the Hotline for Data Breaches
NHL Stenden has a Hotline for Data Breaches to report security incidents. You may not be sure whether it constitutes a data breach. That is why a team of specialists examines every report. They determine whether it is an actual data breach, and if it should be reported to the Dutch Data Protection Authority and to the people whose data were leaked When in doubt, contact the Data Protection Counselor.

Meldpunt Datalekken

NHL Stenden moet goed op je persoonsgegevens passen. Als er sprake is van een inbreuk op jouw persoonsgegevens is er sprake van een datalek. Dat moet zo snel mogelijk worden gemeld. Er staan hele hoge boetes op het niet melden van een datalek.

Wat is een datalek?
Bij een datalek gaat het altijd om persoonsgegevens die mogelijk zijn terechtgekomen bij de verkeerde personen. Denk bijvoorbeeld ook aan een hack in het studentinformatiesysteem. Maar ook:
– een verloren usb-stick of laptop
– een openstaande archiefkast
– een verkeerd verzonden e-mail met gevoelige gegevens
– een lijstje met gevoelige persoonsinformatie achtergelaten op de printer.
– Of aan gegevens die ontvreemd worden via een phishingmail of ransomware.

Geef ’t door aan het Meldpunt Datalekken
NHL Stenden heeft een Meldpunt Datalekken waar je beveiligingsincidenten kunt melden. Misschien weet je zelf niet zeker of het een datalek betreft. Daarom bekijkt een team van specialisten iedere melding. Zij bepalen of het daadwerkelijk een datalek is, of dit gemeld moet worden aan de Autoriteit Persoonsgegevens en eventueel aan degene(n) van wie persoonsgegevens gelekt zijn. Bij twijfel kun je ook even contact opnemen met je Data Protection Counselor.

Privacy legislation

Privacy matters are regulated by law. All European countries must apply with the General Data Protection Regulation (GDPR) since May 2018. The way the GDPR is applied in the Netherland is described in an implementation act.

European General Data Protection Regulation (GDPR)
The GDPR describes when personal details may be processed, what the rights of the processor of the data are, and what an organisation like NHL Stenden should do to work fairly, transparently, and securely. The GDPR also arranges monitoring, and describes the fines for non-compliance. What is new is that these fines are extremely high. They are tailored to big players like Microsoft, Google and Facebook. The maximum amount is 20 million euros or 4% of the annual revenue, whichever is more. This illustrates how privacy has become big business. Other novelties in the GDPR include:

Privacy Impact Assessment
In certain circumstances, an organisation is obliged to perform a privacy impact assessment prior to the introduction of a new process or the purchase of a new automated system. The assessment determines the impact of the system on the privacy of the people involved, and what the organisation can do to minimize it.

Data portability
The right to data portability is also new. This means you have the right to take your data from one organisation to another, for example when switching internet providers or educational institutions.

The right to be forgotten
In appropriate cases, you can demand for your data to be destroyed or removed from internet search engines.

Privacywetgeving

Privacy is bij wet geregeld. In Nederland moeten wij ons sinds mei 2018 houden aan de Algemene verordening gegevensbescherming (AVG). De wijze waarop de wet in Nederland wordt toegepast, is geregeld in een uitvoeringswet.

Algemene verordening gegevensbescherming (Avg)
De AVG beschrijft wanneer persoonsgegevens verwerkt mogen worden, wat de rechten zijn van degene wiens persoonsgegevens worden verwerkt, en wat een organisatie zoals NHL Stenden moet regelen om dat eerlijk, transparant en veilig te doen. Verder beschrijft de Avg hoe het toezicht is geregeld en welke boetes je kunt krijgen als je je niet aan de regels houdt. Nieuw is dat deze boetes extreem hoog zijn. Ze zijn afgestemd op grote spelers als Microsoft, Google en Facebook. De maximale boete is 20 miljoen euro of – als dat meer is – 4% van de jaaromzet. Kortom, privacy is nu serious business. Andere nieuwigheden in de Avg zijn:

Privacy Impact Assessment
In bepaalde gevallen is een organisatie verplicht om voorafgaand aan een nieuw proces of bij aanschaf van een nieuw geautomatiseerd systeem een privacy impact assessment te doen. Hiermee wordt bepaald wat de impact van het systeem is op de privacy van de betrokkenen en wat de organisatie kan doen om die impact te verkleinen.

Dataportabiliteit
Nieuw is ook het recht op dataportabiliteit. Dit houdt in dat je het recht hebt om je gegevens mee te krijgen van de ene naar de andere organisatie, bijvoorbeeld een internetprovider of onderwijsinstelling.

Het recht om vergeten te worden
In bepaalde gevallen kun je eisen dat je gegevens worden vernietigd of dat je wordt verwijderd uit internetzoekmachines.

Data Protection Officer

A university such as NHL Stenden deals with tremendous amounts of personal data. This includes sensitive and special personal data. Of course we want to handle them in a responsible manner. That is why we appointed a Data Protection Officer (DPO) at NHL Stenden.

Tasks
The responsibilities of the DPO are laid down in the law. Some organisations, like those belonging to the government, are obliged to employ a DPO, while it is optional for others. NHL Stenden’s DPO advises and informs on privacy matters, privacy policy, and the organisation’s obligations arising from privacy legislation. The DPO also monitors compliance with the law. The DPO advises on the possible implementation of a Privacy Impact Assessment and monitors its execution. He collaborates with the Dutch Data Protection Authority, and is its point of contact. The DPO can contact the Executive Board directly, and is bound to confidentiality.

Contact
Questions about privacy issues? Contact NHL Stenden’s DPO, Willem Bakker.

Functionaris Gegevensbescherming

Een hogeschool zoals NHL Stenden werkt met grote hoeveelheden persoonsgegevens. Waaronder ook gevoelige en bijzondere persoonsgegevens. Daarmee willen we natuurlijk verantwoord omgaan.
Voor hogescholen is een Functionaris Gegevensbescherming (FG) verplicht.

Taken
De functie van de FG staat in de wet omschreven. Voor sommige organisaties, zoals overheidsinstanties, is het verplicht om een FG te hebben, voor andere is het optioneel. De FG van NHL Stenden adviseert en informeert over privacyvraagstukken, het privacybeleid en verplichtingen van de organisatie op grond van de privacywetgeving. Ook houdt hij toezicht op de naleving van die wetgeving. De FG adviseert wanneer er een Privacy Impact Assessment plaats moet vinden en houdt toezicht op de uitvoering daarvan. Hij is het eerste aanspreekpunt voor de nationale toezichthouder, de Autoriteit Persoonsgegevens. De FG heeft rechtstreeks toegang tot het CvB en is verplicht tot geheimhouding.

Contact
Vragen over privacyvraagstukken? Neem dan contact op met de FG van NHL Stenden, Floor May.

Steering Committee Information Security (SCIS)

The SCIS is the NHL Stenden platform where information and knowledge on information security is collected, determined, and communicated. It features all information about safeguarding the confidentiality, availability and integrity of the NHL Stenden information services.

Composition
The SCIS is a multidisciplinary group consisting of:

Information Manager Gertjan Bron
Data Protection Officer Willem Bakker
Corporate Security Officer Freerk Bosscha
IT Security Officer Johan van der Ven.
Lecturer-researcher Informatics, Jeroen Pijpker

Activities
The SCIS meets every two week to discuss matters such as rules and regulations and other developments, and the handling of any security incidents. The SCIS is also responsible for the CIA classification online tool kit. This online tool kit makes it easy to determine the required steps for securing information and automated information systems.

Your questions about information security
Do you have a question about information security? Are you unsure how to handle or who to contact? The SCIS can help you.

Regiegroep Informatie Beveiliging (RIB)

De RIB is het NHL Stenden-platform waar informatie en kennis over informatiebeveiliging samenkomt, wordt vastgesteld en uitgedragen. De RIB heeft een eigen intranet pagina: kijk hier. Je leest er alles over waarborging van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening binnen NHL Stenden.

Samenstelling
De RIB is een multidisciplinaire groep die bestaat uit de:

Freerk Bosscha, Chief Information Security Officer
Floor May, Functionaris voor Gegevensbescherming
Sietske Oosterhof, Privacy Officer
Trudy Rehorst, Privacy Officer
Edo Witteveen
Rita Reinders
Teije Jelluma
Johan van der Ven, DLWO security officer

Activiteiten
De RIB overlegt wekelijks over zaken als wet- en regelgeving en andere ontwikkelingen, en over de afhandeling van eventuele beveiligingsincidenten.

Voor al je vragen over informatiebeveiliging
Loop je aan tegen een vraagstuk over informatiebeveiliging? Weet je niet hoe je hiermee om moet gaan of bij wie je terecht kunt? Dan helpt de RIB je verder. Kijk op de RIB intranet pagina voor contactgegevens.