AVG workshop bij Senet: alle werknemers op de hoogte

Home / Blog / Events / AVG workshop bij Senet: alle werknemers op de hoogte

Veel bedrijven zijn momenteel hard aan het werk met de voorbereidingen voor de AVG. Op 25 mei treedt deze in werking en er moet nog veel geregeld worden. Omdat Senet een zogenaamde ‘verwerker’ is als software ontwikkelaar, krijgen wij veel te maken met data en moeten wij onze verantwoordelijkheid hierin nemen. Daar hoort een kritische en adviserende houding bij naar de klant toe die een applicatie door ons laat bouwen, zodat de juiste keuzes worden gemaakt op het gebied van functionaliteit die te maken heeft met persoonsgegevens.

Om te zorgen dat al onze engineers goed op de hoogte zijn van de nieuwe wetgeving en om een stukje bewustzijn te creëren, hebben we besloten een workshop te houden met zowel theorie als praktijk. En dat sloeg aan.

AVG workshop: privacy, informatiebeveiliging en datalekken

Collega’s Frank en Bavo hebben zich flink verdiept in de privacy en security theorie en daarmee een uitgebreide workshop verzorgd voor alle Senet collega’s. De volgende onderwerpen werden aangesneden:

Privacy & informatiebeveiliging

In de nieuwe AVG wetgeving ligt een belangrijke rol voor een gegevensverwerker. De verwerker is verantwoordelijk. Het is dus belangrijk heel bewust om te gaan met persoonsgegevens en alleen die gegevens te verwerken die strikt noodzakelijk zijn voor het doel. De verantwoordelijkheid mag de verwerker als werkgever niet verleggen naar zijn of haar medewerkers. Dus als een individuele medewerker een fout maakt, blijft de werkgever verantwoordelijk. Maar dat is natuurlijk geen vrijbrief om niet secuur te zijn. Het is in ieders belang om zorgvuldig met persoonsgegevens om te gaan.

Het is belangrijk bij de ontwikkeling van een applicatie goed te kijken wie, waar en wanneer toegang heeft tot de applicatie. Dat klinkt als een open deur maar vaak wordt één van die drie pijlers overgeslagen bij de toekenning van rechten. Die rechten moeten altijd hangen aan een ‘natuurlijk persoon’. Daarnaast is een goede audit log belangrijk bij software beveiliging: wie deed wat en wanneer?

Software security

De volgende theorie ging over ‘veilige software ontwikkelen’ en ‘hoe ongewenst gedrag te voorkomen’. Daarbij is het belangrijk de drie assen van software security te kennen: vertrouwelijkheid, integriteit en beschikbaarheid. Hacks komen steeds meer voor, ook bij grote organisaties die veel privacygevoelige informatie verwerken. Hackers maken er hun dagtaak van om op zoek te gaan naar kwetsbaarheden in software. Eenmaal gevonden kan zo’n kwetsbaarheid misbruikt worden om ongewenste acties uit te voeren. Daarom is het belangrijk dat we niet alleen nadenken over wat onze software moet doen, maar vooral ook over wat de software niet moet doen. Duidelijk beleid en goed testen zijn hierbij essentieel.

Pentesting: zelf hacken

Na het stuk theorie mocht iedereen in groepjes aan de slag met de pentesting workshop, ook wel penetration testing genoemd. Er werd een bankomgeving gepresenteerd waarin gehackt moest worden. Zeven datalekken waren verborgen: vijf kwamen aan bod in het theoretische deel en de overige twee waren bonuslekken. 🙂 Het hacken bleek lastiger dan gedacht: geen enkel groepje vond alle lekken.

De AVG workshop zorgde voor bewustzijn, het samen creëren van richtlijnen en een leuke manier om de theorie in praktijk te brengen. Hoe gaat jouw bedrijf om met de AVG?