governance

Note-to-self: #DPIA for cloud – reference material (focus on #Microsoft cloud)

In interesting set of reference material, that is regularly coming back in data protection, cybersecurity and information security discussions I lately had with peers and colleagues.
May you can use it too…

Feel free to provide some feedback yourself, if you know additional pointers I should add.

You know where to find me.

Change history

2022-04-27 14:00: Added EDPB announcement to references section

Governmental DPIAs

Netherlands

2018-12-06: DPIA on Microsoft Office 2016 & 365

https://iapp.org/news/a/dutch-government-commissioned-dpia-on-microsoft-office-pro-plus/

Direct download of PDF:

2022-02-22: DPIA on Microsoft Office 365

https://www.dataguidance.com/news/netherlands-dutch-government-publishes-dpia-microsoft

Press release by Dutch Government:

2022-02-21 https://www.rijksoverheid.nl/documenten/publicaties/2022/02/21/public-dpia-teams-onedrive-sharepoint-and-azure-ad

Publication of DPIA by Dutch Government

2022-02-21 : https://www.rijksoverheid.nl/documenten/publicaties/2022/02/21/public-dpia-teams-onedrive-sharepoint-and-azure-ad

Source: Beltug news https://www.beltug.be/news/7430/Dutch_government_publishes_DPIA_and_DTIA_for_Microsoft/

2022-02: The Dutch Ministry of Justice and Security requested an analysis of US legislation in relation to the GDPR and Schrems II by GreenburgTraurig.

Switzerland

In a recent article (In French) by ICT journal, the Canton of Zurich published a

https://www.ictjournal.ch/articles/2022-04-26/comment-le-canton-de-zurich-a-estime-le-risque-de-passer-sur-le-cloud-de

Research

Researchgate

Data Protection Impact Assessment (DPIA) for Cloud-Based Health Organizations

https://www.researchgate.net/publication/349882283_Data_Protection_Impact_Assessment_DPIA_for_Cloud-Based_Health_Organizations

Guidelines

CNIL

https://www.cnil.fr/en/tag/Privacy+Impact+Assessment+(PIA)

https://www.cnil.fr/en/guidelines-dpia

IAPP

https://iapp.org/news/a/guidance-for-a-cloud-migration-privacy-impact-assessment/

Templates

IAPP

https://iapp.org/resources/article/transfer-impact-assessment-templates/

Referring to:

IAPP Templates

Supplier references

Microsoft

Data Protection Impact Assessment for the GDPR

2021-11-17: https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-data-protection-impact-assessments

Data Protection Impact Assessments: Guidance for Data Controllers Using Microsoft Professional Services

Part 1: Determining whether a DPIA is needed

https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-prof-services?view=o365-worldwide#part-1–determining-whether-a-dpia-is-needed

Part 2: Contents of a DPIA

https://docs.microsoft.com/en-us/compliance/regulatory/gdpr-dpia-prof-services?view=o365-worldwide#part-2-contents-of-a-dpia

Download Customizable DPIA document

https://www.microsoft.com/en-us/download/details.aspx?id=102398

(more to come, this article will be updated with additional references when necessary)

Other relevant references

EDPB (European Data Protection Board)

Launch of coordinated enforcement on use of cloud by public sector

https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_en

Data Compliance: Get it right the first time

Below is a short overview of the #Hexnode webinar, presented 2022-04-07 about data compliance.

The webinar recording is published at the Hexnode website (and embedded below).
And the PDF version of the slide deck is published in full color and B/W print version on Slideshare, see links below.

PPT version available on request (send me a DM on LinkedIN).

Data is the new oil…

Whatever business you run…

.. it won’t run without data:

  • Business data
  • Management data
  • HR data
  • Technical data
  • Network data
  • Personal data (PII)
  • Communications
  • Mail data 
  • Financial data
  • Operational data
  • Intelligence
  • Intellectual Property (IP)
  • Ideas

Other businesses want your data as well…

There is a massive growth of digital business:

  • Direct marketing
  • Data brokers
  • Data Intelligence
  • Data analytics
  • Big data
  • Artificial intelligence
  • Machine learning
  • Health care, research & development

But also… the dark side wants your data.

And your data in the wrong hands.. is explosive.

Current state of crime

Company and user data, and personal data is an important target and leverage in cybercrime lik

  • Phishing
  • Ransomware
    • not only encryption
    • data leak extortion
  • Reconnaissance & Hacking
  • Data breaches 
  • Biometric data
  • Digital & Economical war

Now the question is… How do YOU get in control?

You can’t simply lock up your data… because data needs to flow. (You want to use it…)

Data management essentials to get grip

Ask yourself: how much €$ can you spend to protect your data? To answer that question, you’ll need to get grip of some basic data management principles, in relation to security:

  1. You can only protect what you know you have
  2. Without an owner there is no protection
  3. Nothing is stable, everything has a lifecycle
Data lifecycle

Data lifecycle

The start of the cycle is mostly

  • short,
  • easy to manage,
  • low security risk. (if the creation fails… you have no data to keep under control)

The end of the cycle is mostly

  • long, (there are various reasons why you need to keep the data for a while, eg in archive before you dispose of it..)
  • difficult to manage (if the process fails, it’s difficult to track or keep under control)
  • high security risk. (risk of losing ownership, risk of leakages, …)

What is risk?

Assets have

Vulnerabilities (weaknesses/properties) 

that can be exploited by 

Threats (activities)

with impact ($$ cost).

You need to balance the protection against the impact. You don’t want to over-spend or under-protect.

Your boss (or insurance, of CFO ) needs a budget, spreading cost over a year, or 2..3..4..5.

[Risk management is calculating impact over the rate of occurrence/frequency…]

How to get started

Know the external context

  • International regulations (GDPR, …)
  • National regulations (SOC, …)
  • Sector regulations (PCI-DSS, ..)
  • Contractual obligations
  • Enterprise vs PII/personal data requirements

Know the internal context

  • Know your business (what)
  • Know your organization (organigram)
  • Make an inventory of processes and interfaces
  • Assign business ownership
    • For each process
    • For each asset

Know the processes

  • Know the data flow 
  • Know your sources (IN)
  • Know the data processing
  • Know your receivers (OUT)

Know the data in the processes

  • Categorize your data – data types
    • Enterprise data
    • PII / Personal data (GDPR !)
    • Other ?

Categorization (define data classes)

  • Sensitivity = linked to business impact
  • Ask the owner : “What if data is …”
    • unavailable, 
    • changed,
    • destroyed,
    • leaked,
    • accessed unauthorized, illegally, unlawfully,
  • Categorize your data sensitivity
    • Enterprise data, for example
    • Unclassified, Official, Restricted, Confidential, Secret, Top Secret (NATO) 
    • Public, Company internal, Confidential, Strictly confidential  
    • TLP RED, TLP Amber, TLB Green, TLP White (public)

Classification (apply the labels)

  • Responsibility of owner
  • Label all data
  • Label containers if you can’t label the data
    • Folder or File share
    • Database
    • mailbox 
    •  …

Mind the lifecycle

  • Get started
  • Keep going
  • Start over again
  • Think about security when
    • creating new processes
    • changing processes
    • removing processes
    • recheck on a regular schedule (even when nothing changes)

Mind the business and legal requirements

  • Accountability & Responsibility 
  • Reporting & audit requirements (SOC I-II, …)
  • Incident management requirements
  • Data breach requirements (GDPR)
  • Subject rights 

Consequences of data management failure

  • Financial loss
  • Business loss
  • Reputation loss 
  • Contract SLA violation
  • Regulatory violations
  • Fines
  • Prosecution
  • Personal accountability

Think about

  • Direct and indirect impact
  • Short term and long term impact
  • How long can you survive a total breakdown?

TAKEAWAYS

  • Manage enterprise data like personal data
  • Keep the categories simple (<7)
  • 3 TLP (RedAmberGreen) + 2 categories (public + highly critical)
  • Define and maintain ownership
  • Involve everyone
  • Evangelize internal & external stakeholders (incl. customers…)
  • Lead by example

Use business best practices

  • Use standards and frameworks
  • ISO (international)
  • NIST (US)
  • ENISA (EU)
  • COBIT (ISACA)

Classification and labeling

  • Force labeling
  • Aim to classify everything
  • Start with new data first
  • Update labels when you change documents
  • Set a default label for archived data that doesn’t change
  • DO NOT set “public” as default

Think about the support processes

  • Incident management (ISO 27035 & NIST)
  • Data breach management (GDPR & other …)
  • Business continuity (ISO22301)
  • Disaster recovery

Questions

How to identify regulations you should follow?

  • know and analyse the services you’re offering,
  • where is your data stored?
  • what kind of data you have (enterprise data, personal data, financial, …)
  • identify the local, national, regional, international regulations of sector legislations that apply to your business (check partners/competition, sector representatives, …)

Is there difference in regulation for small or large business?

  • very limited impact of size of company…
  • very likely some impact on financial and tax reporting,
  • some legislation only apply in large scale operations (eg GDPR only requires a DPO for certain type of operations, …)

Best place to start for SME/SMB?

Webinar recording by Hexnode

Hexnode webinar

Presentations

Full color

Black/White print

#ICYMI, check these online fully accessible + freely downloadable ISO standards, relevant for information security, privacy & data protection

#ICYMI, In case you missed it.

Online freely accessible ISO standards

In the midst of the #COVID19 corona pandemic, the ISO (International Organization for Standardization) has unlocked free reading access to a bunch of relevant standards, including

  • ISO 22301:2019, Security and resilience – Business continuity management systems –Requirements
  • ISO 22316:2017, Security and resilience – Organizational resilience – Principles and attributes
  • ISO 22320:2018, Security and resilience – Emergency management – Guidelines for incident management
  • ISO 31000:2018, Risk management – Guidelines
  • ISO 13485:2016, Medical devices — Quality management systems – Requirements for regulatory purposes

The general access page with all online, fully accessible standards can be found here: https://www.iso.org/covid19.

Important note:

  • these standards are available online, but not downloadable (for legitimate downloads you need to purchase your copy in the ISO shop or with your national standards organisation)
  • there is no guarantee for continued free access once the Covid pandemic is over, if ever. That’s the sole discretion of the ISO, of course.

Freely downloadable ISO standards

Next to the (temporary) free online access, there is also a set of standards you can download for free, no payment required.
See here: https://standards.iso.org/ittf/PubliclyAvailableStandards/

Short url to bookmark: https://ffwd2.me/FreeISO.

Check the interesting ISO standards (from the information security point of view) below

ISO27000 (Information security)

The ISO27001 vocabulary

ISO/IEC 27000:2018
EN – FR
5thInformation technology — Security techniques — Information security management systems — Overview and vocabularyISO/IEC JTC 1/SC 27

Privacy Framework (ISO29100)

ISO/IEC 29100:2011
EN – FR
1stInformation technology — Security techniques — Privacy frameworkISO/IEC JTC 1/SC 27

Cloud Computing Reference architecture

SO/IEC 17788:2014
EN
1stInformation technology — Cloud computing — Overview and vocabularyISO/IEC JTC 1/SC 38
ISO/IEC 17789:2014
EN
1stInformation technology — Cloud computing — Reference architectureISO/IEC JTC 1/SC 38

Cloud computing vocabulary

ISO/IEC 22123-1:2021
EN
1stInformation technology — Cloud computing — Part 1: VocabularyISO/IEC JTC 1/SC 38

Cloud computing policy development

ISO/IEC TR 22678:2019
EN
1stInformation technology — Cloud computing — Guidance for policy developmentISO/IEC JTC 1/SC 38

Cloud Computing SLAs

ISO/IEC 19086-1:2016
EN
1stInformation technology — Cloud computing — Service level agreement (SLA) framework — Part 1: Overview and conceptsISO/IEC JTC 1/SC 38
ISO/IEC 19086-2:2018
EN
1stCloud computing — Service level agreement (SLA) framework — Part 2: Metric modelISO/IEC JTC 1/SC 38

Common Criteria (ISO 15408)

ISO/IEC 15408-1:2009
EN – FR
3rdInformation technology — Security techniques — Evaluation criteria for IT security — Part 1: Introduction and general modelISO/IEC JTC 1/SC 27
ISO/IEC 15408-2:2008
EN – FR
3rdInformation technology — Security techniques — Evaluation criteria for IT security — Part 2: Security functional componentsISO/IEC JTC 1/SC 27
ISO/IEC 15408-3:2008
EN – FR
3rdInformation technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance componentsISO/IEC JTC 1/SC 27

Identity management

ISO/IEC 24760-1:2019
EN – FR
2ndIT Security and Privacy — A framework for identity management — Part 1: Terminology and conceptsISO/IEC JTC 1/SC 27

Note-to-self: SOC2 mapping to ISO27001

Just in case you get into SOC2 and want to know how to map it to existing information security implementation, whatever it may be, GDPR, ISO27001, NIST, … check this page

https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/mappingsrelevanttothesocsuiteofservices.html

It includes:

These links have nice XLS format sheets, with a bidirectional comparison between the frameworks.

Info on SOC1/SOC2/SOC3

https://www.aicpa.org/interestareas/frc/assuranceadvisoryservices/sorhome.html

SOC and SOX?

 SOC reports refer to an audit of internal controls to ensure data security, minimal waste, and shareholder confidence; SOX relates to government-issued record keeping and financial information disclosure standards law. In other words, one is about keeping information safe, and the other is about keeping corporations in check.

https://immedis.com/blog/what-are-the-key-differences-between-soc-and-sox/

https://www.logicgate.com/blog/a-comparison-of-soc-and-sox-compliance/

Also

https://linfordco.com/blog/soc-2-security-vs-iso-27001-certification/

(braindump article, still in progress)

CCSP and CCAK, not versus: build your cloud security expertise path based on your needs.

Last week (ISC)² published a blog post on the choice between CCSP and CCAK.

You can find it here: https://www.isc2.org/articles/CCSP-versus-csa-ccak.

“What is the right certification for you?”

The main title of the (ISC)² article on CCSP vs CCAK is “CCSP Certification vs. CCAK Certificate: What Are the Distinctions?”

That’s exactly what you get. A list of technical differentiators between CCSP and CCAK, but according to (ISC)².

But if you hope to get an actual answer to what the right certification is, for you… they forget to ask …you.

What do you think would be the conclusion, if you ask that question to either one of the contestants while you compare 2 certifications? Of course each party will simply draw the conclusion that their own certification is the best choice.

To answer the most important question, the dilemma CCSP or CCAK, is simple: do you need technical or audit skills for cloud security?

The answer

In essence, the answer is simple:

  • if you need cloud audit skills, dive in to the Cloud Security Alliance (CSA) and ISACA Certificate CCAK.
  • if you want to have architect level technical cloud expertise and knowledge, choose CCSP
  • if you want cloud security knowledge, in basic or advanced hands-on, there are other choices to start with (more about it below)

So, if you ask the question “what is the right certification for you”, you immediately know that there is no right answer, but there are many options.
Options for a multi level expertise roadmap in cloud security, based on your current skills and your future goals.

If you like a tough challenge: why not jump into the CCAK or CCSP, CCSP or CCAK, whatever, right away.

But if you would like to boost your chance of success… take a deep breath and better plan smartly.

And don’t start with CCSP/CCAK, but prepare your track towards CCSP/CCAK first.

First some background to plan your roadmap

Setting expectations

Just to set expectations, this article only focuses on the personal education and certification options, offered by (ISC)², ISACA and CSA. Including other education provider would lead us too far.
There are way more other (cyber)security certifications available, but we focus on the cloud security track, which limits the options…

Feel free to comment with other options for cloud security training. I’ll update the article where relevant.

CSA CCSK

The Cloud Security Alliance launched the CCSK in 2011. And as they explained here, “the CCSK was quite literally the industry’s first examination of cloud security knowledge when it was released back in 2011. “

The CCSK is an easy entry, high level introduction to Cloud Security, and it doesn’t require you to have deep technical cloud security expertise.

But it still is a nice baseline for the cloud security essential knowledge.

(ISC)² – CCSP

In short: CCSP = CISSP [by (ISC)²]+ CCSK [by CSA]

The long version is explained in the (ISC)² article comparing CCSP and CCAK.

  • CCSP = Certified Cloud Security Professional
  • You need at least five years of cumulative, paid work experience
  • CCSP is pretty much the same level of difficulty as CISSP, but has focus on cloud security.

The CCSP was launched in 2015, as a cooperation between (ISC)² and CSA. (see CSA press release here), a couple years after the CCSK launch in 2011.
The CCSP is the bigger brother of the CCSK, more advanced, and as CSA rightfully mentions in there CCSK-CCSP comparison blog, the CCSP is on the level of CISSP with a major cloud flavor.

That’s where the dummy math description comes from…

CCSP = CISSP + CCSK.

But CCSP certainly is not an entry level exam.

More information:

ISACA & CSA – CCAK

CCAK = CISA [ISACA] + CCSK [CSA]

CCAK (Certificate of Cloud Auditing Knowledge) is cohosted by ISACA and CSA.
And then you immediately know the approach is different than the approach of (ISC)².

ISACA (Previously known as the Information Systems Audit and Control Association®) stems from audit.
CSA focuses on cloud security.

That’s exactly what CCAK is about : cloud security audit.

See here:

As ISACA mentions on their product page: “The Industry’s First Global Cloud Auditing Credential”.

CISSP

For completeness, I mentioned the CISSP ( Certified Information Systems Security Professional).
I don’t think it needs a lot of explanation, it’s pretty much the reference standard for IT Systems security. (ISC)² references it as “The World’s Premier Cybersecurity Certification”.

It’s a pretty heavy exam, and it does require at least 5 years professional security experience. This is not an entry level exam.

More info: https://www.isc2.org/Certifications/CISSP

SSCP (Systems Security Certified Practitioner)

Due to the experience requirements, CISSP might be a tough credential to start with, although you can pass the exam, and continue to build your experience to grab the CISSP title…

If you want the plan your credentials the smart way, or you’re fresh in cyber-, information or IT-security, you better start with SSCP.

That the little brother of CISSP, and it’s an excellent way to step up to CISSP. More info: https://www.isc2.org/Certifications/SSCP

Where to start?

Cybersecurity & Information security essentials

As explained earlier, for tech skills in cyber-, IT and information security: look into SSCP first.

(Then step up to CISSP.)

Cloud security essentials: CCSK

Now it’s obvious what your first step in cloud security education should be: CCSK.

The CCSK is the perfect introduction to cloud security essentials.

Although it’s very helpful to have some technical IT basic knowledge, the CCSK is very accessible for general audience.

To prepare for the CCSK, you can follow classes or self-study via a completely free preparation toolkit.

Source: CSA CCSK v4 exam (https://cloudsecurityalliance.org/artifacts/ccskv4-exam-prep-kit/)

You can buy a double-try access ticket for the CCSK online exam (60 questions, 90 minutes), so if you would fail the first attempt, study again and retry the exam.

Then plan your track: only technical (no interest for audit) or audit, or both

Only technical

If you focus on technical expertise in cloud security, CCSP is a reference standard (at least, on of them…) .

As mentioned: CCSP = CISSP + CCSK.

So the track is clear

  • After passing the CCSK exam,
  • Take the CISSP exam
  • then take the CCSP

This is the easier route if you already have 5yr+ experience. It’s not the cheapest route, as you pass the CISSP first, but it’s worth the effort. (you only need to pay 1 yearly fee at (ISC)², so after 1 certification, … no extra cost in yearly membership fee)
For junior, less experienced, security engineers, start with SSCP before jumping into CISSP, and then CCSP.

Audit

When you target IT security audits, you need to take a different route depending your background.
Having the CCSP/CISSP background is extremely useful to boost your career in audit.

But for the CCAK, the core audit baseline is CISA.

Keep in mind, similar to CISSP and CCSP, CISA has the same requirements regards professional experience, 5 years.

But if you’re a ISACA CISA, you can add CCSK to the track and land on the CCAK.

Both?

Then it’s obvious, first tech, then audit, meaning a smart combination of

  1. CCSK
  2. (SSCP > ) CISSP
  3. CCSP
  4. CISA (or alternative)
  5. CCAK

Alternative routes

ISO27001 Implementer & Auditor

And alternative route to the auditing experience is ISO27001 auditing, but you’ll need some implementation experience before you can audit.

CISM

Within the ISACA portfolio, the CISM (Certified Information Security Manager), covers the same areas as most ISO27001 (lead) implementer courses.

Which can be helpful to ramp up for the CISA audit part, to gain some hands-on in IT & Infosec governance.

Visualizing your cloud security education roadmap

Lots of blah for a simple choice?

Allow me to visualize the options…

The difference between “certification” and “certificate”, does it really matter?

In it’s blog post (ISC)² tries to put CCSP above CCAK by saying “CCSP is a certification; CCAK is a certificate.”

And they continue “A certification recognizes a candidate’s knowledge, skills, and abilities, typically framed by a job role, while a certificate’s scope is narrower and only documents training course completion. A certification often requires continuing professional education (CPE) to stay in front of trends, while a certificate’s body of knowledge does not evolve over time or require CPE credits to maintain.

And their explanation is at least flawed and cutting corners to benefit CCSP.

There are many explanations and interpretations of “certification”, depending the context.
But in essence, “certification” is a process and a certificate is a document (the result).

When you certify for “CCSP” at (ISC)², you need to comply with the CCSP condition and then get a document, your CCSP certificate.
Idem for CCAK, you need to comply with their conditions.

Both the certification process for CCSP as the process for the CCAK are used by other similar education providers.

Eg, PECB, ISACA, EC-COUNCIL, … and others require to pay a yearly fee, keep CPE/CPD (continous professional education or development). Some yearly fees are cheaper as others.

Like CSA, Microsoft and others ask for a 1 time exam fee, and then update the exam on longer term, not yearly, and do not require a yearly maintenance fee.

It’s a choice of the certificate owner, how the evaluation and exams are done.

Some of them comply to the ISO17024, and education standard. There are huge benefits to comply (like increased credibility, compatibility with other certifications, …). But it’s not mandatory.

(ISC)² uses an exam, with experience requirement and continuous education once you pass the exam, but you do not need to pass the exam again, unless it’s upgraded to a new build or major version.

But CSA does exactly the same, for example when CCSK was upgraded from v3 to v4, you needed to pass the exam again.

Not on a yearly basis, but the program is updated, the exam is updated… on a regular basis, without yearly fee.

It’s rather a (small) financial effort, not of significance for most companies paying the bill. (Although as an individual, the cost of certification can become a serious burden…)

And it’s certainly not relevant when choosing between CCSP and CCAK. CCAK is cheaper, as referenced in the (ISC)² comparison chart.

References

(ISC)²: CCSP Certification vs. CCAK Certificate: What Are the Distinctions?

Cloud Security Alliance (CSA)

CSA Certificate of Cloud Security Knowledge (CCSK)

CSA & ISACA CCAK

CCAK learning material

CCSK vs CCSP

Vocabulary (alphabetical)

CCAK: Certificate of Cloud Auditing Knowledge (https://cloudsecurityalliance.org/education/ccak/)

CCSK: Certificate of Cloud Security Knowledge (https://cloudsecurityalliance.org/education/ccsk/)

CCSP: Certified Cloud Security Professional (https://www.isc2.org/Certifications/CCSP)

CSA: Cloud Security Alliance (https://cloudsecurityalliance.org/)

(ISC)²:  International Information System Security Certification Consortium (https://www.isc2.org/)

Note-to-self: 2020 IDG Security priorities study

Source: https://f.hubspotusercontent40.net/hubfs/1624046/2020_Security%20Priorities%20Executive%20Summary_final.pdf

End 2020 IDG published a study on Security priorities, and it provides important guidelines to the priorities of securing yourself and your company

  1. Protection of confidential and sensitive data
  2. End-user awareness
  3. Corporate resilience
  4. Enhance access control
  5. Understand external threats
  6. Application security
  7. Plan for unexpected risks

This pretty much confirms that your customers, stakeholder’s and staff interest in protecting personal data is driving security from business perspective.

If you see the increase of cyberattacks and ransomware hitting the business, it’s pretty obvious that Business Continuity Management and Disaster recovery must be on top of your priority list.
You need to have a tested plan against successful cyberattacks and ransomware, to avoid extended business damage and massive (ransom) costs … afterwards.

To put a plan together, you need to understand who is your adversary and what the current state of cybersecurity is.
And this study is a simple but smart guide to define your priorities.

The better you prepare, the less it will cost.
But you’ll only be able to tell when it goes wrong.

Don’t get caught by surprise, be ready.

Note-to-self: Crowdstrike has published their 2021 Global Threat report

Crowdstrike has published their 2021 Global Threat report.

It’s always an interesting reference to see what the world in cybersecurity is about, certainly with the turbulent pandemic year.

They look at:

  • cybersecurity during COVID19
  • cybersecurity in health care
  • significant political, state based attacks
  • evolution of ransomware

And no one has to tell you, we’ve not seen the end yet.

Hang in, get ready, protect yourself for more bad stuff to come.

Keep patching your systems, all of them, all the time.

And by the way, don’t ay with your personal data for the download. Direct download is available at:

Hoe zit dat met data brokers, direct marketing en KBO? Is dat legaal? En is dat nu GDPR of niet? Hoe aanpakken?

Je kan dit document als PDF downloaden als je het offline wil lezen.

Overzichtstabel

  1. In het kort
  2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren
  3. Direct marketing
  4. Direct marketing met KBO data
  5. Nog andere spelregels van toepassing?
    • GDPR
  6. Wat is het GDPR probleem?
  7. Wat moet je dan WEL doen als data broker of direct marketing?
  8. Hoe kan je zelf misbruik tegengaan?
  9. Referentiemateriaal

1. In het kort

Sinds een aantal jaren (2003) heeft de overheid, met name de Federale Overheidsdienst (FOD) Economie, het bedrijvenregister gemoderniseerd en via KBO (Kruispuntbank Ondernemingen) op internet ter beschikking gesteld. Het is een publieke en wettelijke verplichting van de overheid om dat te doen.

Maar dat register bevat natuurlijk heel wat interssante data van bedrijven en hun verantwoordelijke personen.
Niet alleen om contractuele partijen te valideren… maar ook gebruiken heel wat commerciële bedrijven de collectie om die data door te verkopen in de vorm van adressenlijsten.

Er zijn een aantal spelregels die het gebruik van die data aan banden leggen en die je moet kennen, met name de Belgische wet op KBO, de gebruikerslicenties van KBO en … GDPR die belangrijke verplichtingen oplegt voor het hergebruik van publieke data.

Maar daar vegen heel veel data brokers en direct marketing bedrijven dus gewoon hun voeten aan.

Disclaimer: niet alle databrokers schenden de wet en gebruiken wel de juiste data, door persoonlijke gegevens te verwijderen uit hun data collectie. Maar dit is eerder uitzondering dan regel.

Dit artikel

  • geeft je wat meer achtergrond bij de spelregels,
  • legt uit wat er fout loopt en waar je moet op letten en
  • geeft je ook wat tips hoe je jezelf kan beschermen tegen deze praktijk.

Samenvatting

  • Direct marketing is elke communicatie, in welke vorm dan ook, gericht op de promotie of verkoop (m.u.v overheid)
  • De wet verbiedt om direct marketing te doen met alle KBO data
  • In geval van GDPR data zijn er nog bijkomende richtlijnen te volgen
  • Neem maatregelen tegen misbruik (verwijder overbodige data of gebruik specifiek mail adres)

2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren

De contactgegevens van de entiteiten die geregistreerd zijn bij de Kruispuntbank van Ondernemingen worden beschikbaar gesteld zowel via onze “public search” website als via webdiensten / hergebruikbestanden.

Dus de KBO Webdiensten omvatten ondermeer

Het ter beschikking stellen via de “public search” is in overeenstemming met artikel III.31 van het Wetboek van economisch recht en overeenkomstig artikel 1 van het koninklijk besluit van 28 maart 2014 tot uitvoering van artikel III.31 van het Wetboek van economisch recht inzonderheid de bepaling van de gegevens van de Kruispuntbank van Ondernemingen die via internet toegankelijk zijn evenals de voorwaarden voor het raadplegen ervan.

Dit laatste bepaalt dus het volgende: « Artikel 1, §1. De volgende gegevens van de Kruispuntbank van Ondernemingen zijn via het internet toegankelijk: 

  • 1° het ondernemingsnummer en het (de) vestigingseenheidsnummer(s);
  • 2° de benamingen van de onderneming en/of van haar vestigingseenheden;
  • 3° de adressen van de onderneming en/of van haar vestigingseenheden;
  • (…)
  • 10° de verwijzing naar de website van [1 de geregistreerde entiteit]1, haar telefoon- en faxnummer alsook haar e-mailadres.

Deze laatste (het mail adres) is natuurlijk cruciaal en zeer interessant voor direct marketing (of als je het spam wil noemen, ook goed).

Met betrekking tot het verstrekken van contactgegevens in het kader van webdiensten/ hergebruik-bestanden, stelt de Kruispuntbank van Ondernemingen, via het volledige bestand voor hergebruik van gegevens, een aantal gegevens ter beschikking. Tussen deze gegevens, zitten ook persoonsgegevens. Het gaat om het geheel van de informatie betreffende de entiteiten natuurlijk persoon alsook de namen en voornamen van de personen die, binnen rechtspersonen, functies uitoefenen of de ondernemersvaardigheden bewijzen.

Belangrijk om te weten is ook dat je als verantwoordelijke van een bedrijf ook “declaratieve”, bijkomende contact gegevens kan toevoegen (dus je mail adres).

Zelfs als je vrijwillig contact data in KBO ingeeft, blijven dat KBO bedrijfsgegevens, maar het kan dus ook persoonlijke data zijn (zoals je mail adres) zijn die onder GDPR valt.

Later in dit artikel lees je meer daarover.

Het verstrekken van contactgegevens in het kader van webdiensten / hergebruikbestanden gebeurt in overeenstemming met artikel III.33 van het Wetboek van economisch recht en het koninklijk besluit van 18 juli 2008 over het hergebruik van openbare gegevens van de Kruispuntbank van Ondernemingen.

3. Direct marketing?

Voor we verder gaan wil ik toch even de interpretatie van “direct marketing” toelichten, want dat vind ik niet zelf uit. En ik wil ook vermijden dat er door de data brokers of de commerciële bedrijven zelf een twist aan gegeven wordt.

Bron: https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

“De GBA stelt voor het begrip direct marketing als volgt te interpreteren:

elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.

Direct marketing omvat alle vormen van communicatie, ongeacht of deze gericht zijn op de promotie van goederen of diensten, de promotie van ideeën, voorgesteld of ondersteund door een persoon of organisatie, maar ook de promotie van die persoon of organisatie zelf, met inbegrip van zijn/haar merkimago of de merken die zijn/haar eigendom zijn of door hem/haar worden gebruikt, met uitzondering van de promotie die wordt uitgevoerd op initiatief van overheidsinstanties die strikt handelen in het kader van hun wettelijke verplichtingen of openbare dienstverleningstaken voor diensten waarvoor zij alleen verantwoordelijk zijn.

De berichten kunnen bijgevolg zowel uit de commerciële als de niet-commerciële sector komen, zoals de politieke sector of non-profitorganisaties.”

https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

4. Direct marketing met KBO data

De bekendmaking van de contactgegevens is dus volledig in overeenstemming met de taken die de wetgever aan de KBO/FOD Economie heeft toevertrouwd. Voor de FOD Economie is de verwerking is dus rechtmatig in de zin van artikel 6 c) van de GDRR, aangezien die noodzakelijk is voor de naleving van een wettelijke verplichting waaraan de FOD Economie is onderworpen.

Voor het overige moet je weten dat het gebruik voor directmarketingdoeleinden van door de KBO ter beschikking gestelde persoonsgegevens verboden is.

Dit verbod komt zowel in artikel 2, §1 van bovenvermeld Koninklijk Besluit van 18 juli 2008 als in alle KBO hergebruikcontracten van de FOD Economie terug.

  Art. 2.§ 1. De openbare gegevens van de Kruispuntbank van Ondernemingen kunnen overeenkomstig de nadere regels en de voorwaarden van dit besluit, door de beheersdienst doorgegeven worden aan derden met het oog op [1 …]1 hergebruik.
  Derden mogen evenwel geen persoonsgegevens voor direct marketingdoeleinden gebruiken en/of herverspreiden.

artikel 2, §1 van bovenvermeld Koninklijk Besluit van 18 juli 2008

Voor de hergebruik contracten, kan je de voorwaarden terugvinden in de privacy policy en de specifieke gebruiksovereenkomsten, zoals:

Die zeggen allemaal hetzelfde, conform de Belgische wet uiteraard:

“2.2 De licentienemer mag de persoonsgegevens niet gebruiken voor direct-marketing
doeleinden, in overeenstemming met artikel 2 van het koninklijk besluit van 18 juli 2008
betreffende het hergebruik van publieke gegevens van de Kruispuntbank van
Ondernemingen.”

Van: webservice-Public-Search-gebruiksvoorwaarden.pdf

5. Nog andere spelregels van toepassing?

De gegevens van de Kruispuntbank van Ondernemingen (KBO) zijn dus publiek, maar er is in de wet dus een uitdrukkelijk verbod om de gegevens te gebruiken voor direct marketing doeleinden.

Maar dat zijn niet alle regels die hier van toepassing zijn. Want ook GDPR is hier van toepassing, tenminste op de persoonsgegevens die in de bedrijfsdata zitten.

5.1. GDPR

Want GDPR definieert persoonsgegevens als data die een persoon (kunnen) identificeren, dus dat betekent ook dat een persoonlijk professioneel mail adres GDPR data is. Let op, niet alle data in KBO is GDPR data, want algemene bedrijfsdata valt buiten GDPR.

Waarom is de GDPR belangrijk hier?

Buiten het verbod op direct marketing, zeggen KBO en de Belgische wet NIKS over transparantie naar de betrokken bedrijven als je data kopieert uit KBO.

Dat is natuurlijk heel andere koek in GDPR, met name

  • Art.5 (Beginselen inzake verwerking van persoonsgegevens)
    • ze moeten “worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”)”
  • Art 6 (Rechtmatigheid van de verwerking)
    • Dit is van belang als publieke data plots gebruikt wordt voor een ander doel, bijvoorbeeld commerciële adreslijsten
    • Verhouding tussen gerechtvaardigd belang en toestemming, “wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”
  • Art. 12: Transparantie voor toepassing van Art. 13 en 14.
  • Art. 13: “Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld”
  • Art. 14: “Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen”

6. Wat is het GDPR probleem?

6.1 Overheid

Ook op vlak van GDPR heeft de overheid de verplichting om deze data te publiceren, in functie van hun publieke verantwoordelijkheid.

Dit valt onder GDPR artikel 6) 1.c (wettelijke verplichting) en nog belangrijker Art.6.1.e. “taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen”

En bij het opstarten van je bedrijf, bij registratie in KBO dus, krijg je de uitleg en de privacy policy van KBO vult de andere transparantieverplichtingen aan. Je hebt niet veel keuze, het is een publieke verplichting.

6.2 Data broker / direct marketing

Maar dat verandert dus helemaal als een data broker of een direct marketing je data van KBO steelt.

Wat moeten zij dan doen, als je het volgens de regels van GDPR speelt?

Algemene taak als verwerkingsverantwoordelijke

Eerst en vooral bij het copieren van KBO data, zeker voor het gebruik voor commerciele doeleinden, met name werven van klanten, gaat het dus bijna altijd om “direct marketing”.
Het kopieren en gebruiken van KBO data is illegaal door de Belgische wet, jammer maar helaas, dat heeft niks met GDPR te maken.

Je zou dus “gerechtvaardigd belang” kunnen inroepen, maar zelfs dan zijn er belangrijke voorwaarden aan verbonden. Dat leg ik straks uit onder de verplichting van art. 14.

Transparantie

GDPR Art. 12. 1

De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt,

Bepaling van DAR/SAR (subject data access request), Art. 12. 3

“De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven.”

Eerste direct contact betrokken persoon (Art. 13)

Art.13 is van toepassing als je de gegevens direct van de betrokken persoon krijgt.

Indirect contact (Art. 14)

Volgens Art. 14 moet je de betrokken persoon verwittigen bij het verzamelen van de gegevens als ze niet rechtstreeks van de betrokken persoon komen en de nodige details bezorgen, inclusief

  • wanneer de gegevens verkregen zijn
  • doeleinde verwerking;
  • de ontvangers (dus de marketing bedrijven, in dit geval)
  • hoelang de gevens opgeslagen worden;
  • gerechtvaardigde belangen;
  • de bron. (“Art. 14 §2.f de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;”)
  • en nog andere info…

En nog veel belangrijker volgens Art. 14 §3, moet de betrokken persoon moet daarvan verwittigd worden, ik citeer : “

  • a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
  1. b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
  2. c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

En net daar gaan HEEL VEEL data brokers en direct-marketing bedrijven NOG EENS in de fout, geen transparantie, geen bronvermelding, geen details van collectie, … Een simpele vermelding in de “privacy policy” is niet voldoende…

7. Wat moet je dan WEL doen als data broker of direct marketing?

Enkele tips

  • Zorg dat je een heel duidelijke en expliciete privacy en data protection policy hebt, die publiek beschikbaar is en goed leesbaar.
  • Gebruik GEEN KBO data.
    • Dat is illegaal. Heeft niks met GDPR te maken, geen direct marketing met KBO data volgens de wet.
  • Contacteer het prospectbedrijf via de algemene contact gegevens, via hun website, … via andere kanalen.
  • Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.
  • Als je gegevens van persoon, de bedrijfsverantwoordelijke zélf ontvangt
    • Pas Art.12 -, 13 en 14 toe
    • Wees transparant, vertel waar de gegevens vandaan komen
    • Vraag bij eerste contact om toestemming, of regel een andere wettelijke grond die stand houdt.
    • Bij weigering of intrekken toestemming, verwijder data onmiddellijk, tenzij andere redenen van toepassing zijn.
  • Als je contact gegevens verzamelt uit andere bronnen dan de persoon zelf,
    • VERWIJDER ALLE PERSOONLIJKE DATA, dan is het géén GDPR data.
    • Pas Art.12, 13 en 14 toe
    • Wees transparant, vertel waar de gegevens vandaan komen
    • Vraag bij eerste contact om toestemming
    • Bij weigering, verwijder de data onmiddellijk
  • Onderhoud je data op regelmatige tijdstippen, vb check met de contactpersoon minstens 1x per jaar dat de data nog up to date is, bij weigering of gebrek aan antwoord: wis de data
  • Beperk de data opslag tot redelijke bruikbare termijn, dat is een paar jaar. GEEN 15 jaar, zoals sommige data brokers doen. Email adressen zijn na een paar jaar niet meer vers. Er verandert vrij veel in de contact gegevens.

7. Hoe kan je zelf misbruik tegen gaan?

Dit heb ik in het kort uitgelegd in dit LinkedIn artikel: Data Protection Life Hack: stop de direct-marketing spam met je KBO data.

7.1 Proactief/preventief

Verwijder je declaratieve gegevens uit KBO

Voor de details zie: Data Protection Life Hack: stop de direct-marketing spam met je KBO data.

Declaratieve gegevens zijn optioneel, en niet strikt noodzakelijk voor de werking van KBO.
Maar het kan om bepaalde redenen toch wel handig zijn…

Zorg dat je KBO-gegevens als persoonsgegevens onder GDPR vallen

Gebruik geen algemeen mail adres. Maak het persoonlijk, dan kan je de rechten onder GDPR afdwingen.

Let op: Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.

Natuurlijk als je graag marketing ontvangt of het nodig hebt, dan is deze discussie niet zo belangrijk.

TIP: gebruik een alias zoals uitgelegd in het LinkedIN article, zodat je je mailbox netjes kan houden.

7.2 Reactief

Als je ondanks de voorzorgen TOCH spam krijgt, die je niet wil ontvangen, kan je actie ondernemen.
Hou er rekening mee dat dit vaak tijd neemt en soms een lastige administratieve route is.

Mogelijke acties

Dus, dan zijn er een aantal mogelijke opties (- eenvoudig, +/- vergt wat werk, ++ moeilijk)

  • (-) Dien een subject data acces request (DAR/SAR) in bij het direct marketing bedrijf dat je contacteert, zodat je weet
    • waar de data vandaan komt,
    • welke data ze hebben,
    • enz…
    • TIP: zorg dat je voldoende details opvraagt, zie GDPR art. 13 en 14.
  • (-) Dien een DAR/SAR in bij de data broker die contact data levert
  • (+/-) Stel het direct marketing bedrijf officieel in gebreke, dit is een eerste officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
  • (+/-)Stel de data broker officieel in gebreke, dit is een officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
  • (+/-) Leg een klacht neer bij de GBA, wanneer
    • blijkt dat ze illegaal data verzameld wordt
    • je GDPR rechten niet gerespecteerd worden

GDPR SAR/DAR + ingebreke stelling

Klacht bij KBO & FOD Eco

Hoewel de FOD Economie weinig kan doen aan het misbruik van data, hebben een aantal data brokers een licentie bij KBO. Dus het loont om misbruiken te rapporteren, zo dat ze actie kunnen nemen, waar mogelijk.

Klacht GBA

Op de website van de gegevensbeschermingsautoriteit vind deze link om een klacht in te dienen.

https://gegevensbeschermingsautoriteit.be/burger/acties/klacht-indienen

Wees voorbereid, neem voldoende tijd om dit goed aan te pakken,

  • want ze vragen dat je eerst probeert om de klacht op te lossen met de tegenpartij.
  • En ze vragen bewijs te leveren, en om je klacht goed te onderbouwen.

En besef dat een procedure met de GBA tijd neemt. Dus verwacht niet meteen resultaat op korte termijn.

Daarentegen is het wel belangrijk om klacht neer te leggen, want dat geeft ook duidelijk aan bij de GBA hoe ernstig dit probleem is, als er meerdere slachtoffers dit rapporten. Zowel binnen de sector van direct marketing, of specifiek voor een bepaald bedrijf dat de regels niet respecteert.

8. Referentie materiaal

Direct marketing en de aanbevelingen van GBA

Direct marketing en privacy: zo moet het volgens de GBA I DGDM (degroote-deman.be)

Gegevensbeschermingsautoriteit (GBA)

https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

Extended mapping of CIS Controls to ISO27001 security controls

Introduction

The CIS (Center for Information Security) Controls list is a very well known list of security measures to protect your environment against cyberattacks.
The Center for Information Security provides a handy XLS sheet for download to assist in your exercise.

Here is the link: https://www.cisecurity.org/controls/cis-controls-list/

Many companies use this controls list already, but also require to map their CIS security controls to ISO27001, for various reasons.

Implementing security controls with regards to the NIS directive, is one of them, eg when you’re implementing OT…

ISO27001 controls mapping

For that purpose the CIS provided a XLS mapping between the CIS controls and ISO27001.

You can download the sheet from the CIS website: https://learn.cisecurity.org/controls-sub-controls-mapping-to-ISO-v1.1.a

Security note for the security freaks, apparently the document is hosted on the pardot(dot)com Salesforce website, which might be blocked by Adlist domain blockers as it’s used for marketing campaigns, you might need to unblock it, or use Tor browser…)

Alternatively, it’s available from the CIS Workbench community at: https://workbench.cisecurity.org/files/2329 (registration might be needed to access the download)

FYI, the previous version (2019, v1) of the mapping had quite some gaps. Therefor I’ve submitted a suggestion for an updated CIS-ISO27001 mapping.
And after review, a new version (1.1) with updates has been published on the CIS workbench.

Direct download for version 1.1 available at: https://workbench.cisecurity.org/files/2329/download/3615

Still some gaps

You’ll notice that the update (1.1) version has still some gaps. And I’ll leave to the discretion of the CIS review work group to argument these gaps.


But I’m convinced you can map the CIS controls for 100% to ISO27001, in one way or another, meaning use ALL ISO27001 controls in certain extent (sometimes a subset, equally or a superset of it, combining controls.)

But the license for use of the CIS controls mapping does not allow redistribution of modified materials…

Disclaimer (the small print)

Here’s the License from the mapping file:

Their work (quote) “is licensed under a Creative Commons Attribution-Non Commercial-No Derivatives 4.0 International Public License (the link can be found at https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode

To further clarify the Creative Commons license related to the CIS ControlsTM content, you are authorized to copy and redistribute the content as a framework for use by you, within your organization and outside of your organization for non-commercial purposes only, provided that (i) appropriate credit is given to CIS, and (ii) a link to the license is provided. Additionally, if you remix, transform or build upon the CIS Controls, you may not distribute the modified materials. Users of the CIS Controls framework are also required to refer to (http://www.cisecurity.org/controls/) when referring to the CIS Controls in order to ensure that users are employing the most up-to-date guidance. Commercial use of the CIS Controls is subject to the prior approval of CIS® (Center for Internet Security, Inc.).”

So I CANNOT distribute the XLS as modified material (Why not?).

Extending the mapping

If you still want to build an extended version of the mapping on your own, you download the 1.1 version and add these items to the list:

CIS sectionCoverageISO27001 Control
2.2=A.12.5.1
2.5=A.8.1.1
2.8small subsetA.12.5.1
2.10small supersetA.9.4.1/A.8.2
3.1small subsetA.12.6.1
3.2small subsetA.12.6.1
3.4small subsetA.12.6.1
3.5small subsetA.12.6.1
3.6small subsetA.12.6.1
4.1small supersetA.8.1.1/A.9.2.3 
6.5small subsetA.12.4.1 
6.6small subsetA.12.4.1 
6.8small subsetA.12.4.1 
7.3small subsetA.12.2.1
7.5small supersetA.8./A.13.1.1
7.6small subsetA.13.1.1
8.3small subsetA12.2.1
9.5small subsetA.13.1.1
10.2small subsetA.12.3.1
10.5=A.12.3.1
11.1small subsetA.13.1.1
11.2small subsetA.13.1.1
11.6small subsetA.13.1.1
12.1small subsetA.13.1.1
12.5small subsetA.13.1.1
12.10small subsetA.13.1.1
13.2small subsetA.11.2.5
14.7small subsetA.8.2.3
16.2small subsetA.9.3.1
16.3small subsetA.9.3.1
16.9small subsetA.9.2.1
16.10small subsetA.9.2.1
16.12A.12.4.1
16.13A.12.4.1
17.1=Clause 7.2
18.3=A.12.5.1
18.4A.12.5.1
18.7A.14.2.9
18.10small subsetA.14.2.5 
18.11small subsetA.14.2.5 
19.3small subsetA16.1.1
19.6small subsetA16.1.2
19.7small subsetA16.1.1
19.8small subsetA16.1.4
20.1small subsetA18.2.3
20.2small subsetA18.2.3
20.3small subsetA18.2.3
20.4small subsetA18.2.3
20.5small subsetA18.2.3
20.6small subsetA18.2.3
20.7small subsetA18.2.3
20.8small subsetA18.2.3

Planning for ISO Certification using CIS Controls?

When you look at it from a different angle and you would like to build a plan to certify your ISO27001 implementation, we need to turn around the mapping, and look for the gaps in the ISO27001 security controls AND CLAUSES, when doing the CIS control mapping.


And then you’ll notice the explicit difference in approach between CIS controls and ISO27001 controls.
CIS controls are focusing on technical implementation to harden your cybersecurity, while ISO27001 is a management system that needs these controls, but requires a management layer to support these technical controls. CIS controls are lacking this management layer.
If you compare both systems in a table the story gets clear:

The “red” areas require extra work to make it ISO27001 compliant.

And as always, if you have suggestions of feedback to improve this article, let me know, I’ll fix it on the fly.

Cybersecurity voor vrijeberoepen en KMO (Webinar bij VLAIO)

Afgelopen vrijdag 21 februari, organiseerde Agentschap Innoveren & Ondernemen een praktisch webinar over Cybersecurity.

We toonden een vernieuwende aanpak die de zelfredzaamheid en veerkracht bij KMO’s inzake cybersecurity helpt vergroten.

Cybersecurity wordt beschouwd als één van de grootste bekommernissen in het huidige ondernemerschap. De veiligheid van (klanten)gegevens is een topprioriteit en een beleid hieromtrent uitwerken is noodzakelijk. Als adviseur zult u wel vaker de vraag krijgen van uw klanten over hoe ze hiermee aan de slag moeten gaan.

Hartelijk dank Melissa Gasthuys als gastvrouw en Eveline Borgermans voor de perfecte begeleiding en opname bij Agentschap Innoveren & Ondernemen

Hier de link naar de slides

De link naar de opname:

En je kan altijd nog even gaan kijken op cybervoorkmo.be voor meer tips en hints.