FAQ



De website datacare.nhlstenden.com is vooral bedoeld om je bewust te maken van het belang van privacy en security.
Je leest hier veel informatie over zaken waar je op moet letten. Concrete instructies leveren we in de vorm van voorlichtingsbijeenkomsten.
Vanuit de Bestuursstaf geven de Chief Information Security Officer (Freerk Bosscha) en de functionaris voor de gegevensbescherming (Floor May-Smit) desgevraagd advies.

Klik hier voor een overzicht van de leden van het Data Protection Council (DPC)

Binnen NHL Stenden is de mogelijk aanwezig om oude en/of niet meer gebruikte USB-sticks in te leveren zodat deze op een veilige manier worden vernietigd.
Speciaal hiervoor staat er op locatie Rengerslaan 10 bij DLWO een speciale afgesloten container.

Je kunt je oude en/of niet meer gebruikte USB-sticks bij de verschillende servicepleinen inleveren waarop deze via de daarvoor bestemde container veilig vernietigd zullen worden.

Sinds iOS 14/IpadOS 14/MacOS 11, waarschuwt Apple je voor onveilige wachtwoorden of als je wachtwoord gelekt is. Je krijgt ook meldingen als je gebruik maakt van een dienst die gehackt is. Maar het klinkt soms ernstiger dan het is.

Maak je gebruik van iCloud Sleutelhanger, dan heb je op al je apparaten toegang tot je belangrijke wachtwoorden. Dit maakt het mogelijk om voor elke dienst een moeilijk wachtwoord te gebruiken, zonder dat je het allemaal uit je hoofd hoeft te leren. Nu kan het wel eens gebeuren dat je meldingen krijgt dat je wachtwoord gelekt is. Wat je in zo’n geval moet doen lees je hieronder.

Meldingen ontvangen bij gelekte wachtwoorden

Wil je een melding ontvangen als een dienst die jij gebruikt gehackt is, dan kun je dat als volgt inschakelen:

  1. Ga naar de Instellingen-app op je iPhone of iPad.
  2. Tik op Wachtwoorden en log in met Touch ID of Face ID.
  3. Tik op Beveiligingsadvies.
  4. Zet de schakelaar aan bij Detecteer gehackte wachtwoorden.

Wat te doen als je een melding voor gelekt wachtwoord krijgt?

Stel dat je een melding krijgt dat er sprake is van een gelekt wachtwoord. Is dat dan meteen reden om in actie te komen? Ja! Maar het hoeft niet altijd iets ergs te betekenen.

Bekijk wat er mis is met het wachtwoord. Er kan bijvoorbeeld sprake zijn van een eenvoudig te raden wachtwoord, of een wachtwoord dat je op meerdere websites hebt gebruikt.

iCloud Sleutelhanger toont meestal ook de link naar de website, waar je je wachtwoord kunt aanpassen. Als je hierop klikt wordt je naar de oorspronkelijke website gestuurd, waar je ooit het wachtwoord hebt aangemaakt. Hoewel de kans niet zo groot is, is het goed om te controleren of je daadwerkelijk bij de echte website terecht bent gekomen, dus bij rabobank.nl en niet bij rabobanck.cn. Vooral Russische (.ru) en Chinese (.cu) domeinnamen zijn vaak verdacht. Nederlandse banken gebruiken geen buitenlandse webdomeinen om je bankzaken te regelen. Met een kritische blik is vaak wel te zien of je goed zit.

Heb je inderdaad een gemakkelijk te raden wachtwoord gemaakt, of een wachtwoord dat je al 100x elders hebt gebruikt, dan is toch echt ons dringende advies om je wachtwoord te wijzigen!

Gaat het om een onbelangrijke webdienst die je nooit meer gebruikt, of heb je inmiddels een ander wachtwoord ingesteld, dan kun je de melding negeren. Maar hou er rekening mee dat wachtwoorden die bij de ene hack buit worden gemaakt, worden gebruikt om op talloze andere sites in te loggen. Domweg omdat criminelen weten dat mensen vaak dezelfde wachtwoorden hergebruiken.

Beveiligingsadvies bekijken

Wil je het grondig aanpakken, dan is het aan te raden om eens door Instellingen > Wachtwoord > Beveiligingsadvies (op IOS/IpadOS) te gaan. Je vindt hier een lijst van alle onveilige wachtwoorden en adviezen hoe je je wachtwoord zou kunnen verbeteren.

Heb je bijvoorbeeld het wachtwoord ‘123456’ ingevuld voor een website, dan waarschuwt Apple dat het een eenvoudig te raden wachtwoord is. Dergelijke wachtwoorden worden nog steeds veel gebruikt en duiken dan ook regelmatig op bij verschillende hacks. Een ander voorbeeld is ‘qwerty’, maar ook een wachtwoord waarvan jij misschien zelf denkt dat het geniaal gevonden is, zoals ‘w4chtw00rd’, is door kwaadwillenden gemakkelijk te raden.

Je kunt het wachtwoord vervolgens aanpassen. Ook is er de mogelijkheid om het wachtwoord te verwijderen, maar dit lost het probleem niet op. Het maakt jouw slecht gekozen wachtwoord alleen maar onzichtbaar voor jezelf, maar het account en het wachtwoord bestaan nog steeds en de data kan nog steeds misbruikt worden.

Have I been Pwned

Apple vergelijkt jouw wachtwoorden met lijsten van veelgelekte wachtwoorden. Daarbij wordt gebruik gemaakt van diensten zoals Have I Been Pwned, waar ook 1Password nauw mee samenwerkt. Je kunt via deze website op elk moment checken of jouw mailadres is gelekt, mogelijk in combinatie met het wachtwoord.

Medio 2020 is begonnen met de uitrol van windows 10 op alle door NHL Stenden Hogeschool beheerde devices. Op het moment dat op een door NHL Stenden Hogeschool beheerde laptop windows 10 is geïnstalleerd is, zal deze ook automatisch voorzien zijn van disk-encryptie.
Ook op de MacBooks die door NHL Stenden Hogeschool worden geleverd, zal standaard disk-encryptie aangezet worden.


Regelmatig komt de vraag naar voren hoe e-mail met gevoelige informatie toch veilig te versturen. Vooropgesteld: gebruik alleen maar e-mail als dit op een andere wijze niet mogelijk is.

Aanbevolen route:

  • binnen NHL Stenden: maak gebruik van de mogelijkheden van Sharepoint/Onedrive om het document te delen
  • buiten NHL Stenden: maak gebruik van https://filesender.surf.nl/ en gebruik eventueel daarbij de optie om bestanden te “versleutelen”.

Mocht dit toch niet mogelijk zijn, en wil je voorkomen dat de gegevens door derden kunnen worden ingezien, maak dan gebruik van “versleuteling” binnen outlook.

  1. Versleuteling via de web-client van outlook

Als je op “Nieuw bericht” klikt, zie je ook een woordje “Versleutelen” staan. 

Door op “Versleutelen” te klikken, geef je aan dat het bericht “versleuteld” wordt en alleen door de geadresseerde geopend kan worden.

Door te klikken op “Machtigingen wijzigen” kun je ook nog aangeven of het bestand alleen bekeken mag worden of als het bestand niet doorgestuurd mag worden.

Je kunt nu, net als een onversleuteld bericht, het beritch verder opstellen en verzenden.

Wanneer een versleuteld bericht naar een extern e-mailadres wordt gestuurd, zal de ontvanger, nadat hij de mail heeft geopend een tweede e-mail ontvangen met daarin een eenmalige wachtwoordcode om het bericht te kunnen lezen.

2. Versleuteling via de lokaal geïnstalleerde versie van outlook.

Ook via een lokaal geïnstalleerde versie van outlook, bv als onderdeel van de O365 suite, is het mogelijk een versleuteld bericht te verzenden.

Klik op “nieuwe e-mail” om een nieuw e-mailbericht te maken.

Klik vervolgens op “Opties”

Hier zie je ook de optie “Versleutelen” staan.

Door op “Versleutelen” te klikken wordt het bericht standaard versleuteld. Dit betekent dat een geadresseerde het bericht kunnen lezen, doorsturen en kopiëren. Wil je dit niet, klik dat op de opties bij “Versleutelen”.

Je krijgt dat de optie om:

  • Alleen versleutelen (standaard)
  • Niet doorsturen
  • Vertouwelijk
  • Vertrouwelijk – Alleen weergeven

Selecteer de gewenste optie.

Hierna kun je het bericht opstellen en op Verzenden klikken.

Op het moment van verzenden kan het zijn dat je nog wel een keertje je NHL Stenden wachtwoord in moet voeren.

Wanneer een versleuteld bericht naar een extern e-mailadres wordt gestuurd, zal de ontvanger, nadat hij de mail heeft geopend een tweede e-mail ontvangen met daarin een eenmalige wachtwoordcode om het bericht te kunnen lezen.

Anderen kunnen bij de wachtwoorden

De browser (Edge, Chrome, Firefox,..) waarmee je het internet op gaat, vraagt overal waar je inlogt of het het wachtwoord moet onthouden. Als je dat wilt, wordt het wachtwoord automatisch ingevuld wanneer je de volgende keer op de site komt. Handig toch! Maar als je met meerdere personen een computer gebruikt of als anderen toegang hebben tot de computer, kunnen zij je wachtwoord eenvoudig achterhalen via de instellingen van de browser.

Sla wachtwoorden dus nooit op in de browser.

Opgeslagen wachtwoorden gehackt

Een ander risico loop je wanneer de computer is getroffen door malware. Kwaadwillenden zouden bij de opgeslagen wachtwoorden in de browser kunnen komen. Zorg daarom altijd dat het antivirusprogramma op de computer is bijgewerkt naar de laatste versie.

Hoe moet ik een wachtwoord bewaren?

Het veiligste zijn je wachtwoorden wanneer ze niet onbeschermd op de computer staan, en natuurlijk ook niet op een briefje naast de computer. Gebruik voor elke website een ander wachtwoord. Dit voorkomt dat mocht een website “gehackt” worden, de “schade” alleen beperkt is tot die ene website. Vind je het lastig om al deze wachtwoorden te onthouden, maak dan gebruik van een zg. wachtwoordmanager.
Meer daarover leest u in het faq ‘Wachtwoorden bewaren met een wachtwoordmanager‘.

De reeds opgeslagen wachtwoorden in de browser wis je eenvoudig door een van de onderstaande handleidingen.

Opgeslagen wachtwoorden wissen in Internet Explorer 11

  • Klik rechtsboven op de knop met het tandwiel.
  • Klik op Internetopties.
  • Een venster met instellingen opent. je bent op het tabblad ‘Algemeen’. Dat is goed. Klik onder het kopje ‘Browsegeschiedenis’ op Verwijderen.
  • Zet een vinkje voor Wachtwoorden en haal desgewenst de vinkjes voor de andere opties weg.
  • Klik op Verwijderen.
  • Klik op OK.

Opgeslagen wachtwoorden wissen in Chrome

  • Klik rechtsboven op de knop met de drie puntjes.
  • Klik op Instellingen.
  • Blader naar onderen en klik op de blauwe link Geavanceerde instellingen weergeven.
  • Klik onder het kopje ‘Privacy’ op Browsegegevens wissen.
  • In het nieuwe venster staat een rijtje met zaken die verwijderd kunnen worden. Zet een vinkje voor Wachtwoorden en haal desgewenst de vinkjes voor de andere opties weg.
  • Klik op Browsegegevens wissen.

Opgeslagen wachtwoorden wissen in Firefox

  • Klik rechtsboven op de knop met de drie streepjes.
  • Klik op Opties.
  • Klik op het tabblad Beveiliging.
  • Klik op Opgeslagen Aanmeldingen.
  • Klik op Alle verwijderen.
  • Klik op Ja.
  • Klik op Sluiten.


Opgeslagen wachtwoorden wissen in Edge

  • Klik rechtsboven op de knop met de drie puntjes.
  • Klik op Instellingen.
  • Klik onder ‘Browsegegevens wissen’ op Kies wat u wilt wissen.
  • Zet een vinkje in het vakje voor Wachtwoorden.
  • Klik op Wissen.

Veel mensen gebruiken hetzelfde wachtwoord voor meerdere accounts. Dat is niet veilig. Want als iemand jouw wachtwoord van het ene account achterhaalt, kan hij dus op meerdere plekken inloggen. Je zou daarom eigenlijk voor ieder account/website een uniek wachtwoord moeten gebruiken. Een sterk wachtwoord dat moeilijk te kraken is. Een wachtwoord (of password) manager kan je helpen om sterke wachtwoorden te genereren én ze te bewaren

Veilig al je login gegevens bewaren
Met een wachtwoord manager gebruik je alleen nog maar sterke wachtwoorden die niet te herleiden zijn. Die maakt de tool automatisch voor je aan. Je hoeft niet bang te zijn dat je ze niet kunt onthouden. Of dat je ze iedere keer opnieuw in moet voeren. Dat gebeurt namelijk automatisch. Via één centraal wachtwoord – dat van de password manager- heb je al je login gegevens binnen handbereik. Het is dus eigenlijk een digitale kluis.

Maar hoe zit het met dat ene wachtwoord?
Is een vraag die dan al snel bij mensen opkomt. Want, als die gekraakt wordt dan kunnen ze écht overal bij. Daarom is het verstandig om 2-factor authentificatie in te stellen voor je accounts. Dat zorgt er voor dat je niet met alleen een wachtwoord kunt inloggen, maar dat je ook een code vanaf een apparaat (bijvoorbeeld je telefoon) moet invoeren om binnen te komen.
Daarnaast is het belangrijk om een heel sterk wachtwoord te kiezen. Of liever nog: een wachtzin. Eentje die je makkelijk onthoudt maar wel heel veel tekens bevat. Zoals: “Oh, wat zou 1k V@nD@@g gr@@g eens n@@r het str@nd w1llen g@@n!”.

Welke wachtwoord manager moet ik nemen?
Er zijn verschillende geschikte wachtwoord managers op de markt. Wij hebben bijvoorbeeld goede ervaringen met Keeper, LastPass1PasswordBitWarden en KeePass. Je hebt vaak een “gratis” en een betaalde variant. Wil je ook een 2e factor gebruiken en het op meerdere systemen van je installeren met dezelfde gegevens, dan verval je al vaak in een betaalde versie.
En als je alleen maar Apple producten gebruikt is de Keychain ook prima.

Vind hier al je vragen én de antwoorden van de Autoriteit Persoonsgegevens.

Dat mag alleen als dit in opdracht van het College van Bestuur of van een Directeur gebeurt. De spelregels die dan gelden, vind je hier. Er worden in ieder geval geen lijsten met (e-mail)adresgegevens per mail verstuurd. Schakel je een externe partij in voor de verzending? Dan heb je een verwerkersovereenkomst of een gegevensuitwisselingsovereenkomst nodig. Hier vind je meer informatie.

Dat mag als het om essentiële informatie gaat die noodzakelijk is voor een goede uitvoering van het onderwijs of het onderzoek of voor een goede bedrijfsvoering. Over wat je binnen je eigen Dienst, Academie of Verbindingseenheid verspreidt, beslist de Directeur. Het College van Bestuur kan altijd gebruik maken van de mogelijkheid alle (of grote groepen) medewerkers of studenten te mailen.

Hoe gaat dat dan in zijn werk?

Het verzoek wordt ingediend Marketing & Communicatie, CSA, HRM of het team Privacy & Security van de Bestuursstaf.

Het wordt vervolgens beoordeeld door een speciale commissie (commissie Bulk-e-mail) met vertegenwoordigers van Marketing & Communicatie, CSA, HRM en het team Privacy & Security van de Bestuursstaf. Het belang van de aanvrager wordt afgewogen tegen het belang van de instelling, de AVG en de verwachtingen en behoeften van de medewerkers en de studenten.

Indien het verzoek wordt gehonoreerd, zorgt Marketing en Communicatie in principe voor de verzending.

Hier lees je meer.

Waarom kan iedere Dienst, Academie of Verbindingseenheid dat niet zelf beslissen?

Dat zou inderdaad ideaal zijn – mits ze zich houden aan de AVG – maar onze e-mailomgeving maakt het versturen van dit soort mailingen op basis van rollen en autorisaties helaas nog niet mogelijk.

Onderzoek is een van de zwaartepunten van de hogeschool. Dus daar werken wij graag aan mee. Een e-mail met het verzoek mee te doen aan een onderzoek of een enquête kan worden verstuurd als

  • het onderzoek wordt uitgevoerd in opdracht van (een organisatieonderdeel van) NHL Stenden Hogeschool;
  • het onderzoek deel uitmaakt van de opleiding van studenten of medewerkers van NHL Stenden.

Overige verzoeken worden behandeld door de commissie Bulk-email, bestaande uit vertegenwoordigers van Marketing Communicatie, CSA, HRM en het team Privacy & Security van de Bestuursstaf. Op basis van de criteria wordt het verzoek wel of niet gehonoreerd.

De e-mail wordt in principe verstuurd door Marketing & Communicatie. De onderzoeker ontvangt geen lijst met e-mailadressen.

Maar als je dit soort mails nu helemaal niet op prijs stelt?

Bij ieder verzoek om mee te doen aan een onderzoek of een enquête zit een afmeldoptie die van kracht blijft tot de eerstvolgende 1 september. Precies weten hoe dat gaat? Lees dan hier verder.

Regelmatig komt de vraag binnen hoe binnen O365 MyAnalytics uitgezet kan worden.
Onderstaande de stappen om dit uit te zetten.

1. Open de website https://myanalytics.microsoft.com

2. Log in met je NHL Stenden e-mailadres en wachtwoord

3. Klik op het “tandwieltje”

4. Klik op “Instellingen” onder MyAnalytics

5. Klik op “Aan”

Dit zal nu wijzigen in

6. Bevestig de instellingen door op “Opslaan” te klikken.

  1. Zoek de harde schijf die u wilt coderen onder “Deze PC” in Windows Verkenner.
  2. Klik met de rechtermuisknop op de doelschijf en kies “BitLocker inschakelen”.
  3. Kies “Voer een wachtwoord in”.
  4. Voer een veilig wachtwoord in.
  5. Kies “Hoe uw herstelsleutel in te schakelen” die u gebruikt om toegang te krijgen tot uw schijf als u uw wachtwoord verliest. U kunt het afdrukken, opslaan als een bestand op uw harde schijf, opslaan als een bestand op een USB-stick of de sleutel opslaan op uw Microsoft-account.
  6. Kies “Versleutel volledige schijf.”. Deze optie is veiliger en versleutelt bestanden die u hebt gemarkeerd voor verwijdering.
  7. Tenzij u wilt dat uw schijf compatibel is met oudere Windows-machines, kiest u “Nieuwe versleutelingsmodus”.
  8. Klik op “Start codering” om het coderingsproces te starten. Houd er rekening mee dat hiervoor een herstart van de computer nodig is als u uw opstartdrive codeert. De versleuteling zal enige tijd in beslag nemen, maar zal op de achtergrond worden uitgevoerd en u zult uw computer nog steeds kunnen gebruiken terwijl deze draait.

Opmerking: BitLocker is niet beschikbaar op Windows 10 Home edition, maar er is een soortgelijke functie voor apparaatversleuteling.

FileVault inschakelen en instellen

FileVault 2 is beschikbaar in OS X Lion of hoger. Wanneer FileVault is ingeschakeld, vereist uw Mac dat u inlogt met het wachtwoord van uw account. 

  1. Kies het Apple-menu () > ‘Systeemvoorkeuren’ en klik op ‘Beveiliging en privacy’.
  2. Klik op het tabblad ‘FileVault’.
  3. Klik op  en voer de naam en het wachtwoord van een beheerder in.
  4. Klik op ‘Schakel FileVault in’.

Als andere gebruikers accounts hebben op uw Mac, ziet u mogelijk een bericht waarin wordt gemeld dat iedere gebruiker zijn of haar wachtwoord moet typen voordat zij de schijf kunnen ontgrendelen. Klik voor iedere gebruiker op de knop ‘Schakel gebruiker in’ en voer het wachtwoord van de gebruiker in. Gebruikersaccounts die u na de inschakeling van FileVault toevoegt, worden automatisch geactiveerd.

FileVault uitschakelen

Als u de opstartschijf niet meer wilt coderen, kunt u FileVault uitschakelen:

  1. Kies het Apple-menu > ‘Systeemvoorkeuren’ en klik op ‘Beveiliging en privacy’.
  2. Klik op het tabblad ‘FileVault’.
  3. Klik op  en voer de naam en het wachtwoord van een beheerder in.
  4. Klik op ‘Schakel FileVault uit’.

De decodering gebeurt op de achtergrond wanneer u de Mac gebruikt en alleen als de Mac niet in de sluimerstand staat en op een stopcontact is aangesloten. U kunt de voortgang controleren in het gedeelte ‘FileVault’ van de voorkeuren van ‘Beveiliging en privacy’. 

Phishing via Whatsapp begint steeds grotere vormen aan te nemen. Ook binnen NHL Stenden Hogeschool zijn er medewerkers die hier de dupe van zijn geworden.
Vaak doen ze zich voor als een bekende en vragen je om geld.

Phishing via WhatsApp, hoe gaat dat?

Sommige oplichters sturen je een nepbericht, zogenaamd van WhatsApp, met logo en al. Ze zeggen dat het geld gaat kosten om een WhatsApp-bericht te sturen. Of ze melden dat je de app moet updaten. Als je doorklikt moet je je telefoonnummer invullen. Doe dit NOOIT!

Waar trappen veel mensen in?

Sommige oplichters doen zich voor als een kennis of familielid. Ze sturen je een appje en vragen je om geld. Ze gebruiken een gestolen foto.

De oplichter stuurt een appje naar het slachtoffer en zegt meteen dat zijn telefoonnummer is gewijzigd. Het slachtoffer twijfelt niet omdat hij zijn zoon herkent op de profielfoto. De ‘zoon’ heeft die foto simpelweg ergens gevonden en als eigen profielfoto ingesteld.

Als het slachtoffer aangeeft telefonisch te willen overleggen, dreigt het plannetje te mislukken. De oplichter weet dat gevaar af te wenden. Het geld wordt overgemaakt, maar als het slachtoffer direct daarna ontdekt dat hij is opgelicht, kan de betaling vaak niet meer terug gedraaid worden.

Waaraan is WhatsApp-phishing vaak te herkennen?

Deze oplichters zeggen vaak dat ze familie zijn. Ze gebruiken de smoes dat ze hun telefoon zijn verloren en nu een ander telefoonnummer hebben. Ze denken dat je wilt helpen en dus dat je zonder nadenken klikt.

Stapsgewijs gaat dit alsvolgt:

  1. Een ‘bekende’ stuurt je een appje vanaf een onbekend nummer (de profielfoto klopt).
  2. Deze ‘bekende’ zit in geldnood en vraagt je om geld voor te schieten.
  3. Er is (veel) haast bij.
  4. De ‘bekende’ wil niet op een andere manier communiceren, of hij beweert dat dit niet kan.

Wat moet je doen als je zo’n vals bericht krijgt?

Vraag via een ander kanaal na of de afzender jou dit appje heeft gestuurd. Stuur bijvoorbeeld een mailtje of bel het nummer dat je kent. En als het inderdaad niet deugt, waarschuw dan direct de politie via 0900-8844 en zeg dat het om phishing gaat.

Waarom moet je de politie bellen?

Deze oplichters maken vaak in korte tijd veel slachtoffers. Dus deze daders willen ze gaag pakken. Hoe sneller het gemeld wordt, hoe meer kans de politie heeft om ze daarwerkelijk in de kraag te vatten.



Phishing (afgeleid van het Engelse fishing voor ‘vissen’) draait om e-mails die op het eerste gezicht heel normaal lijken. In zo’n bericht staat meestal een verzonnen reden om jou zover te krijgen dat je persoonlijke gegevens invoert of een schadelijk programma installeert. Een phishing-mail bevat hiertoe bijvoorbeeld een link naar een vervalste inlogpagina van een bank of probeert je ertoe te verleiden een attachment te openen.

Het spamfilter van NHL Stenden Hogeschool houdt de meeste spam- en phishingberichten al tegen. Maar internetcriminelen worden steeds slimmer en dus belanden phishingmails soms tóch in je postvak. Als dat gebeurt, moet je zo’n bericht direct verwijderen.

Hoe herken je phishing? Er is geen perfecte manier. Maar je kunt jezelf op diverse manieren beschermen. Onderstaande vind je 10 tips waarmee je phishing kunt herkennen.

Mocht je toch geklikt hebben op een link en/of gegevens ingevoerd hebben, in het bijzonder je gebruikersnaam en wachtwoord, meld dit dan ALTIJD via het e-mailadres phishing@nhlstenden.com of telefonisch bij het serviceplein via 058-251 2552.

1. Ken je de afzender?

Vraagt een onbekende afzender je om een attachment te openen (bijvoorbeeld een factuur), een link aan te klikken of persoonlijke gegevens te controleren (zoals inloggegevens, bankgegevens of creditcardgegevens)? Doe het niet en verwijder de mail meteen!

2. Bedriegers met nepadres

Veel afzenders doen alsof ze van een bekend bedrijf zijn. Bijvoorbeeld de ‘eBay factuurservice’. Soms herken je deze bedriegers meteen omdat ze een dubieus e-mailadres gebruiken, zoals ebayfacturen@gmail.com. Maar ook betrouwbaar ogende adressen zijn soms nep. Vertrouw dus niet blind op een correct e-mailadres.

3. “Geachte klant”

Echte e-mails van bedrijven gebruiken meestal je naam in de aanhef. Phishingmails hebben meestal een algemene aanhef, zoals ‘Beste klant’. Maar soms hebben internetcriminelen tóch je naam en spreken je daarmee aan. Dus ook hier geldt: let goed op.

4. Laat je niet onder druk zetten

‘Alleen vandaag geldig!’ – ‘Controleer zo snel mogelijk uw gegevens, anders wordt uw creditcard geblokkeerd!’ – ‘Laatste herinnering!’ Phishingmails proberen je vaak onder druk te zetten. Maar laat dat nooit toe, want een serieuze afzender gaat heus niet op deze manier te werk. Controleer zo’n e-mailbericht dus extra goed voor je besluit te reageren. En let op: in Nederland vragen creditcardmaatschappijen en banken nooit per e-mail om je persoonlijke gegevens te controleren of in te voeren.

5. Spelvouten vindne

Phishingmails kun je vaak herkennen aan spelfouten, een lay-out die niet helemaal klopt, vreemde vertalingen of rare tekens. Toch zijn de e-mails van internetcriminelen steeds moeilijker van echt te onderscheiden. Volg dus voor de zekerheid ook de onderstaande stappen.

6. De beruchte link

Vraagt de e-mail je om op een link te klikken? Controleer die link dan uiterst nauwkeurig. Een Nederlandse bank of creditcardmaatschappij stuurt bijvoorbeeld nooit een e-mail met daarin een link die je moet aanklikken om persoonsgegevens te controleren.

Let dus op: de weergegeven link hoeft niet per definitie gelijk te zijn aan de technische link. Dus als de link www.jouwbank.nl heet, kan er een heel ander adres onder verstopt zitten. Check dit dus altijd en neem geen risico.

7. Het foute adres

En wat als een link wél betrouwbaar overkomt? Schijn bedriegt vaak. Nemen we eBay en ABNAMRO als voorbeeld: de échte adressen zijn www.ebay.com en www.abnamro.nl. Foute adressen wijken hier altijd een beetje van af of hebben een rare extensie. Bijvoorbeeld: www.ebay.to, www.ebey.com, abnam.ro/login, www.abnamro-inloggen.com.

8. Attachments #1

Phishingberichten bevatten vaak attachments, waarvan de inhoud onduidelijk is of die lijken op een factuur. Zulke bestanden kunnen gevaarlijk zijn, omdat er virussen of andere schadelijke software in verstopt kan zitten.

Open nooit attachments die eindigen op .bat, .exe, .com, .cmd, .vbs. Een bestand dat factuur.exe heet, bevat zeer waarschijnlijk schadelijke software. En als er een zip-bestand wordt meegestuurd, is dit zeer waarschijnlijk ook bedrog.

9. Attachments #2

Wees ook voorzichtig met attachments die een .doc, .docx, .ppt of .xls bestand bevatten. Dit lijken weliswaar onschuldige Office-documenten, maar ze kunnen gevaarlijke scripts bevatten. Open deze documenten dus alleen als de afzender bekend is (bijvoorbeeld een collega). En wees ook dan op je hoede. In Office-toepassingen als Word en Excel en in je besturingssysteem kun je bepaalde scripts uitschakelen. Controleer dit voordat je een onbekend bestand opent.

10. Attachments #3

Tot slot: sommige besturingssystemen verbergen de extensie (zoals .exe, .txt, etc.). Een potentieel schadelijk bestand als ‘factuur.txt.exe’ is dan te zien als relatief onschuldig ‘factuur.txt’ bestand.

Bij twijfel geldt altijd: e-mails verwijderen!

Nu steeds meer data beschikbaar gesteld wordt via de SharePoint omgeving,
komt ook regelmatig de vraag of er zonder problemen de data van lokale shares
(bv. I-, U- of M-schijf) verplaatst kan worden naar de SharePoint omgeving en
of de gebruiker dit zelf kan doen.

In principe kan een gebruiker dit zelf uitvoeren.
Houdt er echter rekening mee dat de rechten zoals die binnen de shares
ingericht zijn NIET meegenomen worden wanneer de gegevens gekopieerd worden.
Dit kan betekenen dat er informatie nu voor iedereen beschikbaar is. Dit is
vaak niet de bedoeling. Dit zal met name van toepassing zijn wanneer er data
vanaf de i-schijf (voormalig NHL) wordt gekopieerd.

Neem bij twijfel ALTIJD contact op met het serviceplein. Hiermee wordt
voorkomen dat er datalekken kunnen ontstaan.

 


Het Data Protection Council (DPC) van NHL Stenden Hogeschool is een overleg- en adviesorgaan voor het beleid op het gebied van privacy (bescherming persoonsgegevens) en security (informatiebeveiliging).

Het DPC is samengesteld uit vertegenwoordigers van alle Academies, verbindingseenheden en afdelingen. De leden van de Regiegroep Informatiebeveiliging maken qualitate qua deel uit van de DPC.
Het dagelijks bestuur van de DPC wordt gevormd door de Functionaris Gegevensbescherming en de Security Officer, die beiden deel uit maken van de Bestuursstaf.

De bijeenkomsten worden geleid door de FG.

De leden vervullen een actieve rol binnen hun Academie, Dienst of Verbindingseenheid en hebben directe toegang tot en invloed op het Managementteam.

Snel, veilig en gemakkelijk bestanden versturen en ontvangen? Met SURFfilesender kun je grote bestanden, zoals onderzoeksdata, versturen. SURFfilesender is ook geschikt voor kleinere bestanden, zoals rapporten. De bestanden zijn in Nederland opgeslagen. Door encryptie wordt extra veiligheid geboden. Je vindt SURFfilesender hier (link).

Gebruik dus geen Wetransfer meer! Wetransfer is een gratis dienst en bij gratis producten is de kans groot dat jij het product bent. De bestanden worden bovendien in de VS opgeslagen wat qua privacy ook problematisch is.

SURFfilesender: voor elk bestandsformaat

Zeer grote bestanden met onderzoeksgegevens (tot 500 GB) verstuur je gemakkelijk met SURFfilesender, bijvoorbeeld genoomsequenties of astronomische waarnemingen. Maar SURFfilesender is ook geschikt voor kleinere bestanden, zoals rapporten.

Veilig en vertrouwd met encryptie

Met SURFfilesender worden je bestanden veilig verstuurd. De geüploade bestanden worden maximaal 21 dagen opgeslagen in Nederland. Hoewel SURFfilesender standaard al veilig is, kun je als gebruiker ook kiezen voor extra veiligheid, in de vorm van encryptie. Bestanden tot 2 GB kunnen met encryptie worden verstuurd. Hierbij verstuur je via een tweede kanaal (bijvoorbeeld telefonisch of per sms) een ‘sleutel’ naar de ontvanger. De ontvanger voert deze sleutel vervolgens in om het bestand te kunnen downloaden. Zo bepaal jij zelf wie toegang heeft tot je waardevolle onderzoeksdata of andere privacygevoelige bestanden.

Snel en gebruiksvriendelijk

SURFfilesender is zeer makkelijk in gebruik. Je hoeft niets te installeren om bestanden te versturen en ontvangen. Jij en de ontvanger hebben alleen een moderne browser nodig. SURFfilesender is gekoppeld aan SURFconext, waardoor je eenvoudig in kunt loggen met je eigen instellingsaccount. Gastgebruik is ook mogelijk, zodat bestanden ook veilig uitgewisseld kunnen worden met personen die geen licentie hebben voor SURFfilesender.

Persoonsgegevens

Juridische noot: bij gebruik van deze dienst worden persoonsgegevens verwerkt. NHL Stenden Hogeschool is juridisch gezien verwerkingsverantwoordelijke voor de verwerking van deze persoonsgegevens en SURF heeft de rol van verwerker namens de instelling.

De volgende persoonsgegevens worden door SURF verwerkt:

  • voornaam
  • achternaam
  • e-mailadres
  • organisatie
  • loggegevens
  • IP-adres
  • onderwerp van verzonden bestand
  • onderwerp van verzonden voucher
  • onderwerp van gedownload bestand
  • bestandsnaam
  • eduPersonTargetedID (een willekeurige tekenreeks die SURFfilesender gebruikt om jou te onderscheiden van andere gebruikers)
  • e-mailadres van ontvangende gebruiker


Gebruik geen gratis tools als wetransfer e.d.

In de General Data Protection Regulation (GDPR) die vanaf mei 2018 van kracht is, wordt het concept “gepseudonimiseerde data” geïntroduceerd als voorkeursoplossing voor het gebruik van persoonsgegevens buiten de productieomgeving.

Onderstaande gaan we in op het verschil tussen gepseudonimiseerde en geanonimiseerde data en welke van de twee het meest geschikt is bij het testen van software.

In het kort

Pseudonimiseren is:
– Persoonsgegevens zijn nog altijd herleidbaar.
– Avg BLIJFT van toepassing

Anonimiseren is:
– Persoonsgegevens zijn niet te herleiden naar originele gegevens
– Avg is NIET meer van toepassing.

Onderstaande wordt in meer detail ingegaan op deze beide vormen.

Pseudonimiseren

Definitie (AVG artikel 4[5])
“Het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.”

Voorbeeld:

Jan de Vries wordt 4#dfes42d4. Dit gebeurt bijvoorbeeld met behulp van encryptie. Na de encryptie is de verantwoordelijke instantie nog steeds in staat om de betrokkene te identificeren. Het algoritme levert namelijk voor het voorbeeld Jan de Vries altijd hetzelfde pseudoniem op en kan dus met de kennis van het algoritme weer worden teruggehaald.

Pseudonimisering is daardoor omkeerbaar en als zodanig zijn het nog steeds persoonsgegevens die vallen onder de GDPR. Hoe complex en bijna onmogelijk het is om gedetailleerde persoonsgegevens zo te bewerken dat het geen persoonsgegevens meer zijn, is terug te lezen in de wp216-opinie. Alleen in specifieke en zeer goed ontworpen verwerkingen is dit mogelijk. De toezichthouders schrijven dan ook zelf:

 “Het is daarom van wezenlijk belang in te zien dat wanneer een voor de verwerking verantwoordelijke de originele (identificeerbare) gegevens niet verwijdert op gebeurtenisniveau, en een deel van die dataset doorgeeft (bijvoorbeeld na het verwijderen of maskeren/afschermen van identificeerbare gegevens), de resulterende dataset nog steeds valt onder de noemer van persoonsgegevens. Uitsluitend wanneer de voor de verwerking verantwoordelijke de gegevens dermate samenvoegt (aggregeert) dat de individuele gebeurtenissen niet langer identificeerbaar zijn, kan de resulterende dataset als anoniem worden aangemerkt. Wanneer een organisatie bijvoorbeeld gegevens over reizigersbewegingen verzamelt, worden de individuele reispatronen op gebeurtenisniveau nog steeds met persoonsgegevens gelijkgesteld voor elke partij, en wel zolang de voor de verwerking verantwoordelijke (of enige andere partij) toegang heeft tot de oorspronkelijke onbewerkte gegevens, ook al werden de direct identificerende gegevens („identificatoren”) verwijderd uit de aan derden doorgegeven dataset.”

Oftewel: je kunt masken, hashen, blanken, pseudonimiseren en anonimiseren, maar zolang je niet aggregeert (gegevens in groepen samenvoegt) en de oorspronkelijke gegevens blijven bestaan, blijft iedere bewerkte set een set met persoonsgegevens.

Pseudonimisering vermindert wel de kans op misbruik van de gegevens bij een eventueel datalek, want je moet weten hoe het algoritme werkt.

Voor testdoeleinden is deze methode niet zo geschikt. Wanneer je namelijk testgevallen hebt waarmee je moet controleren of de voornaam met een bepaalde letter begint kan dat niet of wanneer je de geboortedatum hebt gepseudonimiseerd kun je testgevallen die moeten controleren op basis van de geboortedatum (bijvoorbeeld leeftijd > 21) niet meer uitvoeren.

Anonimiseren (datamasking)

Anoniem of anonimiseren wordt niet gedefinieerd in de wettekst. Toch komt het woord op een cruciaal punt terug. In recital 26 staat:

“De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens…”

Oftewel: als gegevens anoniem zijn, is de wet niet van toepassing. Wat hier eigenlijk staat, en wat waarschijnlijk duidelijker was geweest, is: “… op gegevens die geen persoonsgegevens (meer) zijn”. De wet is namelijk van toepassing op “de verwerking van persoonsgegevens” (artikel 2 lid 1) en voor persoonsgegevens is wel degelijk een definitie in artikel 4(1) met als kern “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon”.

Datamasking is een methode waarbij de data wordt bewerkt volgens bepaalde regels. Er zijn verschillende methodes om dit te doen. Een paar voorbeelden staan hieronder:

  • Shuffle (al dan niet geconditioneerd)
    Achternamen kunnen bijvoorbeeld onderling worden verwisseld.
  • Blanken
    Bepaalde velden kunnen worden leeggemaakt
  • Firstday
    De dagen in een datum kunnen worden vervangen door een 1
  • Look-up
    Gegevens kunnen worden vervangen door fictieve gegevens uit een ander bestand
  • Expression
    Gegevens worden vervangen op basis van vooraf gedefinieerde regels

Anonimiseren is onomkeerbaar: gegevens zijn na maskeren dan ook geen persoonsgegevens meer. Wanneer deze gegevens zich buiten de productieomgeving bevinden, is er ook na inwerkingtreding van de GDPR géén sprake van een potentieel datalek. Dit is daardoor een goede methode om productiedata geschikt te maken voor testdoeleinden.

Let op!

  1. Belangrijke randvoorwaarde is natuurlijk wel dat alle herleidbare persoonsgegevens gemaskeerd worden.
  2. Het anonimiseren dient te gebeuren door daartoe geautoriseerde personen en binnen de geldende regels. Vóór het anonimiseren zijn het namelijk nog wel persoonsgegevens die vallen onder de GDPR regels.

Het vragen van toestemming aan alle aanwezigen is ondoenlijk. Geef van tevoren duidelijk aan dat er foto’s worden gemaakt en waarvoor die foto’s gebruikt worden. Verzoek gediplomeerden en anderen die niet op de foto willen dat van tevoren duidelijk aan te geven.

Voor foto’s die je als school plaatst op social media of op de website hoef je vervolgens niet apart toestemming te vragen aan de mensen die je fotografeert. Je doet dit op grond van het gerechtvaardigd belang van de instelling / opleiding (officiële rechtsgrond). Iemand die naderhand bezwaar heeft tegen een afbeelding van hem of haar op social media of op de website, kan verzoeken die foto te verwijderen, wat je dan ook zonder dralen moet doen. Het spreekt voor zich datje als onderwijsinstelling nooit compromitterende foto’s plaatst of foto’s waarvan je gezond verstand zegt dat de verspreiding gevoelig zou kunnen liggen.

Als je foto’s wilt gebruiken voor een duurzamer doel, voor opname in een boek of om te gebruiken in promotiemateriaal van de instelling, dan is het verstandig om expliciet toestemming te vragen. Die toestemming moet dan expliciet zijn (minimaal zelf een vinkje zetten), geïnformeerd (je moet dus weten waar je precies toestemming voor geeft) en geheel vrijwillig (mensen moeten zich dus vrij voelen om die toestemming te weigeren).

Als iemand toegang of inzage heeft in privacygevoelige informatie die hem niks aangaat.

12 veel voorkomende voorbeelden:

  • Een gestolen of zoek geraakte laptop
  • Een gestolen of zoek geraakte telefoon of iPad
  • Een verloren usb-stick met daarop persoonsgegevens
  • Een email met gevoelige persoons-informatie die naar de verkeerde persoon is gestuurd
  • Een email meteen bijlage bestaande uit een lijst van persoonsgegevens die naar de verkeerde persoon is gestuurd
  • Een map of document op Sharepoint of Onedrive met gevoelige informatie over personen of lijsten van persoonsgegevens die met de verkeerde persoon is gedeeld
  • Een informatiesysteem waarin je bij gegevens kunt komen die niet voor jou bestemd zijn
  • Een uitdraai met een overzicht van (gevoelige) persoonsgegevens die bij de printer is blijven liggen
  • Lijsten of overzichten van persoonsgegevens van studenten of medewerkers op openbare,gratis platforms zoals Dropbox
  • Een medische verklaring van een student of medewerker die op een verkeerde plaats terechtkomt
  • Als iemand met een vervalst of gehackt account bij jou of andermans informatie kan
  • Als je door ransomware of malware niet meer bij je bestanden kunt komen

 Wat zijn persoonsgegevens?

Alle informatie die te herleiden is naar een mens van vlees en bloed.

 u of ik moet melden?

Doe deze eenvoudige test.

  •  Zou je hetzelf okay vinden als willekeurig wie deze informatie over jou zou krijgen?
  • Zo nee, ken je studenten of collega’s die er wel problemen mee zouden hebben als deze informatie over hen naar wildvreemden zou gaan?

 Als het om persoonsgegevens gaat en het antwoord op een van beide vragen ja is, dan moet je het (vermoedelijke) datalek melden.
Twijfel je of het eendatalek is?
Bij twijfel melden !

Een veilige cloud-omgeving voor voorheen Stenden is voorlopig Microsoft365 OneDrive. Let er hierbij wel op dat je de bestanden niet met anderen deelt als dat niet de bedoeling is!
Voor voorheen NHL is dat Google Drive, dat je vindt via Google Apps. Belangrijk is dat je de Google Drive van je NHL-account gebruikt.

Voor intern gebruik geldt dat persoonsgegevens (van bijvoorbeeld studenten) toegankelijk zijn op basis van ‘need to know’. Alleen wie de betreffende persoonsgegevens nodig heeft, mag ze zien. Bijvoorbeeld: een docent wil een beoordeling naar een student mailen, met een afstudeercoördinator en SLB-docent in de CC. De kernvraag hierbij is of alle partijen die beoordeling echt nodig hebben. Als dat het geval is, mogen ze gewoon in de CC. Wat niet mag is bijvoorbeeld een hele lijst met persoonsgegevens naar alle medewerkers van een opleiding versturen. Denk er dus bij alle persoonsgegevens die je verstuurt over na: heeft elke ontvanger deze informatie nodig?

Voor professioneel gebruik (bijv. folder of website) moet je om toestemming vragen. Je moet daarbij kunnen aantonen dat je die toestemming hebt. Voor intern gebruik binnen de hogeschool kun je hier losser mee omgaan. Realiseer je wel dat een student of afgestudeerde altijd het recht heeft om de foto te laten verwijderen.

In het ideale geval – beter: op termijn is dat een eis – kunnen medewerkers zelf eenvoudig aangeven in het personeelsinformatiesysteem of hun adresgegevens voor attenties en dergelijke mogen worden doorgegeven. Zolang het nog niet zo geregeld is, kan degene die een kaartje wil sturen de geschreven kaart laten posten door iemand die op grond van zijn functie toegang tot de gegevens heeft. Als dit om een of andere reden niet kan, laat dan je gezond verstand werken. Heb je redenen om aan de oprechtheid van het verzoek te twijfelen of zie je een ander bezwaar? Zo niet, geef het adres dan, bij voorkeur op een post-itje en niet als digitaal bestand.

Idealiter worden deze adressenbestanden in de nabije toekomst gekoppeld aan het (nieuwe) CRM-systeem. Zolang dat niet het geval is, kun je gebruikmaken van onderstaande tekst bij iedere uitnodiging:

Uw contactgegevens komen voor in onze database. Wij gaan ervan uit dat u ook in de toekomst graag op de hoogte wilt worden gehouden van onze activiteiten. Wij gebruiken uw gegevens alleen voor en zullen die nooit doorgeven aan derden. Als u uit ons bestand verwijderd wilt worden, volstaat een mail aan met de tekst ‘verwijder mijn gegevens’.

De deelnemers aan een vergadering mogen altijd worden vermeld. Wees verder buitengewoon terughoudend met persoonlijke informatie. Vermeld in ieder geval nooit bijzondere persoonsgegevens zoals concrete ziektebeelden, etniciteit of religie. Stuur de notulen vervolgens alleen naar deelnemers van de vergadering en naar een zeer beperkte groep die er kennis van moet nemen. Maak voor een eventueel bredere verspreiding een managementsamenvatting of een versie zonder persoonsgegevens.

Volgens de AVG: bewaar ze niet langer dan noodzakelijk. De Selectielijst hbo geeft aan wat de bewaartermijnen voor verschillende documenten zijn. Vereiste daarbij is dat je persoonsgegevens (zowel digitaal als fysiek) goed beveiligt.

Persoonsgegevens moeten alleen toegankelijk zijn als er een duidelijk doel voor is én een wettelijke grondslag. Dat is er uiteraard voor onderwijsinstellingen om een student op de hoogte te brengen van zijn studieresultaat. Maar er is geen doel en grondslag om ook de medestudenten daarvan op de hoogte te brengen. Cijferlijsten met resultaten van meerdere studenten verspreiden is dus tegen de regels.

Vaak komen er nog emails voorbij met een heleboel geadresseerden in de cc. Het ziet er niet uit en je moet een heel eind scrollen voor je bij het bericht komt. Maar ook vanuit het oogpunt van de privacy is dit onwenselijk. Ook emailadressen zijn persoonsgegevens waar wij zorgvuldig mee om moeten gaan.

In de lijn van de Algemene verordening gegevensbescherming past hier enige terughoudendheid.

Hanteer daarom deze vuistregel: meer dan zeven personen in de CC? Gebruik dan BCC !


Categorieën

Top