AVG Device Testing (IoT).

Voldoe aan de technische controle eisen van de AVG.

Qbit’s AVG Device Testing Service test de effectiviteit van de beveiliging van IoT-devices en de naleving van de AVG voor verschillende fabrikanten. De testcontroles zijn gebaseerd op de beginselen voor bescherming van persoonsgegevens. Ze hebben vanuit technisch oogpunt specifiek betrekking op onder andere dataminimalisatie, privacy by design en default en transparantie. De testresultaten worden beoordeeld door privacy en juridische experts van Qbit.

Kernelementen van de AVG Device Testing Service:

  • Het testen van de communicatie van en naar apparaten.
  • Het voldoen aan de eisen van informatiebeveiliging.
  • Analyse van de firmware van producten om te zien of het mogelijk is om gevoelige gegevens te extraheren.

Bij het beoordelen van de AVG-conformiteit stellen de experts van Qbit vragen als:

  • Is het mogelijk om (verhoogde) toegang tot het device te krijgen via het netwerk?
  • Is het mogelijk om via het netwerk toegang te krijgen tot gevoelige (gebruikers)informatie die op het device is opgeslagen?
  • Is het aanvalsoppervlak van het device minimaal gehouden om misbruik van (toekomstige)kwetsbaarheden te voorkomen?

De testaanpak

  • Het testen van het aanvalsoppervlak van een device, d.w.z. controleren welke netwerkdiensten door de apparaten worden blootgesteld. Vervolgens worden deze diensten met behulp van verschillende testtools getest op algemeen bekende kwetsbaarheden, hardeningsproblemen en de aanwezigheid van zero-day kwetsbaarheden.
  • Het testen van de communicatie van en naar het device. Dit kan bijvoorbeeld de interactie zijn die de eindgebruiker heeft bij het installeren van het device of functies en wachtwoordinstellingen. Dit omvat het update-mechanisme en de interactie met API’s die worden gebruikt door apps die op het device draaien. Het gebruik van de encryptie komt in dit onderwerp specifiek aan de orde.
  • (Basis) Analyse van de device firmware om te proberen gevoelige gegevens (zoals standaard wachtwoorden of versleutelingscodes) uit de image te extraheren, en of de image beschermd is tegen manipulatie.

Wat levert Qbit’s AVG Device Testing op?

  • Inzicht in het kwaliteitsniveau van de infrastructuur en/of toepasselijke beveiligingsmaatregelen van een fabrikant.
  • Inzicht in tekortkomingen in de beveiligingsmaatregelen.
  • Een risico- en impactclassificatie.
  • Overzicht van de technische en organisatorische (non)conformiteit met de AVG.
  • Specifieke aanbevelingen die een fabrikant in staat stellen om waar nodig conformiteit mogelijk te maken en de (kwaliteit van de)veiligheid te verhogen.

Technisch gezien bestaan alle bevindingen die worden gerapporteerd uit een verklaring en bewijs, zodat de resultaten kunnen worden gereproduceerd. Risico’s en impact worden gekwantificeerd, om gemakkelijk inzicht te geven in de meest opvallende bevindingen. Ze worden aangevuld met specifieke aanbevelingen om een kwetsbaarheid of risico te verhelpen en om een eenvoudige prioritering van controles mogelijk te maken.

Testresultaten

Specifieke testresultaten met betrekking tot de AVG brengen bedreigingen voor de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens aan het licht die kunnen worden aangepakt om de betrokken gegevens beter te beschermen. Opmerkelijke bevindingen zijn onder meer:

  • Inzicht in onvoldoende versleuteling van communicatie, met als resultaat:
    • Onderscheppen van (gevoelige)gebruikersgegevens.
    • Manipulatie van (gevoelige)gebruikersgegevens.
  • Standaardinstellingen en functionaliteit die een gebruiker standaard volgen, zonder voorafgaande kennisgeving en zonder toestemming.
  • Een verkeerde afstemming tussen het gepubliceerde privacy statement en de (technische)realiteit, met als gevolg:
    • Niet-nakoming van de doelbindings-, gebruiks - en deelbeperkingen.
    • Gebrek aan transparantie.
  • Omzeilen van controles om de functionaliteit van het device te wijzigen.

Kennisbank Device testing

Qbit heeft een kennisbank opgebouwd met problemen die gebruikers blootstellen aan bedreigingen (zowel vanuit het oogpunt van veiligheid als privacy). Deze verzamelde bevindingen zijn representatief voor de staat van de industrie in het algemeen. Veel IoT-devices brengen gelijkwaardige of zelfs ernstigere risico’s en bedreigingen voor de gebruikers met zich mee. Wanneer deze risico’s en dreigingen zich manifesteren door middel van hacks of datalekken, heeft dit negatieve gevolgen voor de fabrikanten en directe gevolgen voor hun reputatie en activiteiten.

Het voorkomen van bedreigingen en risico’s voor gebruikers, voorkomt ook negatieve gevolgen voor een organisatie. Qbit’s AVG Device Testing Service richt zich op zowel gebruikersrisico’s als op organisatorische risico’s.

Maatschappelijke verantwoordelijkheid

Onze AVG Device Testing Service helpt bij het waarborgen van een veilige en AVG-conforme verwerking van persoonsgegevens. Dit leidt tot een veilige service op connected devices en minimaliseert het risico dat persoonsgegevens worden blootgesteld aan hackers. Bovendien helpt de dienst om de reputatie en inkomstenstromen met betrekking tot de apparaten en de aangesloten diensten te beschermen en helpt hij ook om boetes en aansprakelijkheid te voorkomen. Afhankelijk van de complexiteit van een device kan een compactere of uitgebreidere aanpak worden gehanteerd.

Qbit doet een beroep op de maatschappelijke verantwoordelijkheid van fabrikanten en internetaanbieders om de beveiliging van apparaten en de privacy van de gebruiker serieuzer te nemen.

Neem contact met ons op voor een vrijblijvende offerte voor de AVG Device Testing Service voor uw (connected) smart device.

Contactaanvraag AVG Testing Service

Mathijs Hummel

Mathijs Hummel

Advisory & Assurance

Ik kan je meer vertellen. E-mail me of bel me op +31 6 12 985 740.

    Offerte aanvragen

    Vraag een vrijblijvende offerte aan voor: AVG Device Testing Service (IoT)

    Waarmee kunnen we je helpen? Stel je vraag en we komen er zo snel mogelijk bij je op terug.

    Bedankt! We hebben je bericht ontvangen.

    We hebben je bericht ontvangen en komen hier zo snel mogelijk bij je op terug.

    Vul de velden in voor je offerte aanvraag.
    We gebruiken je e-mail alleen voor ons antwoord op je vraag.
    Hoe kunnen we je helpen?

    Newsletter