Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van een gemeente. Daarom heeft de gemeente Moerdijk onlangs het Strategisch Informatiebeveiligingsbeleid vastgesteld.

De gemeenteraad van Opsterland maakt informatie actief openbaar en dat kan botsen met de privacyrechten van betrokkenen. Daarom heeft de gemeenteraad gedragsregels opgesteld waarmee artikelsgewijs is aangegeven hoe de gemeenteraad rekening houdt met de privacy van personen bij de uitvoering van zijn taken.

Digitale infrastructuur – is vaak zonder dat we het merken – intens verweven met processen die van groot belang zijn voor de samenleving, de economie en de democratische rechtstaat. Voor verstoringen in de fysieke wereld bestaan professionele crisisorganisaties en uitgebreide wet- en regelgeving. De voorbereiding op een digitale ontwrichting krijgt echter nauwelijks tot geen aandacht.

Op 28 januari is het de Europese dag van de Privacy. Deze dag is in het leven geroepen om burgers beter te informeren over hun privacyrechten en om bedrijven aan te sporen de bescherming van persoonsgegevens te verbeteren. De AVG is op 25 mei 2018 in werking getreden en sinds die tijd is hier veel media-aandacht voor geweest. Dat is heel goed, maar hierdoor deden er een hoop ‘wilde verhalen’ de ronde over de implementatie van deze wetgeving. Wij vroegen ons af: is dit altijd heel doordacht of slaan we soms door?

Is het verantwoord om losgeld te betalen in geval van ransomware? Deze vraag legde Privacyweb voor aan drie experts op het gebied van privacy, cybersecurity en informatiebeveiliging. Hoe staan hoogleraar en advocaat Lokke Moerel, cybersecurity researcher Jornt van der Wiel en legal counsel Imke Eikendal tegenover het betalen van losgeld in geval van ransomware?

En slecht voorbeeld helaas slecht volgen… Zoals Ferdinand Grapperhaus, minister van Justitie en Veiligheid, vorig jaar zei: “Als je leidinggevende het niet zo serieus neemt met zijn of haar digitale veiligheid, dan zal je dat als werknemer ook niet snel doen.” Hij riep ertoe op dat iedereen binnen een bedrijf moet beseffen hoe belangrijk het is om digitale beveiliging serieus te nemen en dat iedereen met een voorbeeldfunctie verantwoordelijkheid moet nemen en digitaal leiderschap moet tonen”. Maar wat houdt dat in? En wat is daarvoor nodig? Dat behandelen we in deze tweedelige blogreeks.

In 2019 is er een stijging te zien in het aantal datalekmeldingen binnen Europa. Dit en meer blijkt uit onderzoek van DLA Piper onder de Europese privacy toezichthouders. Zo waren er in 2018, sinds de intrede van de AVG op 25 mei,in Europa 247 meldingen per dag. In 2020 waren dit 278 meldingen per dag. Kortom, een stijging van 12,6%. Maar betekent meer meldingen dan ook meer datalekken? En is dat dan goed of slecht nieuws?

Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen heb je kunnen lezen in het vorige deel van de reeks over de toekomst voor ENSIA. Nu ga ik het hebben over hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen. Dat begint wat mij betreft bij een goed fundament van het ENSIA-verantwoordingsstelsel richting de raad. Daartoe helpen onderstaande drie toekomstscenario’s waarbij ik een combinatie van scenario 1 en 2 op voorhand afraad.

Veel gemeentelijke CISO’s zullen deze zin goed kennen: “ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)”. En natuurlijk vervangen we inmiddels BIG voor BIO. Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen behandel ik in dit eerste deel. Hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen? Dat lees je in het volgende deel van dit tweeluik. Als dit voor jou relevante vragen zijn, lees dan zeker verder.

Wanneer je denkt dat binnen elke overheidsorganisatie de CISO rol op dezelfde manier wordt ingevuld, dan kun je het wel eens mis hebben. De rol is namelijk niet wettelijk omschreven. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) onderzocht hoe CISO’s binnen de Nederlandse overheid hun werk en werkomgeving ervaren. In deze blog belicht ik graag de drie belangrijkste conclusies. En natuurlijk ook hoe wij als IB&P CISO’s kunnen helpen hun rol en verantwoordelijkheid (nog) beter in te vullen.