Waarom een Privacy BIG nergens op slaat, toch?

| Renco Schoemaker | ,

Onlangs heeft PvdA-Kamerlid Astrid Oosenbrug Kamervragen gesteld over de kwetsbaarheid van gemeentelijke websites voor aanvallen van buitenaf. Of eigenlijk over de vraag of de beveiliging van persoonsgegevens bij gemeenten wel op orde is. Dit naar aanleiding van het datalek bij de gemeente Ede, waarbij hackers toegang kregen tot persoonsgegevens van duizenden inwoners. En het is niet de eerste keer dat dit in gemeenteland gebeurt.

Eerder dit jaar stelde Oosenbrug ook Kamervragen, dit keer naar aanleiding van een onderzoek van RTL Nieuws. Hierin werd duidelijk dat 33 van de 175 onderzochte gemeentelijke websites kwetsbaar zijn voor aanvallen. Daarnaast bleek toen dat via 16 gemeentelijke websites (persoons)gegevens worden verstuurd zonder beveiligde verbinding (HTTPS). Hierdoor kunnen kwaadwillenden met weinig technische kennis heel eenvoudig persoonlijke gegevens achterhalen.

De oplossing: nog een BIG?

Van Oosenbrug stelt dat gemeenten niet alleen de verantwoordelijkheid kunnen dragen voor de beveiliging van persoonsgegevens. Volgens haar zou deze taak deels bij het Rijk moeten liggen. Momenteel wordt er al gekeken naar één centraal platform, waar alle gemeenten zich op kunnen aansluiten. Zo is niet elke gemeente afzonderlijk verantwoordelijk voor de veiligheid, kwaliteit en het beheer van een website, maar wordt dit vanuit één centraal punt, namelijk het Rijk, geregeld.

Daarnaast pleit Oosenbrug ook voor een Privacy BIG, die alle gemeenten, net als de huidige BIG, moeten implementeren om zo de privacy van burgers te kunnen waarborgen. Maar slaat zij hiermee niet volledig de plank mis? Want wat verstaat Oosenbrug onder een ‘Privacy BIG’? En bedoelt zij hier niet gewoon een Privacy Baseline mee, zoals het CIP deze onlangs heeft opgesteld? BIG staat immers voor Baseline Informatiebeveiliging Nederlandse Gemeenten. Een privacy BIG wordt dan een Privacy Baseline Informatiebeveiliging Nederlandse Gemeenten. Een beetje dubbelop, vind je niet?

Informatiebeveiliging ≠ privacy

Oosenbrug gebruikt twee de twee begrippen door elkaar. Naast informatiebeveiliging is het onderwerp privacy inderdaad hoog op het prioriteitenlijstje van gemeenten komen te staan. Dit komt onder andere door de decentralisaties, de invoering van de Meldplicht Datalekken dit jaar en de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van kracht gaat. En niet alleen in juridische zin heeft dit prioriteit; deze veranderingen vragen ook om bestuurlijke aandacht. Je hebt als gemeente namelijk een maatschappelijke verantwoordelijkheid, je wilt imagoschade voorkomen en je dient maatregelen te nemen om informatiebeveiliging en privacy duurzaam te borgen in je organisatie en processen. Hierover dien je je te kunnen verantwoorden en, nog belangrijker, aan te tonen dat je compliant bent. Hierbij ligt in de praktijk vooral nadruk op dat laatste. Maar hebben we daar dan echt een Privacy BIG voor nodig? Het antwoord is mijn inziens: nee.

Informatiebeveiliging en privacy

Informatiebeveiliging en privacy overlappen weliswaar en worden in de praktijk vaak als één gezien en dit zorgt nog wel eens voor verwarring. Zo denken sommigen gemeenten dat als je aan de BIG voldoet, je voor 90% voldoet aan de privacywetgeving. Dit is uiteraard niet het geval. Informatiebeveiliging en privacy zijn namelijk echt twee verschillende aandachtsgebieden. Informatiebeveiliging kan zonder privacy, maar privacy kan niet zonder informatiebeveiliging.

Informatiebeveiliging is een manier om cyberrisico’s te verminderen en informatieveiligheid te verhogen, dit kan door het nemen van administratieve, technische en ‘fysieke’ maatregelen. In relatie tot privacy gaat het binnen informatiebeveiliging meer om de ‘hoe-vraag’. Privacy daarentegen gaat over de bescherming van de persoonlijke levenssfeer. Om de privacy van burgers te kunnen waarborgen moet je als gemeente voldoen aan de regelgeving omtrent privacy, zoals beschreven in artikel 10 t/m 13 van de Wet Bescherming Persoonsgegevens (WBP ) en vanaf mei 2018 in artikel 32 van de AVG. In relatie tot informatiebeveiliging gaat het binnen privacy meer om de ‘wat-  en waarom-vraag’. Informatiebeveiliging maakt dus onderdeel uit van privacy, maar is niet hetzelfde!

We zijn er nog niet..

Kortom, met het invoeren van de BIG alleen, zijn we er dus nog niet. Je hebt dan wel je informatiebeveiliging op orde, maar dit biedt nog geen garantie dat je voldoet aan de privacywetgeving of dat je als gemeente Wbp en/of AVG-proof bent. Belangrijk dus om goed te kijken naar hoe informatiebeveiliging en privacy zich tot elkaar verhouden.

Het bijzondere is dat we binnen gemeenten tot nu toe vooral aandacht aan informatiebeveiliging hebben gegeven. Hoe komt dat eigenlijk? Dit heeft te maken met het aantal incidenten dat zich de afgelopen jaren op informatiebeveiligingsvlak heeft afgespeeld. Denk bijvoorbeeld aan DigiNotar. Doordat we nu veel datalekken zien en mede door de komst van de AVG, die hogere eisen stelt dan de Wbp, is deze focus langzaam aan het verschuiven naar het onderwerp privacy. Iets wat we ook terug zien in de dienstverlening rondom deze onderwerpen.

Door de hierboven geschetste praktijk zijn er veel adviseurs op het gebied van informatiebeveiliging die zich momenteel specialiseren in privacy. Daar is niets mis mee, maar we moeten niet uit het oog verliezen dat het twee verschillende specialismen zijn die we in praktijk wel goed moeten kunnen onderscheiden.

Wat kun je wel doen?

Om gemeenten op weg te helpen heeft het Centrum Informatiebeveiliging en Privacybescherming (CIP) de Privacy Baseline ontwikkeld, een praktische handreiking met normen voor privacy management die helpen om concreet invulling te geven aan verantwoord handelen. Mijn tip: maak hier vooral gebruik van! Uiteraard kun je daarnaast met al je vragen over zowel informatiebeveiliging als privacy ook bij ons terecht.

Heb jij binnen jouw gemeente al eens naar deze CIP baseline gekeken?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…