Informatiebeveiliging: het belang mag duidelijk zijn. Toch?


De incidenten op informatieveiligheidsvlak nemen met de dag toe, ook bij gemeenten. De media berichten er bijna wekelijks over. Deze week vond er een groot incident plaats bij de gemeenten Blaricum, Eemnes en Laren, ook wel de BEL-gemeenten genoemd. Het incident heeft er zelfs toe geleid dat alle systemen voor meerdere dagen zijn platgelegd. Bedenk wat dit betekent voor je bedrijfsvoering en reputatie als gemeente. We zijn al enkele jaren actief 

bezig op informatieveiligheidsvlak. Je zou denken dat het belang ervan inmiddels duidelijk moet zijn en het onderwerp bij elke gemeente hoog op de agenda staat. Toch blijkt het in de praktijk nog steeds een onderbelicht onderwerp te zijn bij het management en bestuur, en krijgt het daardoor niet de aandacht die het verdient.

Burning platform

Maar moeten we dan wachten tot het fout gaat? Kunnen we alleen met een gevoel van angst of ongerustheid een verandering echt in gang zetten, en veranderen we alleen als een crisis ons daartoe dwingt? Angst kan inderdaad als een krachtige motivator werken als het gaat om het verhogen van de alertheid. Een goed voorbeeld hiervan is de Diginotar Hack in 2011. Er was al langer bekend dat hier veiligheidsissues speelden. Toch moest het tot een crisis komen om veel overheidsorganisaties wakker te schudden en stappen te laten zetten op informatieveiligheidsvlak. Dus ja, als je snel actie nodig hebt kunnen negatieve emoties helpen om iets te veranderen.

Echter gaat het bij informatieveiligheid om een uitdaging die continu aandacht vergt, en hiervoor is een open houding en commitment vanuit het management en het bestuur noodzakelijk. Deze verandertrajecten vragen niet om snelle acties maar om constante aandacht. En hiervoor moeten middelen beschikbaar worden gesteld. En dat blijkt voor informatiebeveiliging lastig: preventief geld uitgeven om iets te voorkomen wat misschien wel nooit gaat gebeuren… Maar doen we dat niet voor heel veel zaken? Denk aan alle verzekeringen die we afsluiten tegen diefstal, brandschade, ongelukken et cetera. Ook daar geven we preventief geld uit voor iets wat misschien wel nooit gaat gebeuren. Waarom dan niet voor informatieveiligheid?

Grote gevolgen

Maar besef wel dat wanneer zich een incident voordoet, dit kan leiden tot (grote) materiële en immateriële schade voor de gemeente. Zo heeft het datalek bij gemeente Amersfoort vorig jaar geleid tot grote gevolgen voor het imago van de gemeente, tevens heeft het veel (politieke) druk op de gemeente gelegd. Reputatieschade is de meest voorkomende vorm van schade, maar ook de vorm die het meest eenvoudig te voorkomen is.

Daarnaast kan het grote gevolgen hebben voor de bedrijfsvoering van je gemeente. Je ziet dit nu heel duidelijk bij de BEL-gemeenten, die slachtoffer zijn van een virusaanval. Als reactie hierop heeft de gemeente alle computers offline gehaald. De verwachting is dat het nog tot het einde van de week kan duren voordat de systemen weer online komen. Tot die tijd kunnen medewerkers niet of nauwelijks werken en kunnen burgers geen online zaken regelen bij de gemeenten. Achteraf vindt iedereen een investering vooraf in informatiebeveiliging te rechtvaardigen. De (financiële) gevolgen van het beveiligingsincident zijn namelijk veel groter. En dit kan elke gemeente overkomen.

Uiteraard is het geen garantie dat je als gemeente geen slachtoffer wordt van incidenten op informatieveiligheidsvlak. 100 % veilig bestaat immers niet, want ook ‘cybercrime’ is inmiddels de hobbyfase voorbij. Maar elke gemeente dient wel te zorgen voor een zo sterk mogelijke en veilige omgeving. Voor de gemeente zelf, maar ook voor haar burgers en bedrijven.

‘Praatjes vullen geen gaatjes’

Voor velen is het waarschijnlijk een herkenbaar probleem: het belang van informatiebeveiliging wordt gezien, zolang het maar bij praten blijft. Maar zodra er organisatorische capaciteit en (financiële) middelen nodig zijn, is het lastig om commitment van het management en het bestuur te krijgen. Wil je bij het management en bestuur bereiken dat er een positieve houding ontstaat ten aanzien van informatiebeveiliging en dat daarbij ook de eigen rol en verantwoordelijkheid wordt genomen? Zorg dan dat informatiebeveiliging structureel wordt opgenomen in beleidskaders en jaarplannen. Het management en bestuur dient als voorbeeld voor de gemeentelijke collega’s fungeren, en dient de benodigde middelen beschikbaar te stellen.

Onderstaand een aantal zaken die kunnen helpen prikkelen als het gaat om het bewerkstelligen hiervan. Incidenten op informatieveiligheidsvlak kunnen namelijk leiden tot:

  • imagoschade, je hebt jaren nodig om een reputatie op te bouwen, maar slechts enkele seconden nodig voordat deze aan gruzelementen ligt
  • een onderbreking van de bedrijfsvoering, met alle gevolgen van dien
  • (mogelijke) financiële schade, denk aan aansprakelijkheid door gedupeerden en mogelijke boetes, bijvoorbeeld van de Autoriteit Persoonsgegevens (AP)

Bovendien heb je als gemeente, in het kader van de Wet bescherming persoonsgegevens (Wbp), de verplichting transparant te zijn over informatiebeveiliging en privacy en dien je de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te kunnen (blijven) garanderen.

Ja, informatiebeveiliging en privacy kosten geld

Met de komst van ENSIA moet het college straks verantwoording afleggen aan de raad, waardoor dit belang alleen maar groter wordt. En als gemeente heb je de morele verplichting zorgvuldig en integer om te gaan met de persoonsgegevens van burgers. Dit betekent dat je deze moet beveiligen tegen misbruik of ongeautoriseerde toegang. En ja, dat kost geld.
Dus wacht niet tot het te laat is en het vuur al tot aan de schenen staat, maar zet informatieveiligheid hoog als prioriteit op de bestuurlijke agenda en neem maatregelen, door het beschikbaar stellen van de benodigde (financiële) middelen. Alleen dan kun je informatiebeveiliging structureel borgen in de gemeente en, hopelijk, grootschalige incidenten zoals bij de BEL-gemeenten voorkomen.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.