Skip to main content

Informatiebeveiliging: het belang mag duidelijk zijn. Toch?


De incidenten op informatieveiligheidsvlak nemen met de dag toe, ook bij gemeenten. De media berichten er bijna wekelijks over. Deze week vond er een groot incident plaats bij de gemeenten Blaricum, Eemnes en Laren, ook wel de BEL-gemeenten genoemd. Het incident heeft er zelfs toe geleid dat alle systemen voor meerdere dagen zijn platgelegd. Bedenk wat dit betekent voor je bedrijfsvoering en reputatie als gemeente. We zijn al enkele jaren actief 

bezig op informatieveiligheidsvlak. Je zou denken dat het belang ervan inmiddels duidelijk moet zijn en het onderwerp bij elke gemeente hoog op de agenda staat. Toch blijkt het in de praktijk nog steeds een onderbelicht onderwerp te zijn bij het management en bestuur, en krijgt het daardoor niet de aandacht die het verdient.

Burning platform

Maar moeten we dan wachten tot het fout gaat? Kunnen we alleen met een gevoel van angst of ongerustheid een verandering echt in gang zetten, en veranderen we alleen als een crisis ons daartoe dwingt? Angst kan inderdaad als een krachtige motivator werken als het gaat om het verhogen van de alertheid. Een goed voorbeeld hiervan is de Diginotar Hack in 2011. Er was al langer bekend dat hier veiligheidsissues speelden. Toch moest het tot een crisis komen om veel overheidsorganisaties wakker te schudden en stappen te laten zetten op informatieveiligheidsvlak. Dus ja, als je snel actie nodig hebt kunnen negatieve emoties helpen om iets te veranderen.

Echter gaat het bij informatieveiligheid om een uitdaging die continu aandacht vergt, en hiervoor is een open houding en commitment vanuit het management en het bestuur noodzakelijk. Deze verandertrajecten vragen niet om snelle acties maar om constante aandacht. En hiervoor moeten middelen beschikbaar worden gesteld. En dat blijkt voor informatiebeveiliging lastig: preventief geld uitgeven om iets te voorkomen wat misschien wel nooit gaat gebeuren… Maar doen we dat niet voor heel veel zaken? Denk aan alle verzekeringen die we afsluiten tegen diefstal, brandschade, ongelukken et cetera. Ook daar geven we preventief geld uit voor iets wat misschien wel nooit gaat gebeuren. Waarom dan niet voor informatieveiligheid?

Grote gevolgen

Maar besef wel dat wanneer zich een incident voordoet, dit kan leiden tot (grote) materiële en immateriële schade voor de gemeente. Zo heeft het datalek bij gemeente Amersfoort vorig jaar geleid tot grote gevolgen voor het imago van de gemeente, tevens heeft het veel (politieke) druk op de gemeente gelegd. Reputatieschade is de meest voorkomende vorm van schade, maar ook de vorm die het meest eenvoudig te voorkomen is.

Daarnaast kan het grote gevolgen hebben voor de bedrijfsvoering van je gemeente. Je ziet dit nu heel duidelijk bij de BEL-gemeenten, die slachtoffer zijn van een virusaanval. Als reactie hierop heeft de gemeente alle computers offline gehaald. De verwachting is dat het nog tot het einde van de week kan duren voordat de systemen weer online komen. Tot die tijd kunnen medewerkers niet of nauwelijks werken en kunnen burgers geen online zaken regelen bij de gemeenten. Achteraf vindt iedereen een investering vooraf in informatiebeveiliging te rechtvaardigen. De (financiële) gevolgen van het beveiligingsincident zijn namelijk veel groter. En dit kan elke gemeente overkomen.

Uiteraard is het geen garantie dat je als gemeente geen slachtoffer wordt van incidenten op informatieveiligheidsvlak. 100 % veilig bestaat immers niet, want ook ‘cybercrime’ is inmiddels de hobbyfase voorbij. Maar elke gemeente dient wel te zorgen voor een zo sterk mogelijke en veilige omgeving. Voor de gemeente zelf, maar ook voor haar burgers en bedrijven.

‘Praatjes vullen geen gaatjes’

Voor velen is het waarschijnlijk een herkenbaar probleem: het belang van informatiebeveiliging wordt gezien, zolang het maar bij praten blijft. Maar zodra er organisatorische capaciteit en (financiële) middelen nodig zijn, is het lastig om commitment van het management en het bestuur te krijgen. Wil je bij het management en bestuur bereiken dat er een positieve houding ontstaat ten aanzien van informatiebeveiliging en dat daarbij ook de eigen rol en verantwoordelijkheid wordt genomen? Zorg dan dat informatiebeveiliging structureel wordt opgenomen in beleidskaders en jaarplannen. Het management en bestuur dient als voorbeeld voor de gemeentelijke collega’s fungeren, en dient de benodigde middelen beschikbaar te stellen.

Onderstaand een aantal zaken die kunnen helpen prikkelen als het gaat om het bewerkstelligen hiervan. Incidenten op informatieveiligheidsvlak kunnen namelijk leiden tot:

  • imagoschade, je hebt jaren nodig om een reputatie op te bouwen, maar slechts enkele seconden nodig voordat deze aan gruzelementen ligt
  • een onderbreking van de bedrijfsvoering, met alle gevolgen van dien
  • (mogelijke) financiële schade, denk aan aansprakelijkheid door gedupeerden en mogelijke boetes, bijvoorbeeld van de Autoriteit Persoonsgegevens (AP)

Bovendien heb je als gemeente, in het kader van de Wet bescherming persoonsgegevens (Wbp), de verplichting transparant te zijn over informatiebeveiliging en privacy en dien je de beschikbaarheid, integriteit en vertrouwelijkheid van informatie te kunnen (blijven) garanderen.

Ja, informatiebeveiliging en privacy kosten geld

Met de komst van ENSIA moet het college straks verantwoording afleggen aan de raad, waardoor dit belang alleen maar groter wordt. En als gemeente heb je de morele verplichting zorgvuldig en integer om te gaan met de persoonsgegevens van burgers. Dit betekent dat je deze moet beveiligen tegen misbruik of ongeautoriseerde toegang. En ja, dat kost geld.
Dus wacht niet tot het te laat is en het vuur al tot aan de schenen staat, maar zet informatieveiligheid hoog als prioriteit op de bestuurlijke agenda en neem maatregelen, door het beschikbaar stellen van de benodigde (financiële) middelen. Alleen dan kun je informatiebeveiliging structureel borgen in de gemeente en, hopelijk, grootschalige incidenten zoals bij de BEL-gemeenten voorkomen.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…