Skip to main content

Lastigheid in onverschilligheid (deel 1)


De regels op het gebied van informatiebeveiliging en privacy zijn de laatste jaren flink aangescherpt en met de komst van de AVG kunnen organisaties er eigenlijk niet meer omheen. Toch ziet nog lang niet iedereen het belang van informatiebeveiliging en privacy in. Ondanks desinteresse in deze onderwerpen, is het wel belangrijk dat er door iedere organisatie en door iedere collega aandacht aan wordt besteed. Maar hoe implementeer je de

BIG en/of AVG wanneer collega’s, waaronder bijvoorbeeld je leidinggevende, onverschillig lijken te zijn over informatiebeveiliging en privacy? In deze overzichtsblog ontkracht ik een aantal veelgehoorde aannames aan de hand van enkele eerder geschreven blogs. Dit is deel 1 van 2.

‘100% veilig bestaat niet, als ze het op je gemunt hebben kan je je daar nauwelijks tegen beschermen’

Er bestaat nooit de zekerheid dat een beveiligingsincident of datalek voorkomen kan worden, maar dit betekent niet dat er niet alles aan gedaan moet worden om de kans zo klein mogelijk te maken. Een dergelijk incident of lek kan namelijk leiden tot zowel materiële als immateriële schade voor je organisatie. Denk bijvoorbeeld aan het incident bij de gemeente Rotterdam. Wat kan je als gemeente doen om de kans op een beveiligingsincident zo veel mogelijk te beperken? Lees de blog ‘Lessen uit de gemeente Rotterdam’ voor tips.

‘Het zal allemaal wel meevallen toch? Hoe erg kan het zijn?’

De incidenten op informatiebeveiligingsvlak nemen met de dag toe. De media berichten er bijna wekelijks over. Je zou denken dat het belang van informatiebeveiliging inmiddels duidelijk moet zijn. Toch blijkt het in de praktijk nog steeds een onderbelicht onderwerp te zijn. Dit komt onder andere doordat de impact van een incident onderschat wordt. Toch kan een incident op informatiebeveiligingsvlak zowel reputatie- als financiële schade opleveren. Zoals het geval was bij gemeente Rotterdam en bij gemeente Amersfoort.
Daarnaast kan het grote gevolgen hebben voor de bedrijfsvoering van je gemeenten. Dit was bijvoorbeeld heel duidelijk het geval bij de BEL-gemeenten . Eind maart werd de BEL-combinatie slachtoffer van een ransomware-aanval, nadat een ambtenaar in een phishing-mail trapte. Om de schade zoveel mogelijk te beperken zijn kort na de aanval alle systemen uitgezet. Maar hierdoor zijn de drie gemeenten (Blaricum, Eemnes en Laren) wel een aantal dagen niet digitaal bereikbaar geweest. Kortom; dit laat maar weer zien dat de gevolgen wel degelijk erg kunnen zijn!

‘Ons overkomt niets’

De digitalisering biedt ons mogelijkheden, maar ook bedreigingen. We werken namelijk steeds meer tijd-, plaats- en apparaatonafhankelijk. Maar daardoor liggen datalekken, phishing, hacking, identiteitsfraude en cybercrime nog meer op de loer dan eerst. Het laatste wat je dan ook in deze tijd moet doen, is denken dat jou niks kan overkomen. Dat kan het namelijk wel, al helemaal als je minder zorgvuldig met informatiebeveiliging omgaat. Wees daarom altijd voorbereid op een mogelijk incident. Effectieve communicatie en crisiswoordvoering kunnen hierbij helpen. Meer tips? Lees dan onze blog ‘Grip op informatiebeveiligingsincidenten? Dat kan!’.

‘Met de laatste technische oplossingen zijn we voldoende beveiligd’

Het is mooi wanneer je als organisatie het technische aspect van informatiebeveiliging op orde hebt, maar daarmee ben je er nog lang niet. Het is meer dan een ‘ICT-feestje’. Informatieveiligheid vergt een systematische aanpak; op het vlak van techniek én van de mens. Zo moet je als gemeente de BIG hebben geïmplementeerd, of hier in ieder geval druk mee bezig zijn. Hiernaast moet je dit ook kunnen verantwoorden vanuit ENSIA. In de praktijk blijkt dat er al veel werk is verricht door gemeenten. Echter is er nog genoeg werk te verrichten, voordat we kunnen stellen dat het merendeel van de gemeenten de BIG heeft geïmplementeerd en de basis op orde heeft. Desondanks heeft de IBD al wel een nieuwe stap aangekondigd. Zie hiervoor onze blog ‘De BIG: is jouw gemeente al klaar voor de volgende stap?’. Ik betwijfel of gemeenten daar al aan toe zijn.

‘Voor de jaarlijkse zelfevaluatie doen we al jaren ‘ons ding’ en dat gaat al jaren goed zo’

Het wordt steeds belangrijker dat je als gemeente kan verantwoorden dat je je informatiebeveiliging op orde hebt. Als gemeente ‘je ding doen’ wat betreft zelfevaluaties is dus niet (meer) voldoende. Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, kan hierbij helpen. ENSIA heeft als doel de auditlast te verminderen en het verantwoordingsstelsel voor informatiebeveiliging efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control (P&C)-cyclus. Zoals ik in mijn laatste blog over ENSIA schreef zijn er nog een paar verbeterpunten voordat ENSIA helemaal voldoet aan dat mooie vergezicht. Desalniettemin blijft het een goede voorwaartse stap op het gebied van informatiebeveiliging en de verantwoording hierover.

Vervolg

Deel twee van deze overzichtsblog komt volgende week online.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …