Skip to main content

Lastigheid in onverschilligheid (deel 1)

| Renco Schoemaker | ,

De regels op het gebied van informatiebeveiliging en privacy zijn de laatste jaren flink aangescherpt en met de komst van de AVG kunnen organisaties er eigenlijk niet meer omheen. Toch ziet nog lang niet iedereen het belang van informatiebeveiliging en privacy in. Ondanks desinteresse in deze onderwerpen, is het wel belangrijk dat er door iedere organisatie en door iedere collega aandacht aan wordt besteed. Maar hoe implementeer je de

BIG en/of AVG wanneer collega’s, waaronder bijvoorbeeld je leidinggevende, onverschillig lijken te zijn over informatiebeveiliging en privacy? In deze overzichtsblog ontkracht ik een aantal veelgehoorde aannames aan de hand van enkele eerder geschreven blogs. Dit is deel 1 van 2.

‘100% veilig bestaat niet, als ze het op je gemunt hebben kan je je daar nauwelijks tegen beschermen’

Er bestaat nooit de zekerheid dat een beveiligingsincident of datalek voorkomen kan worden, maar dit betekent niet dat er niet alles aan gedaan moet worden om de kans zo klein mogelijk te maken. Een dergelijk incident of lek kan namelijk leiden tot zowel materiële als immateriële schade voor je organisatie. Denk bijvoorbeeld aan het incident bij de gemeente Rotterdam. Wat kan je als gemeente doen om de kans op een beveiligingsincident zo veel mogelijk te beperken? Lees de blog ‘Lessen uit de gemeente Rotterdam’ voor tips.

‘Het zal allemaal wel meevallen toch? Hoe erg kan het zijn?’

De incidenten op informatiebeveiligingsvlak nemen met de dag toe. De media berichten er bijna wekelijks over. Je zou denken dat het belang van informatiebeveiliging inmiddels duidelijk moet zijn. Toch blijkt het in de praktijk nog steeds een onderbelicht onderwerp te zijn. Dit komt onder andere doordat de impact van een incident onderschat wordt. Toch kan een incident op informatiebeveiligingsvlak zowel reputatie- als financiële schade opleveren. Zoals het geval was bij gemeente Rotterdam en bij gemeente Amersfoort.
Daarnaast kan het grote gevolgen hebben voor de bedrijfsvoering van je gemeenten. Dit was bijvoorbeeld heel duidelijk het geval bij de BEL-gemeenten . Eind maart werd de BEL-combinatie slachtoffer van een ransomware-aanval, nadat een ambtenaar in een phishing-mail trapte. Om de schade zoveel mogelijk te beperken zijn kort na de aanval alle systemen uitgezet. Maar hierdoor zijn de drie gemeenten (Blaricum, Eemnes en Laren) wel een aantal dagen niet digitaal bereikbaar geweest. Kortom; dit laat maar weer zien dat de gevolgen wel degelijk erg kunnen zijn!

‘Ons overkomt niets’

De digitalisering biedt ons mogelijkheden, maar ook bedreigingen. We werken namelijk steeds meer tijd-, plaats- en apparaatonafhankelijk. Maar daardoor liggen datalekken, phishing, hacking, identiteitsfraude en cybercrime nog meer op de loer dan eerst. Het laatste wat je dan ook in deze tijd moet doen, is denken dat jou niks kan overkomen. Dat kan het namelijk wel, al helemaal als je minder zorgvuldig met informatiebeveiliging omgaat. Wees daarom altijd voorbereid op een mogelijk incident. Effectieve communicatie en crisiswoordvoering kunnen hierbij helpen. Meer tips? Lees dan onze blog ‘Grip op informatiebeveiligingsincidenten? Dat kan!’.

‘Met de laatste technische oplossingen zijn we voldoende beveiligd’

Het is mooi wanneer je als organisatie het technische aspect van informatiebeveiliging op orde hebt, maar daarmee ben je er nog lang niet. Het is meer dan een ‘ICT-feestje’. Informatieveiligheid vergt een systematische aanpak; op het vlak van techniek én van de mens. Zo moet je als gemeente de BIG hebben geïmplementeerd, of hier in ieder geval druk mee bezig zijn. Hiernaast moet je dit ook kunnen verantwoorden vanuit ENSIA. In de praktijk blijkt dat er al veel werk is verricht door gemeenten. Echter is er nog genoeg werk te verrichten, voordat we kunnen stellen dat het merendeel van de gemeenten de BIG heeft geïmplementeerd en de basis op orde heeft. Desondanks heeft de IBD al wel een nieuwe stap aangekondigd. Zie hiervoor onze blog ‘De BIG: is jouw gemeente al klaar voor de volgende stap?’. Ik betwijfel of gemeenten daar al aan toe zijn.

‘Voor de jaarlijkse zelfevaluatie doen we al jaren ‘ons ding’ en dat gaat al jaren goed zo’

Het wordt steeds belangrijker dat je als gemeente kan verantwoorden dat je je informatiebeveiliging op orde hebt. Als gemeente ‘je ding doen’ wat betreft zelfevaluaties is dus niet (meer) voldoende. Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, kan hierbij helpen. ENSIA heeft als doel de auditlast te verminderen en het verantwoordingsstelsel voor informatiebeveiliging efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control (P&C)-cyclus. Zoals ik in mijn laatste blog over ENSIA schreef zijn er nog een paar verbeterpunten voordat ENSIA helemaal voldoet aan dat mooie vergezicht. Desalniettemin blijft het een goede voorwaartse stap op het gebied van informatiebeveiliging en de verantwoording hierover.

Vervolg

Deel twee van deze overzichtsblog komt volgende week online.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.
Verder lezen

Belangrijke vaardigheden voor een succesvolle Privacy Officer

Om de privacydoelen van de gemeente te bereiken en een succesvolle Privacy Officer te zijn, moet je over een aantal essentiële basisvaardigheden beschikken.
Verder lezen

KPI’s in informatiebeveiliging

Om de effectiviteit van informatiebeveiliging te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het belangrijk om regelmatig te monitoren en te meten hoe het ervoor staat. Dit kan aan de hand van Key Performan…
Verder lezen

Dataminimalisatie: waarom minder soms meer is.

: In de digitale wereld waarin we leven, verzamelen we een enorme hoeveelheid gegevens. Maar in deze tijd van dataverzameling is er gelukkig ook een AVG-principe dat steeds meer aandacht krijgt: gegevensminimalisatie.
Verder lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …
Verder lezen

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…
Verder lezen