Lastigheid in onverschilligheid (deel 1)


De regels op het gebied van informatiebeveiliging en privacy zijn de laatste jaren flink aangescherpt en met de komst van de AVG kunnen organisaties er eigenlijk niet meer omheen. Toch ziet nog lang niet iedereen het belang van informatiebeveiliging en privacy in. Ondanks desinteresse in deze onderwerpen, is het wel belangrijk dat er door iedere organisatie en door iedere collega aandacht aan wordt besteed. Maar hoe implementeer je de

BIG en/of AVG wanneer collega’s, waaronder bijvoorbeeld je leidinggevende, onverschillig lijken te zijn over informatiebeveiliging en privacy? In deze overzichtsblog ontkracht ik een aantal veelgehoorde aannames aan de hand van enkele eerder geschreven blogs. Dit is deel 1 van 2.

‘100% veilig bestaat niet, als ze het op je gemunt hebben kan je je daar nauwelijks tegen beschermen’

Er bestaat nooit de zekerheid dat een beveiligingsincident of datalek voorkomen kan worden, maar dit betekent niet dat er niet alles aan gedaan moet worden om de kans zo klein mogelijk te maken. Een dergelijk incident of lek kan namelijk leiden tot zowel materiële als immateriële schade voor je organisatie. Denk bijvoorbeeld aan het incident bij de gemeente Rotterdam. Wat kan je als gemeente doen om de kans op een beveiligingsincident zo veel mogelijk te beperken? Lees de blog ‘Lessen uit de gemeente Rotterdam’ voor tips.

‘Het zal allemaal wel meevallen toch? Hoe erg kan het zijn?’

De incidenten op informatiebeveiligingsvlak nemen met de dag toe. De media berichten er bijna wekelijks over. Je zou denken dat het belang van informatiebeveiliging inmiddels duidelijk moet zijn. Toch blijkt het in de praktijk nog steeds een onderbelicht onderwerp te zijn. Dit komt onder andere doordat de impact van een incident onderschat wordt. Toch kan een incident op informatiebeveiligingsvlak zowel reputatie- als financiële schade opleveren. Zoals het geval was bij gemeente Rotterdam en bij gemeente Amersfoort.
Daarnaast kan het grote gevolgen hebben voor de bedrijfsvoering van je gemeenten. Dit was bijvoorbeeld heel duidelijk het geval bij de BEL-gemeenten . Eind maart werd de BEL-combinatie slachtoffer van een ransomware-aanval, nadat een ambtenaar in een phishing-mail trapte. Om de schade zoveel mogelijk te beperken zijn kort na de aanval alle systemen uitgezet. Maar hierdoor zijn de drie gemeenten (Blaricum, Eemnes en Laren) wel een aantal dagen niet digitaal bereikbaar geweest. Kortom; dit laat maar weer zien dat de gevolgen wel degelijk erg kunnen zijn!

‘Ons overkomt niets’

De digitalisering biedt ons mogelijkheden, maar ook bedreigingen. We werken namelijk steeds meer tijd-, plaats- en apparaatonafhankelijk. Maar daardoor liggen datalekken, phishing, hacking, identiteitsfraude en cybercrime nog meer op de loer dan eerst. Het laatste wat je dan ook in deze tijd moet doen, is denken dat jou niks kan overkomen. Dat kan het namelijk wel, al helemaal als je minder zorgvuldig met informatiebeveiliging omgaat. Wees daarom altijd voorbereid op een mogelijk incident. Effectieve communicatie en crisiswoordvoering kunnen hierbij helpen. Meer tips? Lees dan onze blog ‘Grip op informatiebeveiligingsincidenten? Dat kan!’.

‘Met de laatste technische oplossingen zijn we voldoende beveiligd’

Het is mooi wanneer je als organisatie het technische aspect van informatiebeveiliging op orde hebt, maar daarmee ben je er nog lang niet. Het is meer dan een ‘ICT-feestje’. Informatieveiligheid vergt een systematische aanpak; op het vlak van techniek én van de mens. Zo moet je als gemeente de BIG hebben geïmplementeerd, of hier in ieder geval druk mee bezig zijn. Hiernaast moet je dit ook kunnen verantwoorden vanuit ENSIA. In de praktijk blijkt dat er al veel werk is verricht door gemeenten. Echter is er nog genoeg werk te verrichten, voordat we kunnen stellen dat het merendeel van de gemeenten de BIG heeft geïmplementeerd en de basis op orde heeft. Desondanks heeft de IBD al wel een nieuwe stap aangekondigd. Zie hiervoor onze blog ‘De BIG: is jouw gemeente al klaar voor de volgende stap?’. Ik betwijfel of gemeenten daar al aan toe zijn.

‘Voor de jaarlijkse zelfevaluatie doen we al jaren ‘ons ding’ en dat gaat al jaren goed zo’

Het wordt steeds belangrijker dat je als gemeente kan verantwoorden dat je je informatiebeveiliging op orde hebt. Als gemeente ‘je ding doen’ wat betreft zelfevaluaties is dus niet (meer) voldoende. Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, kan hierbij helpen. ENSIA heeft als doel de auditlast te verminderen en het verantwoordingsstelsel voor informatiebeveiliging efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control (P&C)-cyclus. Zoals ik in mijn laatste blog over ENSIA schreef zijn er nog een paar verbeterpunten voordat ENSIA helemaal voldoet aan dat mooie vergezicht. Desalniettemin blijft het een goede voorwaartse stap op het gebied van informatiebeveiliging en de verantwoording hierover.

Vervolg

Deel twee van deze overzichtsblog komt volgende week online.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in

De rol van de OR bij privacy op de werkvloer

De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?