Lastigheid in onverschilligheid (deel 1)

| Renco Schoemaker | ,

De regels op het gebied van informatiebeveiliging en privacy zijn de laatste jaren flink aangescherpt en met de komst van de AVG kunnen organisaties er eigenlijk niet meer omheen. Toch ziet nog lang niet iedereen het belang van informatiebeveiliging en privacy in. Ondanks desinteresse in deze onderwerpen, is het wel belangrijk dat er door iedere organisatie en door iedere collega aandacht aan wordt besteed. Maar hoe implementeer je de

BIG en/of AVG wanneer collega’s, waaronder bijvoorbeeld je leidinggevende, onverschillig lijken te zijn over informatiebeveiliging en privacy? In deze overzichtsblog ontkracht ik een aantal veelgehoorde aannames aan de hand van enkele eerder geschreven blogs. Dit is deel 1 van 2.

‘100% veilig bestaat niet, als ze het op je gemunt hebben kan je je daar nauwelijks tegen beschermen’

Er bestaat nooit de zekerheid dat een beveiligingsincident of datalek voorkomen kan worden, maar dit betekent niet dat er niet alles aan gedaan moet worden om de kans zo klein mogelijk te maken. Een dergelijk incident of lek kan namelijk leiden tot zowel materiële als immateriële schade voor je organisatie. Denk bijvoorbeeld aan het incident bij de gemeente Rotterdam. Wat kan je als gemeente doen om de kans op een beveiligingsincident zo veel mogelijk te beperken? Lees de blog ‘Lessen uit de gemeente Rotterdam’ voor tips.

‘Het zal allemaal wel meevallen toch? Hoe erg kan het zijn?’

De incidenten op informatiebeveiligingsvlak nemen met de dag toe. De media berichten er bijna wekelijks over. Je zou denken dat het belang van informatiebeveiliging inmiddels duidelijk moet zijn. Toch blijkt het in de praktijk nog steeds een onderbelicht onderwerp te zijn. Dit komt onder andere doordat de impact van een incident onderschat wordt. Toch kan een incident op informatiebeveiligingsvlak zowel reputatie- als financiële schade opleveren. Zoals het geval was bij gemeente Rotterdam en bij gemeente Amersfoort.
Daarnaast kan het grote gevolgen hebben voor de bedrijfsvoering van je gemeenten. Dit was bijvoorbeeld heel duidelijk het geval bij de BEL-gemeenten . Eind maart werd de BEL-combinatie slachtoffer van een ransomware-aanval, nadat een ambtenaar in een phishing-mail trapte. Om de schade zoveel mogelijk te beperken zijn kort na de aanval alle systemen uitgezet. Maar hierdoor zijn de drie gemeenten (Blaricum, Eemnes en Laren) wel een aantal dagen niet digitaal bereikbaar geweest. Kortom; dit laat maar weer zien dat de gevolgen wel degelijk erg kunnen zijn!

‘Ons overkomt niets’

De digitalisering biedt ons mogelijkheden, maar ook bedreigingen. We werken namelijk steeds meer tijd-, plaats- en apparaatonafhankelijk. Maar daardoor liggen datalekken, phishing, hacking, identiteitsfraude en cybercrime nog meer op de loer dan eerst. Het laatste wat je dan ook in deze tijd moet doen, is denken dat jou niks kan overkomen. Dat kan het namelijk wel, al helemaal als je minder zorgvuldig met informatiebeveiliging omgaat. Wees daarom altijd voorbereid op een mogelijk incident. Effectieve communicatie en crisiswoordvoering kunnen hierbij helpen. Meer tips? Lees dan onze blog ‘Grip op informatiebeveiligingsincidenten? Dat kan!’.

‘Met de laatste technische oplossingen zijn we voldoende beveiligd’

Het is mooi wanneer je als organisatie het technische aspect van informatiebeveiliging op orde hebt, maar daarmee ben je er nog lang niet. Het is meer dan een ‘ICT-feestje’. Informatieveiligheid vergt een systematische aanpak; op het vlak van techniek én van de mens. Zo moet je als gemeente de BIG hebben geïmplementeerd, of hier in ieder geval druk mee bezig zijn. Hiernaast moet je dit ook kunnen verantwoorden vanuit ENSIA. In de praktijk blijkt dat er al veel werk is verricht door gemeenten. Echter is er nog genoeg werk te verrichten, voordat we kunnen stellen dat het merendeel van de gemeenten de BIG heeft geïmplementeerd en de basis op orde heeft. Desondanks heeft de IBD al wel een nieuwe stap aangekondigd. Zie hiervoor onze blog ‘De BIG: is jouw gemeente al klaar voor de volgende stap?’. Ik betwijfel of gemeenten daar al aan toe zijn.

‘Voor de jaarlijkse zelfevaluatie doen we al jaren ‘ons ding’ en dat gaat al jaren goed zo’

Het wordt steeds belangrijker dat je als gemeente kan verantwoorden dat je je informatiebeveiliging op orde hebt. Als gemeente ‘je ding doen’ wat betreft zelfevaluaties is dus niet (meer) voldoende. Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, kan hierbij helpen. ENSIA heeft als doel de auditlast te verminderen en het verantwoordingsstelsel voor informatiebeveiliging efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control (P&C)-cyclus. Zoals ik in mijn laatste blog over ENSIA schreef zijn er nog een paar verbeterpunten voordat ENSIA helemaal voldoet aan dat mooie vergezicht. Desalniettemin blijft het een goede voorwaartse stap op het gebied van informatiebeveiliging en de verantwoording hierover.

Vervolg

Deel twee van deze overzichtsblog komt volgende week online.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…
Verder lezen

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog
Verder lezen

Een DPIA uitgevoerd en dan?

Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een DPIA moet uitvoeren. Maar wat doe je met de uitkomsten van een DPIA en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?
Verder lezen

Hoe krijg je informatiebeveiliging op de bestuurstafel?

Het ambtelijk bestuur is eindverantwoordelijk voor informatiebeveiliging. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveil…
Verder lezen

Hoe voer je een DPIA uit?

Het uitvoeren van een DPIA is soms niet eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.
Verder lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap