Informatiebeveiliging en privacy als businessvraagstuk


De maatschappij is steeds verder aan het digitaliseren en ook gemeenten moeten hierin meegaan. De druk op gemeenten en andere publieke organisaties om de informatiebeveiliging en privacy op orde te hebben, wordt daarmee steeds groter. Zo ook bij de gemeente Assen, waar de Rekenkamer onlangs het rapport informatieveiligheid heeft gepresenteerd. De resultaten van het rapport tonen aan dat er ruimte is voor verbetering. Dit zal waarschijnlijk

voor (veel) meer gemeenten gelden. Om er zeker van te zijn dat informatiebeveiliging en privacy van een gemeente voldoen aan de landelijke normen en wetten, adviseer ik om beide topics als businessvraagstuk op te pakken.

Voorbeeldrol

Als het gaat om de digitalisering van de maatschappij hebben alle overheden, ook gemeenten, een voorbeeldrol als het gaat om betrouwbare (digitale) dienstverlening. Burgers en bedrijven moeten zaken met de overheid veilig online kunnen doen. Informatie moet online beschikbaar zijn en de uitwisseling van gegevens goed beveiligd. De gemeente Assen beseft dit maar al te goed en heeft onlangs een verzoek voor extra financiële middelen ingediend om privacy en informatiebeveiliging binnen de gemeente te verbeteren. Er is incidenteel budget gevraagd voor een project en structureel meer budget voor informatiebeveiliging en privacy.
Hiermee gaat de gemeente onder andere een een plan van aanpak opstellen om de informatiebeveiliging van de gemeente te verbeteren aan de hand van de Baseline Informatiebeveiliging Gemeenten (BIG). Een goede zet naar mijn idee, al had de gemeente daar bij een eerder, vergelijkbaar rapport al mee moeten starten. Aan de hand van het plan van de gemeente wil ik toch een aantal kanttekeningen plaatsen.

Informatiebeveiliging versus privacy

In veel beleidsplannen worden informatiebeveiliging en privacy onder één noemer geplaatst. Toch is privacy een ander vraagstuk dan informatiebeveiliging. Beide vraagstukken zijn nauw met elkaar verbonden, maar vragen naar mijn mening een andere aanpak. Het plan van de gemeente Assen toont aan dat er binnen de gemeente geen formele plek is waar privacy belegd is of kan worden. Privacy én informatiebeveiliging zijn hier ondergebracht bij de afdeling IT. Een keuze die veel andere gemeenten ook hebben gemaakt.
Vermoedelijk maken zij deze keuze omdat informatie voornamelijk is opgeslagen in (technische) systemen. Een verstandige keuze? Naar mijn idee niet. Digitalisering is inmiddels zo diep in onze maatschappij doorgedrongen dat het nu cruciaal deel uit moet maken van het primaire organisatieproces. Het is daarmee een businessvraagstuk geworden. Hiervoor pleit ook Petra Oldengarm, directeur van de onlangs opgerichte brancheorganisatie Cyberveilig Nederland. Informatie is namelijk pas echt ‘veilig’ als de mensen in de organisatie op de juiste manier omgaan met de technische en organisatorische maatregelen.

Bewustzijn vraagt cultuurverandering

Juist omdat informatiebeveiliging en privacy nu deel uit moeten maken van het primaire organisatieproces, vraagt dit om een cultuurverandering in de organisatie. De meeste incidenten op het vlak van informatiebeveiliging en privacy worden namelijk nog steeds veroorzaakt door menselijke fouten. Bewustwording van de risico’s die er zijn, is daarom van essentieel belang voor een optimale informatieveiligheid in de organisatie. Wat je vaak ziet is dat bewustwording wordt gedegradeerd tot het “locken van je scherm” wanneer je van je werkplek weg loopt. Ervaring leert dat informatieveiligheid pas echt wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico’s. Daar zit de echte oplossing. Dit vraagt om een verscherping van het bewustzijn en concrete sturing op zowel informatiebeveiliging als privacy. Dit bewustzijn moet tussen de oren van alle medewerkers komen. Met alleen een cursus, e-learning of workshop bereik je dat niet; het vraagt om een cultuurverandering in de organisatie. Een cultuur waarin commitment en voorbeeldgedrag van leidinggevenden centraal staan en waar het onderwerp besproken wordt in werkoverleggen en informele en formele gesprekken. Vragen over informatiebeveiliging en privacy worden nu al snel als (vooral) ‘technisch’ bestempeld en zijn daarmee vaak ongrijpbaar voor iemand die geen of weinig verstand heeft van techniek. In mijn optiek hoef je hiervoor echt geen specialist te zijn.

Weinig diepgang

Het mag duidelijk zijn dat de topics informatiebeveiliging en privacy voor veel gemeenten nog ongrijpbaar zijn, juist omdat beide onderwerpen als iets technisch worden ervaren. Ze zijn veelal bij een IT-afdeling belegd en maken (nog) geen onderdeel uit van het primaire organisatieproces. Daardoor worden de onderwerpen vaak te globaal en onvoldoende diepgang in een gemeenteraad besproken.
In het voorbeeld van de gemeente Assen geeft de gemeenteraad aan dat de informatiebeveiliging binnen de gemeente eind 2018 op orde moet zijn. Ook wil de raad dat de minimale privacyactiviteiten voor 25 mei a.s. zijn geïmplementeerd, want dan treedt immers de AVG in werking. Wat dit nu precies inhoudt, blijft onduidelijk.

Conclusie

Laten we hopen dat ENSIA de raad de mogelijkheid geeft om de rol als interne toezichthouder beter op te pakken en dat het handvatten geeft om betere sturing te geven aan informatiebeveiliging en privacy. Dat zal een positieve invloed hebben op de aandacht die er vanuit de ambtelijke organisatie is voor beide thema’s. En dan worden informatiebeveiliging en privacy straks alsnog als businessvraagstuk gezien.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…