Informatiebeveiliging en privacy als businessvraagstuk


De maatschappij is steeds verder aan het digitaliseren en ook gemeenten moeten hierin meegaan. De druk op gemeenten en andere publieke organisaties om de informatiebeveiliging en privacy op orde te hebben, wordt daarmee steeds groter. Zo ook bij de gemeente Assen, waar de Rekenkamer onlangs het rapport informatieveiligheid heeft gepresenteerd. De resultaten van het rapport tonen aan dat er ruimte is voor verbetering. Dit zal waarschijnlijk

voor (veel) meer gemeenten gelden. Om er zeker van te zijn dat informatiebeveiliging en privacy van een gemeente voldoen aan de landelijke normen en wetten, adviseer ik om beide topics als businessvraagstuk op te pakken.

Voorbeeldrol

Als het gaat om de digitalisering van de maatschappij hebben alle overheden, ook gemeenten, een voorbeeldrol als het gaat om betrouwbare (digitale) dienstverlening. Burgers en bedrijven moeten zaken met de overheid veilig online kunnen doen. Informatie moet online beschikbaar zijn en de uitwisseling van gegevens goed beveiligd. De gemeente Assen beseft dit maar al te goed en heeft onlangs een verzoek voor extra financiële middelen ingediend om privacy en informatiebeveiliging binnen de gemeente te verbeteren. Er is incidenteel budget gevraagd voor een project en structureel meer budget voor informatiebeveiliging en privacy.
Hiermee gaat de gemeente onder andere een een plan van aanpak opstellen om de informatiebeveiliging van de gemeente te verbeteren aan de hand van de Baseline Informatiebeveiliging Gemeenten (BIG). Een goede zet naar mijn idee, al had de gemeente daar bij een eerder, vergelijkbaar rapport al mee moeten starten. Aan de hand van het plan van de gemeente wil ik toch een aantal kanttekeningen plaatsen.

Informatiebeveiliging versus privacy

In veel beleidsplannen worden informatiebeveiliging en privacy onder één noemer geplaatst. Toch is privacy een ander vraagstuk dan informatiebeveiliging. Beide vraagstukken zijn nauw met elkaar verbonden, maar vragen naar mijn mening een andere aanpak. Het plan van de gemeente Assen toont aan dat er binnen de gemeente geen formele plek is waar privacy belegd is of kan worden. Privacy én informatiebeveiliging zijn hier ondergebracht bij de afdeling IT. Een keuze die veel andere gemeenten ook hebben gemaakt.
Vermoedelijk maken zij deze keuze omdat informatie voornamelijk is opgeslagen in (technische) systemen. Een verstandige keuze? Naar mijn idee niet. Digitalisering is inmiddels zo diep in onze maatschappij doorgedrongen dat het nu cruciaal deel uit moet maken van het primaire organisatieproces. Het is daarmee een businessvraagstuk geworden. Hiervoor pleit ook Petra Oldengarm, directeur van de onlangs opgerichte brancheorganisatie Cyberveilig Nederland. Informatie is namelijk pas echt ‘veilig’ als de mensen in de organisatie op de juiste manier omgaan met de technische en organisatorische maatregelen.

Bewustzijn vraagt cultuurverandering

Juist omdat informatiebeveiliging en privacy nu deel uit moeten maken van het primaire organisatieproces, vraagt dit om een cultuurverandering in de organisatie. De meeste incidenten op het vlak van informatiebeveiliging en privacy worden namelijk nog steeds veroorzaakt door menselijke fouten. Bewustwording van de risico’s die er zijn, is daarom van essentieel belang voor een optimale informatieveiligheid in de organisatie. Wat je vaak ziet is dat bewustwording wordt gedegradeerd tot het “locken van je scherm” wanneer je van je werkplek weg loopt. Ervaring leert dat informatieveiligheid pas echt wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico’s. Daar zit de echte oplossing. Dit vraagt om een verscherping van het bewustzijn en concrete sturing op zowel informatiebeveiliging als privacy. Dit bewustzijn moet tussen de oren van alle medewerkers komen. Met alleen een cursus, e-learning of workshop bereik je dat niet; het vraagt om een cultuurverandering in de organisatie. Een cultuur waarin commitment en voorbeeldgedrag van leidinggevenden centraal staan en waar het onderwerp besproken wordt in werkoverleggen en informele en formele gesprekken. Vragen over informatiebeveiliging en privacy worden nu al snel als (vooral) ‘technisch’ bestempeld en zijn daarmee vaak ongrijpbaar voor iemand die geen of weinig verstand heeft van techniek. In mijn optiek hoef je hiervoor echt geen specialist te zijn.

Weinig diepgang

Het mag duidelijk zijn dat de topics informatiebeveiliging en privacy voor veel gemeenten nog ongrijpbaar zijn, juist omdat beide onderwerpen als iets technisch worden ervaren. Ze zijn veelal bij een IT-afdeling belegd en maken (nog) geen onderdeel uit van het primaire organisatieproces. Daardoor worden de onderwerpen vaak te globaal en onvoldoende diepgang in een gemeenteraad besproken.
In het voorbeeld van de gemeente Assen geeft de gemeenteraad aan dat de informatiebeveiliging binnen de gemeente eind 2018 op orde moet zijn. Ook wil de raad dat de minimale privacyactiviteiten voor 25 mei a.s. zijn geïmplementeerd, want dan treedt immers de AVG in werking. Wat dit nu precies inhoudt, blijft onduidelijk.

Conclusie

Laten we hopen dat ENSIA de raad de mogelijkheid geeft om de rol als interne toezichthouder beter op te pakken en dat het handvatten geeft om betere sturing te geven aan informatiebeveiliging en privacy. Dat zal een positieve invloed hebben op de aandacht die er vanuit de ambtelijke organisatie is voor beide thema’s. En dan worden informatiebeveiliging en privacy straks alsnog als businessvraagstuk gezien.

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Grip op informatie

Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie. In deze blog licht ik enkele kernpunten en conclusies uit op het geb…

Wat zegt de GIBIT over informatiebeveiliging?

Om te zorgen dat een product of dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van …

Wanneer en hoe zet je software in bij je ISMS-proces?

Onlangs heb ik een presentatie gegeven over hoe je je organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet. In deze blog…

Meten, weten en rapporteren over informatiebeveiliging

Het monitoren en meten van en rapporteren over informatiebeveiliging is essentieel voor het beheren van een goede informatiebeveiligingsfunctie. Maar waarom is het belangrijk om dit te doen en hoe kun je dit dan het beste doen?

Gemeenten massaal naar de cloud; hoe staat het met de uit te voeren DPIA’s?

De afgelopen maanden is digitaal samenwerken in de cloud versneld geïmplementeerd bij veel gemeenten. Werken in de cloud biedt viel mogelijkheden, maar organisaties moeten waken voor beveiligings- en privacyrisico’s. De Rijksoverheid heeft DPIA’s …

Tien stappenplan voor het opstellen van een autorisatiematrix

Een handig hulpmiddel bij het goed inrichten van autorisaties, is een autorisatiematrix. Maar hoe stel je een autorisatiematrix op? IB&P heeft een tien stappenplan gemaakt om je hierbij te helpen. In deze blog lees je hoe je een autorisatiematrix …