Het einde van het jaar is alweer bijna in zicht. Als we terugblikken op 2018 dan kunnen we wel stellen dat het een jaar is geweest waarin een hoop is gebeurd op informatiebeveiliging- en privacyvlak. Zo kwamen er een hoop complexe zaken op de CISO’s en FG’s van gemeenten af dit jaar. In deze blog zetten we ze per functie voor je onder elkaar.

2018 door de bril van de CISO of Security Officer:

1. Nieuwe bedreigingen – In 2018 is voor het eerst het ‘Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten’ uitgekomen. Een initiatief van de IBD. Dit dreigingsbeeld heeft als doel gemeenten weerbaarder te maken op het gebied van informatiebeveiliging door inzicht te geven in de belangrijkste risico’s.
2. Business Continuity management – Wanneer je kijkt naar het dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten, zou je ook weer even kunnen kijken naar je eigen BCM inrichting. Het uitvallen van kritische ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Het is daarom slim om potentiële bedreigingen en het effect ervan op de kritische bedrijfsprocessen vroegtijdig in kaart te brengen, om stagnatie van deze processen te voorkomen. Dit proces wordt ‘Business Continuïty Management (BCM)’ genoemd. Onderdeel van BCM zijn complexere vraagstukken op het gebied van en het uitvoeren van een Business Impact analyse (BIA). Wat een BIA is en hoe je deze uitvoert lees je in deze blog.
3. ENSIA 2018 – Iedereen is sinds 1 juli jl. volop bezig met alweer het tweede jaar van verantwoording met ENSIA. De zelfevaluatie moet vóór 31 december aanstaande zijn ingeleverd, waarna in het voorjaar van 2019 binnen alle gemeenten het college verantwoording aan de gemeenteraad zal afleggen. Hier komen weer de nodige verbeterplannen en issues uit die moeten worden opgelost in 2019.
4. Suwinet en DigiD – Suwinet en DigiD vallen binnen scope van de ENSIA IT audit. Het jaarlijkse DigiD beveiligingsassessment is niets nieuws onder de zon, maar de Suwinet audit wel degelijk. En dit jaar is het allemaal wat scherper dan vorig jaar. In onze meest recente blog geven we je zeven tips om rekening mee te houden.
5. Doorgaan met het uitvoeren van dataclassificaties – Vanuit mijn ervaring blijven dataclassificaties binnen gemeenten toch vaak een moeilijke exercitie. Dataclassificatie, ofwel rubricering, is een term die vaak wordt aangehaald op het vlak van informatiebeveiliging. Maar door de verschillende objecten van classificatie leidt dit nogal eens tot verwarring. Want wát classificeer je nu eigenlijk? Wat is het belang van classificatie? En, nog veel belangrijker: wat ga je er vervolgens mee doen? Begin dit jaar schreven we een blog die ingaat op deze vragen.
6. Voorbereiding van BIG naar BIO – afgelopen jaren zijn gemeenten druk bezig geweest met de implementatie van de Baseline Informatiebeveiliging Gemeenten (BIG). Deze is nog maar net geïmplementeerd of er komt alweer een nieuwe baseline aan, namelijk de Baseline Informatiebeveiliging Overheid. Met deze gezamenlijke baseline kan er makkelijker samengewerkt worden binnen en tussen de diverse ketens omdat we één gemeenschappelijke taal spreken; we hanteren allemaal dezelfde beveiligingsmaatregelen die in lijn zijn met de wet- en regelgeving. Onlangs schreven we een blog over de merkbare verschillen tussen de BIG en de BIO en hoe je je hier als CISO op kunt voorbereiden.
7. Voorbereidingen voor de Quickscan Information Security (QIS) – Een van de meest merkbare verschillen tussen de BIG en BIO is dat het meer risicomanagement met zich meebrengt. Zo moet het lijnmanagement (de proceseigenaar) per informatiesysteem het basisbeveiligingsniveau (BBN) bepalen. Dit begint met een baselinetoets, de Quickscan Information Security (QIS). Doel hiervan is dat hiermee het ingewikkelde proces van risicomanagement met de BIO vereenvoudigd wordt en het hanteerbaar en efficiënt blijft. In deze blog leggen we de 7 stappen van de QIS voor je uit.

En dan, 2018 door de bril van de Functionaris Gegevensbescherming (FG) of Privacy Officer (PO):

1. Implementatie van de AVG – We zijn inmiddels een half jaar verder nadat de nieuwe privacywet, de Algemene Verordening Gegevensbescherming (AVG), van kracht is gegaan. Het is niemand ontgaan en geen enkele organisatie is er niet mee bezig geweest: 2018 stond in het teken van de implementatie van de AVG.
2. Complexe vraagstukken op privacyvlak – de intrede van de AVG roept een hoop vragen op binnen de gemeente. Medewerkers zijn zich bewuster van het feit dat er een privacywet is, en hebben hier dan ook veel vragen over. Want wat mag wel en wat mag niet onder de AVG? Van wat zijn de regels m.b.t. het verwerken van het BSN, tot aan wat is Privacy by design?
3. Opstellen register van verwerkingen – Eén van de eisen uit de AVG is dat je als gemeente verplicht bent om al je verwerkingen van persoonsgegevens bij te houden in een eigen register, een zogeheten verwerkingsregister. In onze blog ‘Een verwerkingsregister invullen, hoe doe je dat?’ gaan we in op hoe je een verwerkingsregister kunt invullen, en wat hier in moet staan. Daarnaast moet je het register onderhouden. Wie hiervoor verantwoordelijk is en hoe je borgt dat dit daadwerkelijk wordt gedaan hebben we beschreven in een tweede blog hierover.
4. Verwerkersovereenkomsten – Ook ben je vanuit de AVG verplicht om te zorgen voor de beveiliging van de persoonsgegevens die je als organisatie verwerkt, dit geldt dus ook wanneer je persoonsgegevens laat verwerken door een derde partij. Om te zorgen dat de verwerker ook de juiste beveiligingsmaatregelen treft moet je onderhandelen en afspraken maken met leveranciers. Doorgaans gebeurt dit in een verwerkersovereenkomst. Hier lees je vijf tips voor wat je hier minimaal in zou moeten zetten.
5. Functionaris Gegevensbescherming (FG) – Daarnaast is het voor gemeenten verplicht om een FG aan te stellen. De FG is verantwoordelijk voor het toezicht houden op de naleving van de privacywetten en -regels, het inventariseren en bijhouden van gegevensverwerkingen en het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie. In praktijk hebben veel gemeenten moeite met de positionering van de FG. Zo moet de FG toezicht houden en indien nodig kunnen handhaven en is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden. In onze blog ‘De CISO, PO en FG wie doet en mag wat?’ gaan we hier uitgebreid op in.
6. Inwerken in een nieuwe functie – Tot slot is de rol van Functionaris Gegevensbescherming voor de meesten een redelijk nieuw beroep. Dit betekent dat op veel plekken mensen niet echt zijn ingewerkt, simpelweg omdat er geen voorganger was, en hebben mensen ook geen jaren ervaring op dit vakgebied.

Druk, druk, druk… zie jij ook door de bomen het bos niet meer?

Met bovengenoemde zaken in het achterhoofd kun je wel bedenken dat dit een veelgehoord antwoord is als je de spelers binnen het werkveld van informatiebeveiliging en privacy vraagt hoe het gaat. Alles lijkt prioriteit en haast te hebben en heel veel zaken hadden liever gisteren dan vandaag opgepakt moeten worden. Prioriteitenlijstjes stapelen zich op en voordat je het weet zie je door de bomen het bos niet meer. Daarnaast komen er een hoop zaken tussendoor die je niet altijd kunt voorzien. Zoals het proces en melden van datalekken, wat in praktijk veel tijd in beslag neemt en vaak donderdagmiddag nog even snel voor het weekend gedaan moet worden. Datalekken moeten immers binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens (AP), dus dit krijgt prioriteit. En zo gaan velen op in de waan van de dag waardoor andere belangrijke taken blijven liggen. En de tijd vliegt! Want voordat je het weet is er weer een week voorbij en naderen we alweer het einde van een jaar. We kunnen wel stellen dat 2018 een druk jaar is geweest op informatiebeveiliging- en privacyvlak. En dit houdt uiteraard niet op, want velen van ons zijn er nog lang niet. Kortom, ook 2019 zal weer een uitdagend jaar worden. Zie jij nu al door de bomen het bos niet meer en denk je hoe moet ik dit in gaan doen? Geen nood, wij helpen je graag! Hoe?

Wij geven in 2019 eenmalig een gratis coachingstraject weg waarbij je maar liefst 8 weken gecoacht wordt binnen jouw werkomgeving!

In 2019 wil IB&P starten met een coachingstraject voor CISO’s, security en privacy officers, en FG’s. Gedurende dit coachingsprogramma wordt jij individueel begeleid binnen jouw vakgebied en binnen jouw gemeente. En dat is niet alles, buiten de theoretische kaders die in de acht weken worden behandeld, krijg je ook iedere week een persoonlijk gesprek met je coach om juist die problemen te bespreken die voor jouw gemeente van belang zijn. Op die manier helpen we je om je werkgerelateerde doelen te verwezenlijken en je verder te ontwikkelen in je eigen vakgebied van informatiebeveiliging of privacy.

Omdat het programma nog in ontwikkeling is willen wij graag een ‘dry-run’ uitvoeren met iemand die zich graag wilt laten coachen op het gebied van informatiebeveiliging of privacy en hier uiteraard ook zelf de nodige inspanning voor wilt leveren.

Meld je nu aan!

Dus, wil jij in aanmerking komen voor deze gratis plek? Dan moet je hetvolgende doen:
Stuur een e-mail aan ons info@ adres voor 31 december 2018 met de volgende informatie:

• Je huidige functie
• Gemeente waar je werkzaam bent
• Motivatie waarom jij graag gecoacht wilt worden

In januari 2019 zullen we de gelukkige winnaar via e-mail informeren en afspraken maken over het vervolg en wanneer de eerste coaching sessies zullen beginnen.