Skip to main content

EU-SEC helpt auditors

Open grenzen, dat was een belangrijke missie van de EU. Open grenzen om de economische ontwikkeling van de lidstaten te versnellen. En dat heeft de lidstaten geen windeieren gelegd. De economische ontwikkeling maakt onderlinge samenwerking over de grenzen heen veel eenvoudiger door het afschaffen van tariefmuren en door het vrije verkeer van mensen en goederen mogelijk te maken. Als je het geluk hebt om binnen het Schengen-gebied te blijven, dan ben je het concept ‘grens’ eigenlijk allang vergeten. Ook in de virtuele wereld merken we niets van grenzen. Wij versturen vanaf het begin van het internettijdperk pakketjes met data heen en weer en dankzij het TCP-protocol hoeven we ons geen zorgen te maken. Het pakketje komt wel aan.

Maar juist op dit gebied blijken er toch forse grenzen te bestaan. Dankzij de wet- en regelgeving op het gebied van informatiebescherming, en dan met name op het gebied van privacybescherming, is er feitelijk niet zonder meer sprake van vrij dataverkeer. Er is sinds vorig jaar binnen Europa weliswaar één GDPR, maar elke lidstaat heeft die moeten inpassen in eigen wetgeving.

Op het gebied van informatiebeveiliging is er geen eenduidigheid die vrij verkeer op een transparante manier mogelijk maakt. Europese regelgeving ontbreekt, en ook toezichthouders richten zich op de eigen landelijke wetten en regels. Daar waar in de fysieke wereld samenwerking en ketencontracten binnen de EU prima samengaan en daar waar organisaties uit de verschillende lidstaten over elkaars grenzen heen producten en diensten kunnen afzetten, leveren de virtuele grenzen grote problemen op.

Denk maar aan de volgende casus: de Nederlandse overheid wil diensten van een cloud serviceprovider (CSP) aanbesteden, maar die CSP moet dan voldoen aan de vigerende wet- en regelgeving. In casu de AVG en BIO (Baseline Informatiebeveiliging Overheid, voorheen de BIR, Baseline Informatiebeveiliging Rijksdienst). Bij voorkeur moet die CSP ook ISO27001 gecertificeerd zijn en een ISAE3402-verklaring hebben. Een volstekt logische set eisen. Maar wel een set eisen waar een CSP uit bijvoorbeeld de Tsjechische Republiek niet aan kan voldoen: die kent namelijk de BIO niet en als die CSP al ISO27K gecertificeerd is, dan zegt dat eigenlijk alleen dat er een ISMS bestaat, niet of die partij ook BIO-compliant is. Of dat dan ook resulteert in de noodzakelijke passende beveiligingsmaatregelen voor clouddiensten ten behoeve van de Nederlandse overheid is daar niet zomaar uit af te leiden. Oftewel: door het stellen van de betreffende eisen zou je, met een beetje een kritische blik, kunnen stellen dat de Nederlandse overheid het buitenlandse partijen onmogelijk maakt om aan de Nederlandse overheid clouddiensten te leveren. Marktbescherming. En dat geldt natuurlijk niet alleen voor de Nederlandse overheid, maar dat geldt voor alle lidstaten. Iedere staat heeft een eigen setje regels, waarmee feitelijk de buitenlandse concurrentie wordt buitengesloten.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De rol van de lijnmanager op het gebied van privacy
In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en welke verantwoordelijkheden komen daarbij kijken? Dat lees je in deze blog.
Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?
Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat zo is lees je in deze blog.
Een verwerkersovereenkomst afgesloten, en dan?
Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afgesloten, om te zorgen dat je blijft voldoen aan de AVG.

Meer recente berichten

Netwerksegmentatie houdt Chinese staatshackers tegen bij Defensie
Verder lezen
Inlichtingendiensten onderzochten onrechtmatig hele bevolkingsgroepen
Verder lezen
Overheid dreigt Facebook in de ban te doen vanwege zorgen om privacy
Verder lezen
Vier kritieke kwetsbaarheden in Ivanti Connect Secure en Policy Secure
Verder lezen
Cyber Security Raad vraagt nieuwe kabinet om grote investering
Verder lezen
Onderzoek Kaspersky: Nederlandse consumenten bezuinigen op kosten, maar ook op privacy en veiligheid
Verder lezen
Europees onderzoek: positie FG moet beter
Verder lezen
Aanpassing aan Europese Cyber Resilience Act stelt critici gerust over open source
Verder lezen
Belang cybersecurity neemt evenredig toe met techafhankelijkheid
Verder lezen
Belastingdienst moet nog 72 procent bedrijfsprocessen aan AVG toetsen
Verder lezen