EU-SEC helpt auditors

Open grenzen, dat was een belangrijke missie van de EU. Open grenzen om de economische ontwikkeling van de lidstaten te versnellen. En dat heeft de lidstaten geen windeieren gelegd. De economische ontwikkeling maakt onderlinge samenwerking over de grenzen heen veel eenvoudiger door het afschaffen van tariefmuren en door het vrije verkeer van mensen en goederen mogelijk te maken. Als je het geluk hebt om binnen het Schengen-gebied te blijven, dan ben je het concept ‘grens’ eigenlijk allang vergeten. Ook in de virtuele wereld merken we niets van grenzen. Wij versturen vanaf het begin van het internettijdperk pakketjes met data heen en weer en dankzij het TCP-protocol hoeven we ons geen zorgen te maken. Het pakketje komt wel aan.

Maar juist op dit gebied blijken er toch forse grenzen te bestaan. Dankzij de wet- en regelgeving op het gebied van informatiebescherming, en dan met name op het gebied van privacybescherming, is er feitelijk niet zonder meer sprake van vrij dataverkeer. Er is sinds vorig jaar binnen Europa weliswaar één GDPR, maar elke lidstaat heeft die moeten inpassen in eigen wetgeving.

Op het gebied van informatiebeveiliging is er geen eenduidigheid die vrij verkeer op een transparante manier mogelijk maakt. Europese regelgeving ontbreekt, en ook toezichthouders richten zich op de eigen landelijke wetten en regels. Daar waar in de fysieke wereld samenwerking en ketencontracten binnen de EU prima samengaan en daar waar organisaties uit de verschillende lidstaten over elkaars grenzen heen producten en diensten kunnen afzetten, leveren de virtuele grenzen grote problemen op.

Denk maar aan de volgende casus: de Nederlandse overheid wil diensten van een cloud serviceprovider (CSP) aanbesteden, maar die CSP moet dan voldoen aan de vigerende wet- en regelgeving. In casu de AVG en BIO (Baseline Informatiebeveiliging Overheid, voorheen de BIR, Baseline Informatiebeveiliging Rijksdienst). Bij voorkeur moet die CSP ook ISO27001 gecertificeerd zijn en een ISAE3402-verklaring hebben. Een volstekt logische set eisen. Maar wel een set eisen waar een CSP uit bijvoorbeeld de Tsjechische Republiek niet aan kan voldoen: die kent namelijk de BIO niet en als die CSP al ISO27K gecertificeerd is, dan zegt dat eigenlijk alleen dat er een ISMS bestaat, niet of die partij ook BIO-compliant is. Of dat dan ook resulteert in de noodzakelijke passende beveiligingsmaatregelen voor clouddiensten ten behoeve van de Nederlandse overheid is daar niet zomaar uit af te leiden. Oftewel: door het stellen van de betreffende eisen zou je, met een beetje een kritische blik, kunnen stellen dat de Nederlandse overheid het buitenlandse partijen onmogelijk maakt om aan de Nederlandse overheid clouddiensten te leveren. Marktbescherming. En dat geldt natuurlijk niet alleen voor de Nederlandse overheid, maar dat geldt voor alle lidstaten. Iedere staat heeft een eigen setje regels, waarmee feitelijk de buitenlandse concurrentie wordt buitengesloten.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

Help! Een dataclassificatie, DPIA en een BIA?!
Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA en BIA. Maar wat is de onderlinge samenhang en hoe kan je profijt hebben als je een van deze onderdelen al gedaan hebt?
Verantwoordelijkheden van de proceseigenaar binnen de BIO
Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in
De rol van de OR bij privacy op de werkvloer
De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Meer recente berichten

Patiente krijgt 2000 euro omdat secretaresse ziekenhuis haar dossier bekeek
Verder lezen
De werking van de CLOUD Act bij dataopslag in Europa
Verder lezen
Begroting 23: Gegevensuitwisseling in de zorg speerpunt voor VWS
Verder lezen
Privacylaksheid Big Tech is kans voor Europa
Verder lezen
GroenLinks kritisch op cameratoezicht parkeergarage Dronten
Verder lezen
Politie gebruikt niet goedgekeurde commerciele hacksoftware
Verder lezen
IT professionals voorstander van verplichte basisbeveiliging
Verder lezen
Privacyfunctionarissen pessimistischer over gedragsverandering
Verder lezen
Hoogleraar: Herbezinning openbare registers noodzakelijk
Verder lezen
Verhaal achter cyberaanval op Hoppenbrouwers Techniek te lezen in boek Hack
Verder lezen