EU-SEC helpt auditors

Open grenzen, dat was een belangrijke missie van de EU. Open grenzen om de economische ontwikkeling van de lidstaten te versnellen. En dat heeft de lidstaten geen windeieren gelegd. De economische ontwikkeling maakt onderlinge samenwerking over de grenzen heen veel eenvoudiger door het afschaffen van tariefmuren en door het vrije verkeer van mensen en goederen mogelijk te maken. Als je het geluk hebt om binnen het Schengen-gebied te blijven, dan ben je het concept ‘grens’ eigenlijk allang vergeten. Ook in de virtuele wereld merken we niets van grenzen. Wij versturen vanaf het begin van het internettijdperk pakketjes met data heen en weer en dankzij het TCP-protocol hoeven we ons geen zorgen te maken. Het pakketje komt wel aan.

Maar juist op dit gebied blijken er toch forse grenzen te bestaan. Dankzij de wet- en regelgeving op het gebied van informatiebescherming, en dan met name op het gebied van privacybescherming, is er feitelijk niet zonder meer sprake van vrij dataverkeer. Er is sinds vorig jaar binnen Europa weliswaar één GDPR, maar elke lidstaat heeft die moeten inpassen in eigen wetgeving.

Op het gebied van informatiebeveiliging is er geen eenduidigheid die vrij verkeer op een transparante manier mogelijk maakt. Europese regelgeving ontbreekt, en ook toezichthouders richten zich op de eigen landelijke wetten en regels. Daar waar in de fysieke wereld samenwerking en ketencontracten binnen de EU prima samengaan en daar waar organisaties uit de verschillende lidstaten over elkaars grenzen heen producten en diensten kunnen afzetten, leveren de virtuele grenzen grote problemen op.

Denk maar aan de volgende casus: de Nederlandse overheid wil diensten van een cloud serviceprovider (CSP) aanbesteden, maar die CSP moet dan voldoen aan de vigerende wet- en regelgeving. In casu de AVG en BIO (Baseline Informatiebeveiliging Overheid, voorheen de BIR, Baseline Informatiebeveiliging Rijksdienst). Bij voorkeur moet die CSP ook ISO27001 gecertificeerd zijn en een ISAE3402-verklaring hebben. Een volstekt logische set eisen. Maar wel een set eisen waar een CSP uit bijvoorbeeld de Tsjechische Republiek niet aan kan voldoen: die kent namelijk de BIO niet en als die CSP al ISO27K gecertificeerd is, dan zegt dat eigenlijk alleen dat er een ISMS bestaat, niet of die partij ook BIO-compliant is. Of dat dan ook resulteert in de noodzakelijke passende beveiligingsmaatregelen voor clouddiensten ten behoeve van de Nederlandse overheid is daar niet zomaar uit af te leiden. Oftewel: door het stellen van de betreffende eisen zou je, met een beetje een kritische blik, kunnen stellen dat de Nederlandse overheid het buitenlandse partijen onmogelijk maakt om aan de Nederlandse overheid clouddiensten te leveren. Marktbescherming. En dat geldt natuurlijk niet alleen voor de Nederlandse overheid, maar dat geldt voor alle lidstaten. Iedere staat heeft een eigen setje regels, waarmee feitelijk de buitenlandse concurrentie wordt buitengesloten.

Verder lezen bij de bron
IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Nieuwsbrief

Deze versturen we 3-4x per jaar.

Recente blogs

De rol van de gemeenteraad bij informatiebeveiliging en privacy
De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden daarbij horen.
Gemeentelijke privacy: Een blik achter de schermen
De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de basis op orde? Je leest het in deze blog.
Hoe zet je Artificial Intelligence (AI) succesvol in?
Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog

Meer recente berichten

Kaag: digitale euro moet anoniemer zijn dan huidige digitale valuta
Verder lezen
Aandacht van cybercriminelen verschuift naar mkb
Verder lezen
Privacy risico s in kaart brengen met een DPIA
Verder lezen
Beveiliging informatie geen prioriteit bij Ministerie van Buitenlandse Zaken
Verder lezen
NIS2: onduidelijke wet in combinatie met hoge boetes
Verder lezen
AP wil opheldering over fraude algoritme gemeenten
Verder lezen
Een tip of klacht indienen bij de AP
Verder lezen
Wegiz vraagt om aantal nieuwe NEN normen
Verder lezen
Hack bij gemeente: criminelen hadden toegang tot tienduizenden gegevens
Verder lezen
Kabinet heeft meer tijd nodig voor anonieme bsn s en socialemediamonitoring
Verder lezen