De digitalisering binnen de overheid gaat razendsnel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee als het gaat om de informatiebeveiliging van onze gegevens en de continuïteit van de gemeentelijke dienstverlening. De BIO benoemt een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke basisprocessen dit zijn lees je in deze blog.
Deze week bestond de AVG-privacywet drie jaar. De AVG stelt strengere eisen aan het verzamelen van persoonsgegevens. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij is om de aandacht van bestuurders voor dit onderwerp te krijgen én houden. Want hoe krijg je privacy in de dagelijkse routine en hoger op de prioriteitenlijst van bestuurders?
Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? Eerder schreven wij al een blog over Privacy by Design. In deze blog wil ik graag specifiek ingaan op Security by Design.
Gemeenten beheren en wisselen dagelijks veel informatie uit. Het is hierbij belangrijk dat gegevens niet zomaar voor iedereen inzichtelijk zijn. Een veel gebruikte manier om gegevens goed te beveiligen is encryptie (versleuteling). Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in de Baseline Informatiebeveiliging Overheid (BIO) eisen benoemd als het gaat om encryptie (hoofdstuk 10). Welke eisen zijn dit en wat moet je hier als CISO over weten?
Demissionair staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties Raymond Knops vindt dat er in de toekomst nog meer geoefend moet worden met cybersecurity-incidenten. Alleen zo is de maatschappij in staat om cyberaanvallen te herkennen en de gevolgen ervan te beperken. Doordat technologie en de cyberdreigingen die daarmee gepaard gaan zich zo snel ontwikkelen, kunnen we het ons niet permitteren om niets te doen.
Sinds de komst van de AVG moeten gemeenten alle processen waarin persoonsgegevens worden verwerkt vastleggen én bijhouden in een zogenoemd verwerkingsregister. In 2018 schreef ik al een blog over hoe je een verwerkingsregister opstelt. Maar hoe zorg je er nu voor dat het bijhouden van het verwerkingsregister ook op een juiste en consistente wijze gebeurt?
Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie en welke mogelijkheden dat oplevert voor de gemeente in termen van transparantie, democratie, efficiency en kwaliteit van dienstverlening. In deze blog licht ik enkele kernpunten en conclusies uit op het gebied van informatiebeveiliging en privacy die in het magazine op dit vlak naar voren komen.
Om te zorgen dat een ICT-product of -dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT, ook wel bekend als GIBIT. Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van de inkoop van ICT-diensten en –producten. Maar worden hiermee ook alle informatiebeveiligingsvraagstukken gedekt?
Onlangs heb ik een cursus over ‘The Governance of Information Security – door Kevin Henry’ gevolgd met daarin een interessant onderdeel dat ik graag met jullie wil delen middels deze blog, namelijk het meten van en rapporteren over informatiebeveiliging. Want waarom is het belangrijk om dit te doen en hoe kun je dit dan het beste doen?
In mijn vorige blog heb ik de eisen die de Baseline Informatiebeveiliging Overheid (BIO) stelt als het gaat om toegangsbeveiliging (hoofdstuk 9) toegelicht. Eén van de punten die ik daar heb benoemd is het goed inrichten van autorisaties. Een handig hulpmiddel hierbij is een autorisatiematrix. Maar hoe stel je zo’n autorisatiematrix op? IB&P heeft een tien stappenplan gemaakt om je hierbij te helpen. In deze blog zal ik ingaan op hoe je zo’n autorisatiematrix opstelt én borgt binnen je organisatie.
Als gemeente wil je voorkomen dat onbevoegden toegang hebben tot informatie, zowel digitaal als fysiek. In mijn vorige blog heb ik de eisen die de BIO stelt rondom personele beveiliging (hoofdstuk 7) toegelicht. In deze blog wil ik graag de focus leggen op de eisen die de BIO stelt als het gaat om toegangsbeveiliging (hoofdstuk 9). Want hoe kun je logische en fysieke toegangsbeveiliging inzetten binnen je organisatie? En wat is eigenlijk het verschil tussen deze twee? In deze blog ga ik hier verder op in en geef ik je concrete handvatten voor het inrichten van toegangsbeveiliging.
Als gemeente is het van belang dat je een sterke informatieveilige en privacybewuste omgeving hebt. Zowel op het vlak van techniek als op het vlak van de mens. Een informatiebeveiligingsbeleid is alleen doeltreffend wanneer collega’s ook slim en doordacht omgaan met informatiebeveiligingsaspecten en überhaupt weten wat er van hen verwacht wordt. Niet voor niets worden er in de Baseline Informatiebeveiliging Overheid (BIO) eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.
