Auteur: Erna Havinga

Jaarrapportage informatiebeveiliging; waar rapporteer je als CISO over?

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is hiervoor een uitstekend middel. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op informatiebeveiligingsvlak. In deze blog lees je waarom dit belangrijk is en welke onderwerpen je hierin kan opnemen.

Lees verder

Wat zet je in je jaarrapportage privacy?

Het begin van een nieuw jaar betekent ook dat het weer tijd is voor het jaarverslag. Zo is het aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. Want, bestuurders willen weten waar de organisatie staat en hoe de privacywetgeving wordt nageleefd binnen de gemeente. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke onderdelen je allemaal moet rapporteren, lees je in deze blog.

Lees verder

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Denk aan datalekken, phishing, hacking, identiteitsfraude, spionage, cybercrime, et cetera. De gevolgen hiervan kunnen zeer ernstig zijn en de dienstverlening van de gemeente in gevaar brengen. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het jaar daarom een overzicht van een aantal informatiebeveiligingsincidenten van 2022 en wat we hiervan kunnen leren.

Lees verder

10 veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen

10 veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen zorgen ervoor dat cybercriminelen nog altijd weten in te breken bij organisaties en toegang krijgen tot netwerken en data. Hiervoor waarschuwen de Amerikaanse, Britse, Canadese, Nederlandse en Nieuw-Zeelandse overheid in een gezamenlijk advies. Welke tien fouten zijn dit en hoe kan je deze aanpakken?

Lees verder

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Binnen de AVG wordt onderscheid gemaakt tussen een verwerker en een verwerkersverantwoordelijke. Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Ook wanneer je die verwerking uitbesteedt aan een verwerker. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Lees verder

CISO versus ISO, wie doet wat?

Als (lokale) overheid moet je op veel beleidsterreinen kennis in huis hebben. Ook op het gebied van informatiebeveiliging. Binnen de gemeente hebben we daarom de (verplichte) ‘CISO’ en/of ‘ISO’. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Lees verder

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA en BIA. Maar wat is de onderlinge samenhang en hoe kan je profijt hebben als je een van deze onderdelen al gedaan hebt? Je leest het in deze blog.

Lees verder

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO ook een verantwoordelijkheid van de proceseigenaar. De proceseigenaar bepaalt welke kwetsbaarheden zich kunnen voordoen binnen het proces dat onder zijn/haar verantwoordelijkheid wordt uitgevoerd en hoe groot het risico is als er een incident plaatsvindt. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in?

Lees verder

De rol van de OR bij privacy op de werkvloer

Als gemeente verwerk je niet alleen persoonsgegevens van je burgers maar ook van je eigen werknemers. Denk hierbij aan gegevens die worden bewaard in personeelsdossiers, het registreren van ziekteverzuim, screening van personeel et cetera. Sommige van deze verwerkingen kunnen heel ingrijpend zijn voor de privacy van je werknemers. Het is daarom belangrijk om hier rekening mee te houden. De ondernemingsraad (OR) speelt daarbij een belangrijke rol. Welke rol dit is, leg ik in deze blog uit.

Lees verder