Informatiebeveiliging is binnen de BIO ook een verantwoordelijkheid van de proceseigenaar. De proceseigenaar bepaalt welke kwetsbaarheden zich kunnen voordoen binnen het proces dat onder zijn/haar verantwoordelijkheid wordt uitgevoerd en hoe groot het risico is als er een incident plaatsvindt. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in?
Als gemeente verwerk je niet alleen persoonsgegevens van je burgers maar ook van je eigen werknemers. Denk hierbij aan gegevens die worden bewaard in personeelsdossiers, het registreren van ziekteverzuim, screening van personeel et cetera. Sommige van deze verwerkingen kunnen heel ingrijpend zijn voor de privacy van je werknemers. Het is daarom belangrijk om hier rekening mee te houden. De ondernemingsraad (OR) speelt daarbij een belangrijke rol. Welke rol dit is, leg ik in deze blog uit.
Patchmanagement is erg belangrijk voor de beveiliging van de gemeentelijke ICT-omgeving. Als we het hebben over informatiebeveiliging, komen de termen ‘patches’ en ‘patchmanagementproces’ dan ook vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement belangrijk? En hoe richt je zo’n proces dan in? In deze blog lees je hoe je hier zelf mee aan de slag kan.
Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). De Wpg regelt de verwerking van persoonsgegevens voor de uitoefening van de politietaak door onder meer de Nationale Politie, de bijzondere opsporingsdiensten, de Koninklijke marechaussee en de Rijksrecherche. Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wpg van toepassing zijn op het werk van Boa’s en waar je als gemeente aan moet voldoen bij het verwerken van gegevens.
Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Want, door snel en op de juiste manier op de bedreiging te reageren, kan de impact ervan worden geminimaliseerd. Dit proces noemen we ook wel ‘Bedrijfs Continuïteits Management (BCM)’ of Bedrijfscontinuïteit. Maar hoe ga je hier mee aan de slag?
We zijn inmiddels bijna vier jaar verder nadat de Algemene Verordening Gegevensbescherming (AVG) van kracht is gegaan. Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?
Wist je dat… bewuste medewerkers sneller risico’s signaleren en daardoor beveiligingsincidenten kunnen worden voorkomen? Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?
Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Gezichtsherkenningscamera’s kunnen worden ingezet om personen in foto’s, video’s of in realtime te identificeren en worden vooral ingezet bij bedrijven in de detailhandel, beveiliging, sport & entertainment, vervoer, én bij gemeenten. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het waarborgen van de privacy?
De Baseline Informatiebeveiliging Overheid (BIO) kent drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Namelijk BBN1, BBN2, BBN3 en voor gemeenten BBN2+. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heeft. Daarvoor heeft de IBD de maatregelenset BBN2+ opgesteld. Maar wanneer gebruik je BBN2+?
Als gemeente heb je een grote verantwoordelijkheid als het gaat om het veilig omgaan met (persoons)gegevens. Activiteiten op privacyvlak moeten dan ook goed worden gecoördineerd én belegd. Als het gaat om privacy zijn diverse functies te onderscheiden. Zo spreken we over de ‘Functionaris Gegevensbescherming (FG)’ en de ‘Privacy Officer (PO)’. Maar wie is waarvoor verantwoordelijk? Hoe verhouden deze functies zich tot elkaar? En wat zijn de verschillen?
Bij een risicoanalyse worden bedreigingen en risico’s benoemd en in kaart gebracht. Vaak is het voor organisaties lastig om vanuit het niets bedreigingen en risico’s op het gebied van informatiebeveiliging te benoemen. Een veel gebruikt model om dit proces te ondersteunen is het zogenaamde MAPGOOD-model. In deze blog leg ik uit hoe dit model werkt.
Bij veel informatiebeveiligings- en privacyprojecten zie ik dat het in de praktijk soms ontbreekt aan projectmanagementcapaciteiten. En natuurlijk, een privacy of security officer is ook geen projectleider. Maar desondanks krijgen ze wel vaak projectmatig werk op hun bordje. Het is daarom van belang om over een bepaalde set (basis)projectmanagementvaardigheden te beschikken. In deze blog laat ik je zien hoe je projectmatig te werk kunt gaan.