• Home
  • informatiebeveiliging

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de Vereniging van Nederlandse Gemeente (VNG) de Agenda Digitale Veiligheid 2020-2024. De agenda biedt gemeenten een handelingsperspectief dat aansluit bij de bestuurlijke praktijk en bevat 10 actielijnen met als doel het vertrouwen van inwoners en ondernemers in de digitale veiligheid te vergroten én vast te houden. Maar biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Lees verder

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Een van onze meest gelezen blogs is nog steeds mijn bijdrage uit 2017 waarin ik de taakverdeling tussen CISO, Privacy Officer en FG uitleg. Sindsdien is er wel wat veranderd, dus het is hoog tijd voor een update! Gemeenten hebben een grote verantwoordelijkheid als het gaat om de omgang met, en beveiliging van persoonsgegevens. Zo moeten ze voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en aan de Algemene Verordening Gegevensbescherming (AVG).

Lees verder

Stappenplan voor het kiezen van een ISMS-pakket

Op basis van de BIO dien je als gemeente een Information Security Management System, ofwel ISMS, te implementeren, bij te houden en continu de verbeteren. Een ISMS borgt risicomanagement op basis van de plan-do-check-act-cyclus en helpt zo het onderwerp informatiebeveiliging op de agenda van bestuur en management te krijgen/houden. In deze blog ga ik niet in op het proces zelf, maar wil ik graag de focus leggen op het selecteren van een ISMS-tool (software) om dit proces te ondersteunen.

Lees verder

Informatiebeveiliging bezien vanuit de rekenkamercommissie

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Zo kan de rekenkamercommissie besluiten om onderzoek te doen naar de gemeentelijke informatievoorziening en of deze wel voldoende veilig en betrouwbaar is, en informatie van burgers in veilige handen is. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Lees verder

Goed voorbeeld doet goed volgen – deel 2

Volgens Ferdinand Grapperhaus, minister van Justitie en Veiligheid, moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren uit het promotieonderzoek van Muel Kaptein, hoogleraar Bedrijfskunde, kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Lees verder

Goed voorbeeld doet goed volgen – deel 1

En slecht voorbeeld helaas slecht volgen… Zoals Ferdinand Grapperhaus, minister van Justitie en Veiligheid, vorig jaar zei: “Als je leidinggevende het niet zo serieus neemt met zijn of haar digitale veiligheid, dan zal je dat als werknemer ook niet snel doen.” Hij riep ertoe op dat iedereen binnen een bedrijf moet beseffen hoe belangrijk het is om digitale beveiliging serieus te nemen en dat iedereen met een voorbeeldfunctie verantwoordelijkheid moet nemen en digitaal leiderschap moet tonen”. Maar wat houdt dat in? En wat is daarvoor nodig? Dat behandelen we in deze tweedelige blogreeks.

Lees verder

Toekomstscenario’s voor ENSIA – deel 2

Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen heb je kunnen lezen in het vorige deel van de reeks over de toekomst voor ENSIA. Nu ga ik het hebben over hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen. Dat begint wat mij betreft bij een goed fundament van het ENSIA-verantwoordingsstelsel richting de raad. Daartoe helpen onderstaande drie toekomstscenario’s waarbij ik een combinatie van scenario 1 en 2 op voorhand afraad.

Lees verder

Toekomstscenario’s voor ENSIA – deel 1

Veel gemeentelijke CISO’s zullen deze zin goed kennen: “ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)”. En natuurlijk vervangen we inmiddels BIG voor BIO. Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen behandel ik in dit eerste deel. Hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen? Dat lees je in het volgende deel van dit tweeluik. Als dit voor jou relevante vragen zijn, lees dan zeker verder.

Lees verder

De CISO binnen de Nederlandse overheid

Wanneer je denkt dat binnen elke overheidsorganisatie de CISO rol op dezelfde manier wordt ingevuld, dan kun je het wel eens mis hebben. De rol is namelijk niet wettelijk omschreven. Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) onderzocht hoe CISO’s binnen de Nederlandse overheid hun werk en werkomgeving ervaren. In deze blog belicht ik graag de drie belangrijkste conclusies. En natuurlijk ook hoe wij als IB&P CISO’s kunnen helpen hun rol en verantwoordelijkheid (nog) beter in te vullen.

Lees verder

Contract en leveranciersmanagement; mitsen en maren bij informatiebeveiliging

‘Een overeengekomen niveau van informatiebeveiliging en dienstverlening handhaven’. En dan ook ‘in overeenstemming met de leveranciersovereenkomsten’. Een hele mond vol. Maar van levensbelang om goed werk te verrichten. In hoofdstuk 15 van de BIO wordt hieraan dan ook niet voor niets aandacht besteed. Maar wat houdt het precies in?

Lees verder

Risicomanagement; dichterbij dan je denkt?

Risicomanagement. We lezen en horen er veel over. Afgelopen juni deelde Renco op onze website het bericht dat de Nederlandse vertaling van NEN-ISO 31000 ‘Risicomanagement – Richtlijnen’ was gepubliceerd, waarin de meest relevante facetten van risicomanagement beknopt worden beschreven. Toch zien veel mensen risicomanagement niet direct als relevant, wel vinden ze het vaak spannend en complex. Echter hoeft dit niet het geval te zijn, in deze blog vertel ik je graag waarom.

Lees verder

General IT Controls in 2 bedrijven (deel 2)

Als de externe accountant de jaarrekening controleert is een IT-audit daar onderdeel van. Daarbij moet opzet, bestaan en werking van de ‘General IT Controls’ aangetoond worden. In mijn vorige blog heb ik uitgebreid stilgestaan bij het onderdeel logische toegangsbeveiliging. Het ging over autorisatiebeheer, identificatie, authenticatie, logging en administrator accounts. In dit laatste deel van het tweeluik sta ik stil bij wijzigingsbeheer en continuïteit. Lees verder in deel twee!

Lees verder


Dat gaat je (n)iets aan

IB&P is een adviesbureau op het gebied van informatiebeveiliging en privacy. We richten ons primair op de (lokale) overheid. We adviseren en ondersteunen bij het implementeren én blijvend voldoen aan o.a. de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG).