Al onze diensten bij elkaar

Sinds de introductie van ENSIA zijn er veel taken bij gekomen. Je moet verantwoording afleggen via de ENSIA-tool en er zijn audits en jaarverslagen om rekening mee te houden. Dit hele verantwoordingsproces verloopt volgens harde deadlines. Hierover moet je veel schakelen met collega’s. Wie pakt w…

Een Functionaris Gegevensbescherming (FG) en een Privacy Officer zijn echte specialisten in het veilig houden van persoonsgegevens. Ze moeten hun kennis op peil houden en een volwaardige gesprekspartner zijn op diverse niveaus binnen je organisatie. De eisen aan de (verplichte) FG zijn zelfs vast…

Als  (lokale) overheid moet je op veel beleidsterreinen kennis in huis hebben. Ook op het gebied van informatiebeveiliging. In de praktijk blijkt het vaak lastig om deze kennis te ontwikkelen, actueel te houden én te borgen in de organisatie. Daardoor kan het voorkomen dat je tijdelijk een (ervar…

Hoe creëer je draagvlak? Hoe betrek je lijnmanagers bij informatieveiligheid of privacy? Hoe krijg je informatiebeveiliging of privacy op de agenda van het MT? Kun jij op het gebied van informatiebeveiliging en/of privacy persoonlijke coaching gebruiken? Coaching is dé manier om je eigen effectiv…

Privacy en informatiebeveiliging zijn niet meer weg te denken van de bestuurstafel. Bestuurders hebben vaak geen tijd om zelf alle wet- en regelgeving bij te houden, laat staan de onderliggende normenkaders. Het bestuur kan zich laten adviseren door een Functionaris Gegevensbescherming of CISO, m…

Een DPIA is een instrument om in een vroeg stadium goed inzicht te krijgen in de privacy risico’s van nieuwe gegevensverwerkingen. Hiermee voorkom je dat privacy het sluitstuk wordt en latere reparaties onnodig veel tijd en geld kosten. Soms is een DPIA zelfs wettelijk verplicht. Hoe pak je een D…

De basis van informatiebeveiliging is risicomanagement. Op basis van de risico’s die je als (lokale) overheid loopt, ga je informatiebeveiliging inrichten. Niemand heeft echter een budget om alles te kunnen implementeren wat je maar zou willen. Door middel van risicomanagement worden de pri…

Met enige regelmaat laat je een audit uitvoeren. Naast de inzichten die dit geeft, levert het ook vaak extra werk en stress op. Sommige audits, zoals ENSIA, zijn verplicht. Andere audits laat je uitvoeren omdat je het niveau van informatiebeveiliging of privacy wilt toetsen. Hoe creëer je een eff…

Bovenstaande vragen zullen als vanzelf bij je op komen als jouw organisatie moet voldoen aan normen -en toetsingskaders. Maar hoe krijg jij de antwoorden op deze vragen? En hoe vertaal je die antwoorden naar effectieve acties voor jezelf en je collega’s? Een GAP-analyse helpt bij het beantwoorden…

Ook jij bent vast betrokken geweest bij de nodige verwerkersovereenkomsten. Mogelijk maak je gebruik van het VNG-format. Heb je voldoende grip op de afspraken die je maakt met leveranciers over informatiebeveiliging en privacy? Wat doe je bij tussentijdse wijzigingen en hoe houd je toezicht op de…

Bij het veilig houden van gevoelige informatie is gedrag van mensen bepalend. Om hier goed op te kunnen sturen is een bewustwordingsprogramma essentieel. Maar hoe weet je het huidige bewustwordingsniveau van de medewerkers? En hoe meet je de resultaten van een bewustwordingsprogramma?

Soms wil of moet je als organisatie iets nieuws. Een nieuwe taak of verantwoordelijkheid waar voorheen niet of nauwelijks aandacht voor was, laat staan de benodigde kennis en ervaring. Dat kan ook het geval zijn op het gebied van informatie, in de breedste zin van het woord. Hoe creëer je in zo’n…

Veel (lokale) overheden worstelen met dezelfde vraagstukken rondom privacy en informatiebeveiliging. De ontwikkelingen gaan snel en het is belangrijk om snel de juiste kennis in huis te hebben. Waar vind je tips en trucs over hoe je deze vraagstukken praktisch kunt invullen zonder hiervoor een co…

Nogal groot en omslachtig. Zo kunnen formele technieken voor classificatie overkomen. Je hebt classificaties op het gebied van processen, systemen en informatie (data). Alle vormen van classificatie zijn in principe een vorm van risicoanalyse. Het is lastig voor een CISO, FG of PO om door alle cl…

Er zijn verschillende risico’s die de dienstverlening van de (lokale) overheid in gevaar kunnen brengen. Vaak wordt er wel gedacht aan brand- of waterschade, maar de continuïteit ook in gevaar komen door bijvoorbeeld ransomware. Hoe voorkom en reageer je op calamiteiten en hoe zorg je ervoor dat …

Gedrag van medewerkers is cruciaal bij het veilig houden van gevoelige informatie. In de BIO staat dat nieuwe medewerkers binnen drie maanden een training iBewustzijn moeten hebben gevolgd. Het lukt echter niet altijd om dit zelf te doen. Hoe kan je op een snelle, doeltreffende manier bewustwordi…

Met een ‘Information Security Management System’ (ISMS) organiseer je het proces van informatiebeveiliging volgens de Plan-Do-Check-Act cyclus. Voor dit proces heb je niet persé software nodig, toch kiezen veel organisaties daar wel voor. Dat is ook niet vreemd. De software maakt het makkelijk(er…