FAQ

De IBD informeert u graag over de ontwikkelingen op het gebied van informatiebeveiliging in de gemeentelijke markt. Hieronder kunt u, per categorie, belangrijke documenten over dit onderwerp downloaden.
Zoek op dienst, product, aansluiting, project of locatie
Hoe doe ik een PIA?

In de download-sectie van de website van de IBD vindt u een vragenlijst PIA, met daarbij een toelichting PIA en een template voor de verslaglegging. Hierin staat uitgebreid omschreven hoe u een PIA kunt uitvoeren.

Wanneer doe ik een PIA?

Om te bepalen of een PIA noodzakelijk is kunt u gebruik maken van de Baselinetoets BIG van de IBD.

De Baselinetoets BIG is bijgewerkt naar versie 1.3. Deze versie is in lijn gebracht met de AVG. Het tabblad “privacy” van de baselinetoets helpt u te bepalen of een Data protection impact assessment(DPIA) noodzakelijk is. U moet vanaf 25 mei 2018 een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

Hoeveel FTE moet een CISO werken?

In een grote gemeente of een gemeente waar nog veel verbeterslagen te behalen vallen kan er gekozen worden voor een fulltime CISO. Deze functie kan aangevuld worden met verschillende losse information security officers (ISO’s of DSO’s) binnen de organisatie. Het aantal FTE voor een CISO zal per gemeente dus verschillen.
Bij kleine gemeenten kan deze rol ook in deeltijd uitgevoerd worden, waarbij het ook mogelijk is om dit te combineren met een fulltime aanstelling over verschillende gemeenten in een regionale opzet.

Zie ook:
Handreiking IB-functieprofiel Chief Information Security Officer (CISO)

Hoe veel geld moeten we reserveren voor informatiebeveiliging? Hoeveel mensen heb ik nodig voor informatiebeveiliging?

Er is geen generieke richtlijn voor het bepalen van een budget. Er kan wel aan de hand van een gap-analyse en risicoanalyse bepaald worden welke kroonjuwelen beschermd moeten worden, met welke maatregelen. Dit kan de organisatie in staat stellen om een geschikt budget te bepalen om de risico’s te mitigeren.

Mijn leverancier heeft een datalek veroorzaakt, wie doet de melding?

De algemene regel is dat de verantwoordelijke voor de gegevensverwerking een datalek moet melden. Werkt u samen in een samenwerkingsverband of met leveranciers? Dan kan er sprake zijn van gezamenlijke verantwoordelijkheid. U spreekt dan onderling af wie het datalek meldt aan de Autoriteit Persoonsgegevens en aan de betrokkenen.

Zie ook:
Factsheet Verwerkersovereenkomsten

Wie is verantwoordelijk voor informatiebeveiliging in geval van een samenwerkingsverband?

Wanneer u degene bent die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit plaatsvindt (met welke middelen), dan bent u de verwerkingsverantwoordelijke. U bent samen met de gemeente waarvoor u als samenwerkingsverband taken uitvoert verantwoordelijk voor informatiebeveiliging.

Zie ook:
Factsheet Verwerkersovereenkomsten

Kan de CISO en de FG een en dezelfde persoon zijn?

De combinatie CISO en FG is niet de meest ideale situatie, maar in wat kleinere organisaties soms wel een werkbare situatie, mits er een ‘veilige cultuur’ bestaat. Er kan als alternatief ook gekeken worden naar een FG voor meer gemeenten. Let op dat de drie bestuursorganen van de gemeente (de burgemeester, het college en de raad – art.6 gemeentewet) allemaal een FG moeten aanstellen – liefst natuurlijk gezamenlijk.

NB. De autoriteit persoonsgegevens heeft hierover nog geen officieel standpunt ingenomen. Het kan zijn dat de toezichthouder deze combinatie zal ontraden.

Waar moet ik rekening mee houden als ik diensten als WhatsApp, Twitter, Facebook, iMessage en Instagram wil gebruiken als gemeente?

Op dit moment zijn er meerdere gemeenten die een veilige en makkelijke manier zoeken voor communicatie. Door Bits of Freedom (BOF) is een onderzoek gedaan naar de meest bekende chat applicaties en hoe deze omgaan met veiligheid en privacy. BOF heeft een mooie tabel/factsheet gemaakt over de verschillende applicaties en deze in detail vergeleken. Deze factsheet is op de volgende link te vinden: https://toolbox.bof.nl/playlist/mobiel/4/

Voor het gebruik van Twitter, Facebook en andere social media is maar één restrictie voor gemeenten van toepassing. Deze ligt op het publiceren van persoonsgegevens. U zult bij het plaatsen van berichten op social media altijd de privacy van de burger moeten waarborgen.

We hebben een ransomware-besmetting op een van onze systemen. Welke stappen moeten we ondernemen?
  • Het is van groot belang om de bron van de besmetting binnen het eigen netwerk op te sporen.
  • Dit systeem dient vervolgens geïsoleerd te worden van het netwerk (zolang deze niet geïsoleerd is zullen er bestanden besmet blijven raken).
  • Schakel het systeem uit als je er geen onderzoek wilt doen: het geheugen moet gewist worden, anders alleen de netwerkverbinding verbreken.
  • Zorg, al dan niet in samenwerking met een leverancier, dat de virusscanner een update krijgt. Gebruik indien mogelijk een tweede scanner voor verificatie. Scan het besmette systeem, het is mogelijk dat er in de gebruikersomgeving nog sporen aanwezig zijn.
  • Controleer of er geen afwijkende activiteiten meer zijn op het netwerk (anders is er nog ergens een bron besmet).
  • Probeer te achterhalen hoe de besmetting is ontstaan en stel de bron veilig (bijvoorbeeld de mail met de link naar de besmetting). Dit kan onder andere door te onderzoeken welke bestanden het eerst besmet waren.
  • Verwijder alle besmette bestanden.
  • Plaats de bestanden terug van een schone back-up van voor de besmetting.
  • Als ransomware bestanden heeft versleuteld die persoonsgegevens bevatten, is dit een datalek. Er moet namelijk toegang tot de bestanden zijn geweest om deze te kunnen versleutelen. Hierbij gelden dezelfde criteria voor het melden van het datalek als voor datalekken met een andere oorzaak.
  • Voor aanvullende hulp neem contact op met de IBD.

Zie ook:
Quick wins om ransomware te voorkomen
Leaflet ransomware

Wat moeten we doen na het ontvangen van een Responsible Disclosure melding?
  • Zoek uit of het gaat om een valide kwetsbaarheid (de IBD kan helpen dit te bepalen).
  • Bedank de onderzoeker/ethisch hacker voor het doen van de melding.
  • Vraag de onderzoeker of hij voornemens is om zijn melding openbaar te maken en wanneer hij dat denkt te gaan doen, dit bepaalt hoeveel tijd je hebt om het op te lossen.
  • Neem indien nodig contact op met de leverancier om de kwetsbaarheid op te lossen.
  • Houd de melder regelmatig op de hoogte van de ondernomen stappen en de voortgang van het oplossen van de kwetsbaarheid.
  • Bedank de melder nogmaals, schriftelijk of met een presentje, nadat de kwetsbaarheid is verholpen.

Zie ook:
Responsible Disclosure IBD
BIG OP product Responsible Disclosure