Oppassen voor de waan van de dag bij informatiebeveiliging en privacy

Er is in de afgelopen tijd veel aandacht voor informatiebeveiliging bij de overheid. De aandacht verhoogt de bewustwording van het feit dat adequate beveiliging van gegevens minstens even belangrijk is als een gezonde financiële huishouding. Informatiebeveiliging moet business as usual zijn en een gewoon onderdeel van de dagelijkse praktijk. De aandacht van media gaat veelal uit naar technische aspecten van beveiliging, naar privacy of naar incidenten, dat is logisch maar niet terecht want informatiebeveiliging is zoveel meer dan het toepassen van techniek, of het oplossen van incidenten. Informatiebeveiliging is een belangrijk aspect van het waarborgen van privacy, maar lang niet het enige aspect.

Privacy ≠ informatiebeveiliging
Informatiebeveiliging gaat over de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Samengevat: werkt het? Kan er niemand bij de informatie die daar niet bij mag? Zijn de gegevens juist en volledig? Privacy gaat over de bescherming van de persoonlijke levenssfeer en de gegevens die daar bij horen. Privacy heeft veel dimensies. Een juridische: mag ik de gegevens verzamelen, vastleggen, koppelen en gebruiken voor dit doel? Een morele of ethische: hoort dat? Een bedrijfsmatige: is dit nodig voor het werk? De twee begrippen gaan dus hand in hand en privacy kan zeker niet zonder informatiebeveiliging.

Risicogebaseerde benadering informatiebeveiliging ≠ Waan van de dag
Door begrippen te verwarren en de aandacht te richten op de techniek en op incidenten ontstaat een scheef beeld van de uitdagingen waar gemeenten voor staan. Het leidt er ook toe dat de aandacht uitgaat naar de waan van de dag en Ad hoc acties terwijl informatiebeveiliging juist vraagt om een gestructureerde aanpak in combinatie met een adequaat proces om incidenten te voorkomen en waar nodig te detecteren en op te lossen. Gemeenten hanteren een risicogebaseerde benadering van informatiebeveiliging. Hierbij geldt de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als normenkader. In de BIG staat beschreven hoe informatiebeveiliging vorm en inhoud krijgt op alle fronten:

  • fysiek, bijvoorbeeld toegangsbeveiliging, beveiliging van bekabeling en onderhoudsafspraken;
  • organisatorisch, bijvoorbeeld de betrokkenheid van het college van B&W, werkafspraken, werkprocessen en bewustwording;
  • technisch, bijvoorbeeld de inrichting van netwerken en firewalls, manieren om veilig in te loggen.

Privacyaanpak gemeenten
Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden en moet vanaf 25 mei 2018 toegepast worden. Voor gemeenten betekent dit onder andere dat zij een functionaris gegevensbescherming aanstellen of dit al hebben gedaan. Daarnaast bereiden zij zich voor op de nieuwe regels die volgen uit de AVG: onder andere het recht op inzage en het recht om vergeten te worden. Ook hier is een gestructureerde aanpak noodzakelijk. KING en VNG ondersteunen gemeenten hierbij.

Vragen?
Heeft u een vraag over de ondersteuning op het gebied van informatiebeveiliging? Neem dan contact op met de IBD via info@IBDgemeenten.nl. Heeft u een vraag over de ondersteuningsaanpak op het gebied van privacy? Neem dan contact op met VNG/KING via privacy@KINGgemeenten.nl.

FAQ
Wanneer doe ik een PIA?

Om te bepalen of een PIA noodzakelijk is kunt u gebruik maken van de Baselinetoets BIG van de IBD.

De Baselinetoets BIG is bijgewerkt naar versie 1.3. Deze versie is in lijn gebracht met de AVG. Het tabblad “privacy” van de baselinetoets helpt u te bepalen of een Data protection impact assessment(DPIA) noodzakelijk is. U moet vanaf 25 mei 2018 een DPIA uitvoeren als uw beoogde gegevensverwerking waarschijnlijk een hoog privacyrisico met zich meebrengt. U kunt nu alvast inschatten of u straks DPIA’s moet uitvoeren en hoe u dit dan gaat aanpakken.

Mijn leverancier heeft een datalek veroorzaakt, wie doet de melding?

De algemene regel is dat de verantwoordelijke voor de gegevensverwerking een datalek moet melden. Werkt u samen in een samenwerkingsverband of met leveranciers? Dan kan er sprake zijn van gezamenlijke verantwoordelijkheid. U spreekt dan onderling af wie het datalek meldt aan de Autoriteit Persoonsgegevens en aan de betrokkenen.

Zie ook:
Factsheet Verwerkersovereenkomsten

Wat moeten we doen als een gebruikersnaam / wachtwoord in verkeerde handen is gevallen?
  • Het wachtwoord wordt direct na ontdekken van het incident gewijzigd.
  • Onderzoek of er toegang is geweest tot het account en of toegang is gezocht tot persoonsgegevens.
  • Op basis van loggegevens kan mogelijk uitgesloten worden of er toegang tot het account/de persoonsgegevens is geweest.
  • Indien dit is uit te sluiten is er alleen spraken van een beveiligingsincident, niet van een datalek.

Zie ook:
Phishing gaat mobiel
Factsheet e-mailauthenticatie

Bekijk meer gerelateerde FAQ