Oppassen voor de waan van de dag bij informatiebeveiliging en privacy

Er is in de afgelopen tijd veel aandacht voor informatiebeveiliging bij de overheid. De aandacht verhoogt de bewustwording van het feit dat adequate beveiliging van gegevens minstens even belangrijk is als een gezonde financiële huishouding. Informatiebeveiliging moet business as usual zijn en een gewoon onderdeel van de dagelijkse praktijk. De aandacht van media gaat veelal uit naar technische aspecten van beveiliging, naar privacy of naar incidenten, dat is logisch maar niet terecht want informatiebeveiliging is zoveel meer dan het toepassen van techniek, of het oplossen van incidenten. Informatiebeveiliging is een belangrijk aspect van het waarborgen van privacy, maar lang niet het enige aspect.

Privacy ≠ informatiebeveiliging
Informatiebeveiliging gaat over de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Samengevat: werkt het? Kan er niemand bij de informatie die daar niet bij mag? Zijn de gegevens juist en volledig? Privacy gaat over de bescherming van de persoonlijke levenssfeer en de gegevens die daar bij horen. Privacy heeft veel dimensies. Een juridische: mag ik de gegevens verzamelen, vastleggen, koppelen en gebruiken voor dit doel? Een morele of ethische: hoort dat? Een bedrijfsmatige: is dit nodig voor het werk? De twee begrippen gaan dus hand in hand en privacy kan zeker niet zonder informatiebeveiliging.

Risicogebaseerde benadering informatiebeveiliging ≠ Waan van de dag
Door begrippen te verwarren en de aandacht te richten op de techniek en op incidenten ontstaat een scheef beeld van de uitdagingen waar gemeenten voor staan. Het leidt er ook toe dat de aandacht uitgaat naar de waan van de dag en Ad hoc acties terwijl informatiebeveiliging juist vraagt om een gestructureerde aanpak in combinatie met een adequaat proces om incidenten te voorkomen en waar nodig te detecteren en op te lossen. Gemeenten hanteren een risicogebaseerde benadering van informatiebeveiliging. Hierbij geldt de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als normenkader. In de BIG staat beschreven hoe informatiebeveiliging vorm en inhoud krijgt op alle fronten:

  • fysiek, bijvoorbeeld toegangsbeveiliging, beveiliging van bekabeling en onderhoudsafspraken;
  • organisatorisch, bijvoorbeeld de betrokkenheid van het college van B&W, werkafspraken, werkprocessen en bewustwording;
  • technisch, bijvoorbeeld de inrichting van netwerken en firewalls, manieren om veilig in te loggen.

Privacyaanpak gemeenten
Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden en moet vanaf 25 mei 2018 toegepast worden. Voor gemeenten betekent dit onder andere dat zij een functionaris gegevensbescherming aanstellen of dit al hebben gedaan. Daarnaast bereiden zij zich voor op de nieuwe regels die volgen uit de AVG: onder andere het recht op inzage en het recht om vergeten te worden. Ook hier is een gestructureerde aanpak noodzakelijk. KING en VNG ondersteunen gemeenten hierbij.

Vragen?
Heeft u een vraag over de ondersteuning op het gebied van informatiebeveiliging? Neem dan contact op met de IBD via info@IBDgemeenten.nl. Heeft u een vraag over de ondersteuningsaanpak op het gebied van privacy? Neem dan contact op met VNG/KING via privacy@KINGgemeenten.nl.

FAQ
Wanneer is een verwerkersovereenkomst nodig?

Gemeenten hebben steeds vaker (een deel van) hun persoonsgegevens buiten de deur staan bij een derde partij of maken gebruik van derden die in opdracht van deze gemeenten persoonsgegevens verwerken. Een verwerkersovereenkomst tussen twee partijen is nodig indien een verantwoordelijke partij (gemeente) persoonsgegevens laat verwerken door een verwerker. Elke keer dat een verantwoordelijke partij het verwerken van persoonsgegevens ‘uitbesteedt’ is een schriftelijke overeenkomst noodzakelijk. Voor meer informatie zie de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerkersverantwoordelijke?

De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon (een bedrijf, een stichting, een overheidsorgaan etc.) die alleen of samen met anderen het doel en de middelen vaststelt voor de verwerking. Om te bepalen wie verantwoordelijk is voor een verwerking is het antwoord op de onderstaande vraag doorslaggevend:
Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?
Wanneer u degene bent die bepaalt welke persoonsgegevens worden verzameld, voor welk doel dit gebeurt en de manier waarop dit plaatsvindt (met welke middelen), dan bent u de verwerkingsverantwoordelijke. Voorbeelden van verschillende soorten verwerkersverantwoordelijken kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Wanneer ben ik een verwerker?

Wanneer een partij ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt, zonder dat u aan diens rechtstreekse gezag onderworpen bent, dan is deze partij een verwerker. De verwerking van de persoonsgegevens is de primaire opdracht. Hiermee wordt bedoeld dat de dienstverlening gericht moet zijn op het verwerken van persoonsgegevens voor de verwerkingsverantwoordelijke. Wanneer de verwerking van persoonsgegevens niet de primaire opdracht is, maar een afgeleiden van een andere vorm van dienstverlening, dan is de partij zelf de verwerkersverantwoordelijke voor de verwerking. Voorbeelden van verschillende soorten verwerkers kunt u vinden in de ‘factsheet verwerkersovereenkomsten’.

Bekijk meer gerelateerde FAQ