2015 was een bewogen jaar op het gebied van informatiebeveiliging en privacy. Er moet nog veel gebeuren binnen onze Nederlandse gemeenten. Toch beginnen steeds meer gemeenten de juiste vragen te stellen in het kader van informatiebeveiliging en privacy. Gelukkig maar, want met name privacy is een groot goed in Nederland en zeker de moeite waard om voor te werken. Afgelopen jaar schreef ik over informatiebeveiliging en de DigiD, e-ID en de Wet meldplicht datalekken. Wat staat ons in 2016 te wachten?
Informatiebeveiliging in 2016
Gelukkig begint ook op bestuurlijk niveau de noodzaak van informatiebeveiliging duidelijk te worden, getuige de VNG-visitatiecommissie informatieveiligheid die inmiddels bezoeken aflegt bij gemeenten. Als gevolg daarvan spelen er een hoop vragen bij gemeenten die beantwoord moeten worden. In een groot aantal gemeenten worden beleidsplannen geschreven, GAP- en impactanalyses gemaakt en uitgewerkt tot implementatieplannen voor de BIG (Baseline Informatiebeveiliging voor Nederlandse Gemeenten). Een goede uitwerking van deze plannen, gepaard met een juist ingerichte informatiebeveiligingsorganisatie, een goed ISMS (Informatie Security Management System) en een uitstekende begeleiding kom je als gemeente al een heel eind. In 2016 zal de BIG steeds vaker als referentiekader worden gehanteerd. Het is langzaam maar zeker een basisvoorwaarde om volgende stappen te kunnen nemen. Ook leveranciers worden door gemeenten steeds beter op hun verantwoordelijkheden gewezen. Dit kan nog een stuk beter, maar er worden slagen gemaakt.
DigiD en e-ID in 2016
Eindelijk zetten overheden concrete stappen om e-ID de waardige vervanger voor DigiD te laten zijn. Er zijn verschillende pilots gestart in samenwerking met leveranciers en daarvan gaan we zeker meer horen in het nieuwe jaar. Op de datum van schrijven van dit artikel is nog niet bekend of de DigiD audit, die ingeleverd moet zijn bij Logius voor 1 mei 2016, gaat veranderen. In de eerste weken van januari 2016 krijgen we van Logius , KING en IBD, de veranderingen te horen, Zoals het er nu uitziet wordt het aantal normen niet uitgebreid en wordt nog steeds opzet en bestaan getoetst en helaas niet de werking.
Datalekken in 2016
De wet meldplicht datalekken treedt op 1 januari 2016 in werking. Overal waar ik kom, is dit het belangrijkste onderwerp van gesprek. Tegelijkertijd verbaas ik me er ook over dat de meeste gemeenten wel erg laat met de voorbereiding op de komst van de Wet meldplicht datalekken aan de slag zijn gegaan. Aan de andere kant ligt er natuurlijk, zeker de laatste maanden, heel veel op het bordje van de gemeente.
Mijn advies: Zorg nog dit jaar voor een draaiboek of protocol hoe om te gaan met deze mogelijke datalekken, zodat je in ieder geval nog gevrijwaard blijft van hoge boetes. Borg de procedure in je organisatie en breid je bewerkersovereenkomst uit met de Wet meldplicht datalekken.
Ik wens u een goed beveiligd 2016 toe!
Meer weten?
Voor meer informatie kunt contact opnemen met John Vloemans, senior adviseur informatiebeveiliging en privacy bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.