Het was een bewogen jaar rondom informatiebeveiliging en privacy. Bij steeds meer gemeenten vindt een goede implementatie en borging van informatiebeveiliging plaats. Telengy-adviseurs John Vloemans en Arno van Waesberghe nemen u graag mee in wat er afgelopen jaar op dit gebied is gebeurd en wat u in 2017 kunt verwachten.
Wet meldplicht datalekken
Op 1 januari 2016 is de Wet meldplicht datalekken in werking getreden. Voor de meeste gemeenten spannend: “Wat is nu een datalek en wat moeten wij doen als we er ermee te maken krijgen?” Dan is er ook nog de Autoriteit Persoonsgegevens, de instantie die de privacywetgeving handhaaft en gemeenten boetes op kan leggen tot wel € 820.000. Dit zorgt soms voor benauwde situaties. Sommige gemeenten hebben dit jaar geprobeerd een datalek ‘onder de pet’ te houden, wat in deze tijd van social media zelden tot nooit lukt. Ook hierbij geldt: beter voorkomen dan genezen! Beter een extra melding te veel, zodat u geen imagoschade lijdt en een mogelijke boete krijgt. Dan hebben we het nog niet eens over de directe schade die uw burgers hiervan kunnen ondervinden.
Ondertussen zijn er meer dan 4.300 meldingen bij de Autoriteit Persoonsgegevens binnengekomen. Gelukkig niet allemaal even ernstig en ook niet allen uit overheidsland afkomstig. Ruim 160 meldingen kwamen van (lokale) overheden, waarvan er enkele tientallen op dit moment nog worden onderzocht. In 2016 is er bij gemeenten een hogere bewustwording ontstaan rondom het gevaar van datalekken. Gelukkig maar. Datalekken waren er al jaren maar ze komen nu sneller aan het licht en nog beter: er wordt in bijna alle gevallen iets aan gedaan. De meeste meldingen van datalekken worden dan ook na enige tijd weer met succes afgemeld bij de Autoriteit Persoonsgegevens, nadat de melder zelf passende maatregelen heeft genomen om het datalek te verhelpen. In circa 90 procent van de gemelde datalekken gaat het om een voorval dat te classificeren valt in een van de volgende categorieën:
- Ransomware, oftewel een chantagemethode op internet door middel van malware. Vaak betreft het een programma dat een computer (of gegevens die erop staan) blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te ‘bevrijden’.
- Een gestolen of verloren mobiele telefoon of andere datadrager.
- Een verkeerd geadresseerde e-mail of een bestand in een verkeerde map.
Strengere handhaving in 2017
Tot nu toe heeft de Autoriteit Persoonsgegevens alle meldingen onderzocht en had daar zijn handen vol aan. Twee grote marktpartijen kregen al een boete: bij KPN ging het om € 364.000 en bij WhatsApp om € 1.000.000. Dit ging weliswaar nog over oude incidenten uit 2012 en 2013, maar in 2017 gaat de Autoriteit Persoonsgegevens de hoogte van de boetes bepalen aan de hand van ernstige datalek-incidenten in 2016. Met slechts een bewerkersovereenkomst bent u er nog lang niet, een gedegen incidentmanagementprocedure en een informatiebeveiligingscalamiteitenplan zijn al stappen in de juiste richting.
Kortom, het wordt er niet gemakkelijker op. Er komt ook nog een Wet cybersecurity aan met een soortgelijke meldingsplicht, maar dan aan het Nationaal Cyber Security Centrum (NCSC). Dat maakt het overzichtelijk, vindt u ook niet?
DigiD 2017
Het huidige DigiD-normenkader is van toepassing over uw aansluitingen in 2016. Voor de rapportage over 2016 die u tussen 1 januari 2017 en 1 mei 2017 inlevert, moet u uw aansluiting dus toetsen op basis van het huidige normenkader. Bent u van plan om een nieuwe DigiD-aansluiting te realiseren in 2017? Tot 1 juli 2017 is het huidige normenkader van toepassing, daarna gaat een nieuw (2.0) normenkader van kracht. Houdt hier rekening mee voor de DigiD-audit in 2018. Nadere informatie volgt in de loop van 2017.
ENSIA eindelijk van start in 2017
De Nederlandse gemeenten hebben via de VNG de Rijksoverheid opgeroepen om de verantwoordingslast van allerlei audits te verminderen en te vergemakkelijken. Dit was de aanleiding voor het project ‘ENSIA’: Eenduidige Normatiek Single Information Audit. ENSIA heeft als doel het verantwoordingsproces van gemeenten over informatieveiligheid verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de Planning & Control-cyclus. In augustus jl. zijn zeven ENSIA-pilots gestart in de gemeenten Zaanstad, ’s-Hertogenbosch, Eden-Volendam, Zeewolde, Het Bildt, Tiel en Arnhem. De pilots zijn in december jl. afgerond en zoals het er nu naar uit ziet wordt in april 2017 de hele ENSIA-werkmethodiek gepresenteerd aan de VNG en Nederlandse gemeenten. Hierbij speelt de BIG een belangrijke rol. Sterker nog, deze rol wordt nog belangrijker door in 2017 de BIG, BIR (Baseline Informatiebeveiliging Rijksdienst) en de BIWA (Baseline Informatiebeveiliging Waterschappen) samen te voegen tot de BIO (Baseline Informatiebeveiliging Overheid).
Bewustwording steeds belangrijker
Informatiebeveiliging en privacy gaan in 2017 bij veel gemeenten een steeds grotere rol spelen. Bewustwording is een belangrijk onderdeel, zo niet het belangrijkste onderdeel binnen het domein van informatiebeveiliging en privacy. Technisch kunt u alles nog zo goed beveiligen, maar als de eerste medewerker die ’s-ochtends binnenkomt een spie onder de deur van de personeelsingang schopt dan helpt de toegangscontrole niet. Uiteraard is dit een karikatuur van een voorbeeld, maar toch: het gebeurt regelmatig dat onbekenden uw kantoorruimte binnen kunnen lopen of dat een van de medewerkers op een link in een fishingmail klikt. De reis naar een organisatie met medewerkers die zich bewust zijn van de risico’s rond informatiebeveiliging en privacy begint met kennis.
Wij zijn ervan overtuigd dat er niemand bewust risico-verhogend werkt. Risico’s loopt u omdat men de potentiële gevaren niet herkent of onderkent. Een sleutelrol in de bewustwording ligt bij het gemeentelijk management. Naast algemene bewustwordingssessies voor de hele organisatie dienen zij ook op individuele basis het gesprek aan te gaan en voorbeeldgedrag te laten zien. De manager die zelf zijn bureau niet netjes achterlaat zal niet effectief zijn wanneer hij zijn medewerker aanspreekt op datgene wat hij zelf nalaat te doen. Het mag echter niet alleen op de schouders van het management komen te liggen. Ook het onderling aanspreken van collega’s is een krachtig middel om medewerkers bewust te maken. Uiteindelijk gaat het erom dat de medewerker inziet wat de gevolgen zijn van zijn gedrag. Ook hier geldt: voorkomen is beter dan genezen.
Wij wensen u een veilig en datalekvrij 2017!
Meer weten?
Voor meer informatie kunt contact opnemen met John Vloemans via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl. U kunt ook contact opnemen met Arno van Waesberghe via tel. nr. 06 39 06 62 58 of via e-mail: a.v.waesberghe@telengy.nl.