Auteursarchief: John Vloemans

De belangrijkste informatiebeveiligingszaken van 2024 

Lees het gehele artikel

Waar sommige gemeenten al een enerverend en soms heftig 2023 achter zich laten, staat één ding vast: het belooft een spannend informatiebeveiligingsjaar te worden. Normaal kan het al best spannend worden als je het slachtoffer bent van spearphishing, datalekken of nog erger een ransomware aanval. Dit jaar krijgen we ook te maken met een aantal belangrijke veranderingen op het werkterrein van informatiebeveiliging. 

BIO 2.0

Het gonst al een tijdje over de nieuwe versie van de huidige BIO. De huidige versie 1.04 dateert alweer van 2018, en is ingegaan op 1 januari 2019. BIO 2.0 is gebaseerd op ISO27001:2022, de meest recente informatiebeveiliging ISO-versie van dit moment.
Vooruitlopend op de definitieve versie van BIO 2.0 is er een BIO 2.0-opmaat uitgebracht zodat CISO’s zichzelf en hun bestuurders kunnen voorbereiden op wat er van hun verwacht gaat worden. 

Waar bij BIO 1.x de toevoeging en uitbreiding van de toenmalige BIG vooral lag op een eerste stap in risicomanagement, is de BIO 2.0 in vergaande stappen aangescherpt in risicomanagement. Ook is er flink uitgebreid op het gebied van continuïteitsmanagement, de ketenveiligheid met softwareleverancier, clouddienst of ander samenwerkingsverband. 

Wat verandert er dan concreet?

Omdat de structuur van ISO 27001:2022 is veranderd, is ook de opbouw van BIO 2.0 volledig veranderd en gaat van 14 hoofdstukken terug naar 4 hoofdstukken; Mensen, Fysieke Objecten, Technology en Organisatie. 

Het aantal maatregelen wordt verminderd van 114 naar 96. Da’s mooi zou je denken, maar er is een aantal maatregelen samengevoegd en uitgebreid waarbij al snel blijkt dat er eigenlijk meer werk is bijgekomen. Er komen daarnaast nog 13 nieuwe maatregelen bij. 

BIO 2.0 bevat nieuwe attributen, aanvullende informatie, over de maatregelen. Denk hierbij aan control types, met de opties zoals “preventief”, “defectief” en “correctief”.
Op dit moment is de huidige BIO verplicht voor alle bestuurslagen. Dit is vastgelegd in de circulaire Toepassen van de Baseline Informatiebeveiliging Overheid versie 1.04 in het digitale verkeer met het Rijk van 19 december 2019 (2019-0000684575).

Vanuit het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties wordt gewerkt aan een wettelijke verankering van de BIO, vermoedelijk in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en/of de Wet digitale overheid (Wdo). De verwachting is dat rond oktober 2024 herziene versie van de Wbni en BIO 2.0 in werking zal treden.  

NIS 2

NIS2 is de opvolger van de oude Europese richtlijn voor ‘Network Information Security’ die in Nederland is opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De richtlijn legt minimale beveiligingsmaatregelen vast voor organisaties en specificeert welke entiteiten eraan moeten voldoen. NIS2 is een Europese richtlijn. Lidstaten van de EU zijn verplicht om de naleving te controleren. Waar BIO geldt voor Nederlandse overheden geldt NIS 2 voor elk Europees bedrijf. 

Er is de laatste tijd onenigheid en twijfel ontstaan of de NIS 2 -richtlijn ook voor lokale overheden zou gelden. Intussen is vastgesteld door de Europese commissie en overgenomen door de Nederlandse ministeries dat NIS2 ook voor lokale overheden geldt en moet worden ingevoerd en geïmplementeerd voor 18 oktober 2024. Een klein detail is dat op dit moment nog geen officiële Nederlandse vertaling is van de NIS 2-richtlijn en geen wet die implementatie afdwingt. Dat brengt mogelijk de invoeringsdatum in gevaar. Het is ook een feit dat de nieuwe Wbni niet minder kan en mag eisen dan wat de EU heeft vastgesteld in de NIS 2-richtlijnen. 

Aan welke maatregelen naast BIO 2.0 moet ik dan denken?

Incidentregistratie kent aanvullende eisen ten opzichte van de BIO 2.0. De NIS 2 is, naast interne organisatie, ook sterk gericht op externe notificatie. Business continuïteit, crisismanagement en ketenmanagement heeft nog meer aandacht in NIS 2 dan nu in de BIO staat. Dit is in lijn met de regierol die de gemeente de afgelopen jaren steeds meer krijgt en moet nemen. Daar vormt informatiebeveiliging geen uitzondering op. NIS 2 verwacht en vereist een meer actievere rol van de organisatie. Dit gaat dan meer over houding, gedrag en bewustwording van de totale organisatie. Verregaande uitbreiding en standaard inzet van 2FA beveiliging zoals beveiligde spraak-/tekst- en videoverbindingen en beveiligde noodcommunicatiesystemen. 

NIS 2 geldt altijd en maakt geen onderscheid in type systemen zoals BIO en ISO27001 dat nog wel doen. Het betekent bijvoorbeeld ook dat de gehele kantoorautomatisering en netwerkautomatisering (ook wel Operationele Technologie genoemd) en procesautomatisering ook aan NIS 2-richtlijnen moeten voldoen. Dit is in de BIO onderbelicht, al zien we sommige auditors op dit vlak al gerichte vragen stellen en opmerkingen maken. 

Artificiële Intelligentie

In 2023 was AI het absolute toponderwerp van gesprek en dat zal in 2024 niet anders zijn. De nieuwe ontwikkelingen volgen elkaar in een rap tempo  op. En laten we eerlijk zijn, we kunnen het ook niet stoppen en dat willen we ook eigenlijk niet. Goede toepassingen van nieuwe AI-toepassingen gaan ons zoveel helpen om onze samenleving te verbeteren. De vraag is eerder: hoe gaan we hier in professionele organisaties zoals lokale overheden mee om? Zeker in context van informatiebeveiliging en privacy want daar kan het op sommige momenten aardig schuren met nieuwe AI-ontwikkelingen, en dat is maar goed ook.  

In januari is er een concept AI act, een nieuwe Europese wet, gedeeld. In grote lijnen is  de AI-definitie van het OECD overgenomen en wordt de gehele AI act uitgekleed en is wat mager ingestoken. In de act wordt bepaald dat deze alleen geldt voor systemen die gegeneerde uitkomsten ‘afleiden’ uit input. Hierdoor vallen logica-gebaseerde systemen, zoals beslisbomen, buiten scope waar in onze ogen net zo veel zo niet meer risico en/of schade in kader van informatiebeveiliging en privacy kan optreden. Bovendien bestaat het risico dat er sneller gekozen wordt voor logica-gebaseerde systemen, in plaats van AI-systemen, omdat die niet onder de AI act vallen. Staatssecretraris Van Huffelen heeft al laten doorschemeren dat Nederland mogelijk aanvullende eisen gaat stellen, mede ingegeven door o.a. de toeslagenaffaire.  

We zien dat naast de technische aspecten ook steeds vaker ethiek bij het AI-vraagstuk wordt betrokken. De universiteit van Utrecht doet hier al jaren onderzoek naar en heeft zich ondertussen ontwikkelt als een belangrijke Nederlandse speler en toonaangevende specialist op dit gebied. Met het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) kan een afgewogen discussie gevoerd worden tussen de relevante partijen bij de afweging om wel of niet een algoritmische toepassing te gaan ontwikkelen. En het IAMA helpt om de gekozen ontwikkeling en implementatie vervolgens op een verantwoorde manier te doen. In het IAMA worden verbanden gelegd met relevante regels, instrumenten en toetsingskaders op het gebied van algoritmen. Het IAMA is opgesteld door Prof. mr. Janneke Gerards, Dr. Mirko Tobias Schäfer, Arthur Vankan en Iris Muis.
Gelukkig kunnen we ook al inzicht van zaken geven met het algoritmeregister, de huidige risicoanalyses zoals DPIA en  IAMA. 

En wat nu?

Ga vooral met bestuurders en management in gesprek over deze 3 onderwerpen. Probeer tijd, mensen en middelen vrij te maken zodat je gefaseerd aan de nieuwe BIO 2.0-maatregelen, de NIS 2-richtlijnen en AI-ontwikkelingen kunt implementeren in je organisatie. Ook al kunnen de genoemde ontwikkelingen nog veranderen, ze zijn voor ongeveer 95% al helder en duidelijk. Het advies is om er nu al mee te beginnen. Hoe langer men wacht, hoe meer werk het wordt om dit in korte tijd geïmplementeerd te krijgen. 

Het NCSC (Nederlands Cyber Security Center) heeft een handige NIS 2-quickscan uitgebracht die je helpt bij de voorbereiding van de nieuwe cyberwet. De quickscan biedt door middel van 40 ja/nee vragen een goed handelingsperspectief per thema met technische en organisatorische maatregelen.

Vraag daarnaast aan je ISMS-leverancier of zij kunnen helpen door het leveren, inzetten en omzetten van BIO 1.04 naar de juiste templates van BIO 2.0 en NIS 2 die je helpen om inzicht te krijgen welke werkzaamheden  bij welke maatregelen en controls horen, zodat je bij de volgende audit beter beslagen ten ijs komt.  

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy specialist, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl. 

 

 

WhatsApp is niet veilig: we stappen massaal over!

Lees het gehele artikel

Ik ben, net als jullie waarschijnlijk, frequent gebruiker van WhatsApp. Daarnaast gebruik ik sinds 2 jaar Signal voor communicatie waarbij veilige berichten versturen met informatiebeveiliging en/of privacy gevoelige gegevens belangrijk zijn. De laatste tijd komt WhatsApp steeds meer in opspraak en wijken vele gebruikers uit naar alternatieven zoals Signal en Telegram.

Maar hoeveel weet je over deze rivaliserende messaging apps? Als je de krantenkoppen mag geloven, zou je denken dat ze allebei veiliger zijn dan WhatsApp, toch? Ja… en nee. Zoals wel vaker ligt het iets genuanceerder en gecompliceerder. In onderstaand artikel probeer ik duidelijk te maken wat de verschillen zijn zodat je voor jezelf makkelijker de keuze kunt maken welke messenging app het beste bij je past.

Gebruikers stappen over…

Inmiddels heb je vast wel gehoord over een reeks incidenten bij WhatsApp die ertoe hebben geleid dat miljoenen WhatsApp-gebruikers overstappen op alternatieven. Aanleiding waren de privacy labels van Apple die wezen op de uitgebreide metadata die worden verzameld door WhatsApp van haar 2 miljard gebruikers. WhatsApp klaagde en zei dat het oneerlijk was omdat Apple voor eigen iMessage geen privacy label had. Toen Apple dat publiceerde zag dat er voor WhatsApp alleen nog maar slechter uit.

Direct hierna heeft WhatsApp besloten om een verandering van de voorwaarden af te dwingen op al haar gebruikers. Het doel was eigenlijk om zakelijke klanten van Facebook te faciliteren om te kunnen communiceren met en producten/diensten te verkopen aan WhatsApp-gebruikers. Geen echte veiligheid of privacy kwesties vonden ze bij WhatsApp. Maar de verandering was zo onhandig geformuleerd, wat weer leidde tot, in mijn ogen terechte, ophef over het delen van privé-gebruikersgegevens van WhatsApp met Facebook.

WhatsApp probeerde daarna nog een keer het doel van het verzamelen van de metadata te verduidelijken en vervolgens wederom te komen met de redenen voor de gewijzigde servicevoorwaarden. Maar de schade was aangericht. De oorspronkelijke ingangsdatum van 8 februari werd voorlopig verzet naar 15 mei. En nu enkele weken later zijn Signal en Telegram de belangrijkste winnaars van de WhatsApp incidenten van afgelopen maanden. Als je één van de miljoenen bent die al zijn overgestapt of je overweegt dit te doen, dan kan dit artikel helpen beslissen of je moet wisselen naar een nieuwe app.

Ben je echt veiliger als je overschakelt naar Signal of Telegram?

De WhatsApp incidenten en ophef zijn gericht op de verzameling metagegevens: het wie, wanneer en waar van een bericht in plaats van de inhoud ervan. Alhoewel WhatsApp in alle toonaarden ontkent iets privé of gevoeligs te delen met Facebook, verzamelt het bedrijf nog steeds te veel. Waar echter niet aan getwijfeld wordt, is de beveiliging die het op jouw berichten zelf van toepassing is.

End-to-end encryptie

WhatsApp maakte end-to-end encryptie voor eindgebruikers in “messaging land” populair, waar alleen de afzender en ontvangers van een bericht de inhoud ervan kunnen lezen, en verdient hiervoor en voor het verdedigen van het gebruik van dergelijke beveiliging in mijn ogen een grote pluim. Ondanks de inspanningen van Amerikaanse wetgevers om op allerlei manieren backdoors te verplichten. Ja, er zijn voorbeelden van de beveiliging van WhatsApp die in 2019 is aangetast, het meest bekend voorbeeld is door vermeende Israëlische spyware. Dit zijn eigenlijk endpoint-compromissen, aanvallen op een zwakheid van de WhatsApp applicatie op je telefoon meestal in combinatie zonder two-factor-authentication. Dit zijn geen zwakke punten in de eigen infrastructuur van WhatsApp.

Signal opensource

De beveiliging van Signal is beter dan die van WhatsApp. Beide maken gebruik van Signal’s encryptie protocol. Signal is volledig opensource, wat betekent dat het kan worden onderzocht op kwetsbaarheden door security onderzoekers. WhatsApp maakt gebruik van zijn eigen  closed source implementatie. Maar beide apps zijn end-to-end versleuteld: met andere woorden jouw berichtinhoud is veilig. De belangrijkste beveiligingszwakte van WhatsApp is de cloud back-up optie, die jouw chatgeschiedenis opslaat, zonder end-to-end-encryptie in de cloud van Google of Apple. Erg handig als je wisselt naar een nieuwe telefoon en je wil jouw chatgeschiedenis meenemen naar je nieuwe telefoon, maar bijna dodelijk als je het zo regelt als Google of Apple dat nu doen in het kader van informatiebeveiliging. Signal biedt om veiligheidsredenen geen gelijksoortige optie.

“Geheime chat” Telegram

De situatie met Telegram is heel anders. Ironisch genoeg verhuizen gebruikers van WhatsApp naar Telegram vanuit een oogpunt van “betere” veiligheid. Telegram biedt standaard echter geen end-to-end encryptie. Er is een “geheime chat” optie, waar een gebruiker kan een bericht een ander met behulp van end-to-end encryptie tussen de twee apparaten en het enigszins omzeilen van de cloud van Telegram. Maar dit geldt helaas niet voor groepen.

Het encryptie probleem maakt het vanuit een puur informatieveiligheidsoogpunt moeilijk om Telegram aan te bevelen. Het ontbreken van standaard end-to-end encryptie geeft gebruikers een vals gevoel van privacy. Technisch gezien heeft Telegram toegang tot al jouw berichten ook die “geheime chat” berichten. Zij worden ook opgeslagen op de servers van Telegram, een back-up van de cloud en waar tevens de sleutel wordt opgeslagen. MTProto, het encryptieprotocol dat door Telegram wordt gebruikt, is eigendom van Telegram en slechts gedeeltelijk opensource. In werkelijkheid vertrouw je Telegram met de inhoud van jouw berichten. Ondanks dat er nog geen ernstige claims en beschuldigen zijn van misbruik door Telegram, is dit toch anders dan een provider die technisch niet in staat is om toegang te krijgen tot jouw inhoud, zelfs als ze dat willen.

Veiligheid grootste zorg?

Als veiligheid jouw grootste zorg is, dan is Signal de beste alternatief van WhatsApp. Signal is bekritiseerd voor het gebruik van telefoonnummers als de primaire ID, hoewel het zegt dat het geen gegevens die zijn gekoppeld aan het nummer te verzamelen. Signal is ook bekritiseerd voor het waarschuwen van gebruikers wanneer een van de contacten van hun telefoon sluit zich aan, bedoeld om virale groei te stimuleren. Nogmaals, Signal zegt dat dit wordt gedaan zonder afbreuk te doen aan de veiligheid, en de matching van nieuwe gebruikers om contacten van een telefoon is geanonimiseerd.

Je zou een nog veiliger alternatief als het Zwitserse Threema ( https://threema.ch/en/ ) kunnen overwegen. Bij deze app is geen telefoonnummer vereist  en dus volledig anoniem, maar tegelijkertijd vindt je bijna geen van jouw contacten op het platform.

Sommige informatiebeveiligingsonderzoekers waarschuwen dat elke messaging app die functionaliteit uitbreid klem komt te zitten met zaken als privacy en informatiebeveiliging. Dit zie nu al duidelijk bij WhatsApp maar begint nu ook bij anderen parten te spelen. Bijvoorbeeld: Telegram biedt functies zoals kanalen, dat zijn openbare feeds. Telegram mixt messaging-methoden die end-to-end versleuteld zijn met anderen, zoals normale chats en kanalen, die dat niet zijn. De meeste mensen zullen het verschil niet zien, kiezen mogelijk zonder dat ze dit zelf weten voor een functie die minder veilig is.

Vaarwel WhatsApp: maar wie zit er achter Signal en Telegram?

De meeste van ons kennen de voor en tegens van het gebruik van een Facebook-platform waar WhatsApp al een tijdje deel van uit maakt. Samen met Google vormen ze ‘s-werelds meest data-hongerige bedrijven, maar hoe zit dat met Telegram en Signal?

Telegram

Telegram wordt beheerd en gefinancierd door de Russische sociale media miljardair Pavel Durov, en opereert vanuit geheime locaties. In de beginjaren werd Telegram beroemd als het platform bij uitstek voor dissidenten en demonstranten en, helaas ook voor criminelen en extremisten, die allemaal hun communicatie buiten het bereik van de autoriteiten willen houden. Ondanks het gebrek aan end-to-end encryptie standaard en het feit dat Telegram de decryptie sleutels bezit. Telegram zegt dat ze deze sleutels moet hebben om toegang te krijgen tot berichten en vervolgens alle pogingen van de rechtshandhaving om toegang tot inhoud te frustreren. Dit geeft een goed inzicht in de oorspronkelijke filosofie achter Telegram.

Signal

Signal is opgericht door beveiligingsonderzoeker Matthew Rosenfeld die de beetje obscure naam Moxie Marlinspike gebruikt voor zijn publieke profiel. Tot eind 2018 was het platform vrij niche en tenzij je in een of andere vorm van informatiebeveiliging werkte, was het onwaarschijnlijk dat de app op je telefoon te vinden was. Maar toen verliet Brian Acton, een van de oprichters van WhatsApp, Facebook en investeerde $50 miljoen in Signal om het mainstream en populair te maken. Voordat Brian Acton betrokken was bij de ontwikkeling was Signal vrij onhandig te gebruiken. Maar dat is nu allemaal veranderd. Signal heeft een goede gebruikersinterface en beschikt over, net zoals rivaal WhatsApp, groepsgesprekken, stickers en Voip telefoongesprekken. Eigenlijk is Signal geworden wat WhatsApp voor ogen had voordat ze werden overgenomen door Facebook en er een andere wind ging waaien.

Financiering versnelde groei

Telegram is particulier eigendom en er is sprake van een mogelijke beursgang om de groei te blijven financieren, terwijl Signal opereert als een non-profit stichting. Beide platforms worden nu geconfronteerd met vragen over hoe ze hun versnelde groei zullen financieren. Het runnen van een wereldwijde messenger met tientallen miljoenen gebruikers (Signal) of honderden miljoenen gebruikers (Telegram) is niet goedkoop. Op dit moment komt de financiering van de platformen van   rijke investeerders en donaties, maar het is onduidelijk of dat gelijke tred zal houden met de groei.

Telegram is vrij openlijk over deze uitdaging, wat suggereert dat ze mogelijk kosten in rekening gaan brengen aan gebruikers voor premium diensten. De Signal Foundation wordt gefinancierd met donaties en de investering van uitvoerend voorzitter Brian Acton. Het is onduidelijk of die donaties genoeg zullen zijn als Signal zo blijft doorgroeien als de laatste weken.

Zijn Signal en Telegram echt beter voor je dan WhatsApp?

Ja… en nee. Het is ongetwijfeld waar dat de focus van Facebook op het verzamelen en verwerken van gegevens in strijd is met de principes van veilige, privéberichten. Het lijkt ook duidelijk dat de richting voor WhatsApp nu in de richting van commerciële diensten, winkelen en betalingen ligt. Nog zorgwekkender is dat Facebook in zijn lange termijn planning heeft aangegeven dat het WhatsApp platform volledig word geïntegreerd met Facebook, Facebook Messenger en Instagram. Dit is geen goed nieuws voor WhatsApp-gebruikers.

WhatsApp heeft ook op het gebied van functionaliteit zwakke punten. Nog altijd is het ontbreken van echte multi-device opties het belangrijkste zwakke punt. Zowel Telegram als Signal bieden aanzienlijk betere opties dan WhatsApp, met volledige zelfstandige tablet- en desktop-apps.

Maar een messaging-platform is slechts zo nuttig als het aantal gebruikers die er aan deelnemen. Dit was altijd de uitdaging van Signal en Telegram maar met alle negatieve publiciteit rondom WhatsApp lijkt dit opgelost te worden. Gebruikers stappen massaal over. Het lijkt er op dat Signal de race aan het winnen is van Telegram. Dit komt waarschijnlijk mede door de permanente end-to-end encryptie van Signal, een must in mijn ogen. Het negatieve imago van Telegram die populair is het in het criminele circuit en bij de maffia als favoriet communicatie middel zal daar ook vast aan bijdragen.

Afgezien van Apple’s iMessage die beperkt is tot de eigen miljoenen Apple gebruikers, is op dit moment alleen Telegram met 500 miljoen accounts echt een concurrent voor WhatsApp. De enige reden die ik kan bedenken waarom een gebruiker over wil schakelen van WhatsApp naar Telegram is als deze de behoefte heeft om aan Facebook te ontsnappen. Voor extra veiligheid en transparantie hoef je in elk geval niet te doen. Het gebrek aan end-to-end encryptie is in mijn ogen echt een behoorlijk nadeel. Voor mij is dat niveau van bescherming een must, maar misschien is mijn informatiebeveiligingshart aan het spreken. Signal groeide na het slechte nieuws van WhatsApp in januari in één dag van 10 miljoen naar 50 miljoen gebruikers. Op dit moment hebben ze al meer dan 100 miljoen gebruikers en zijn ze een directe serieuze concurrent van Telegram en WhatsApp geworden.

Misschien heeft het er ook wel mee te maken dat Signal’s non-profit status verfrissend is in tegenstelling tot grote ICT bedrijven die op dit moment meer geloven in grootschalige data mining en persoonlijk financieel gewin.


je kunt privacy hebben of je kunt volledige controle hebben over de inhoud van berichten-apps, maar je kunt helaas niet beide hebben.


De experts zijn het er over eens, er zal geen “winner-takes-all” scenario zijn. Waarschijnlijk blijven vele mensen WhatsApp nog lange tijd gebruiken omdat daar hun vrienden en bekenden zich bevinden en daarnaast wordt er als alternatief  een veiligere messaging app zoals Signal geïnstalleerd.

Dit brengt ons bij de kern van het probleem en dilemma met beveiligde berichten van dit soort messaging platformen: je kunt privacy hebben of je kunt volledige controle hebben over de inhoud van berichten-apps, maar je kunt helaas niet beide hebben.

Hierboven hadden we het al even over privacylabels van iMessage en WhatsApp, wat verzamelt een applicatie aan gegevens die ze mogelijk weer voor andere doeleinden kunnen gebruiken. Maar hoe zit dat met de rest van messaging landschap. Hieronder zijn de belangrijkste messaging producten van dit moment opgenomen. Hoe meer items worden genoemd, hoe meer gegevens er verzameld worden die terug te herleiden zijn naar jou en mogelijk ook voor andere doeleinden worden gebruikt.

En hoe zit dat nu bij gemeenten?

Bij gemeenten net zoals bij veel ander organisaties worden veel met persoonlijk gevoelige gegevens gewerkt. Denk hierbij vooral aan het sociaal domein en burgerzaken. In vele gemeenten is een omnichannel communicatie strategie in gezet om contacten met burgers mogelijk te maken en te onderhouden. Daar hoort ook vaak WhatsApp bij. Met zo’n 11-12 miljoen Nederlandse gebruikers is dat niet zo gek en een makkelijk manier om met je klant, de burger, in contact te komen.

Helaas kom ik bij gemeenten op KCC’s nog vaak de consument-versie tegen, deze is niet geschikt om in professionele omgevingen zoals gemeenten te gebruiken. Zoals hierboven al gezegd, er wordt wel gebruikt van end-to-end encryptie maar de backup van je smartphone gebeurd zonder encryptie. Gelukkig kiezen de meeste gemeente voor de business versie die met behulp van software een API gebruikt. Hierdoor zijn KCC-applicatieleveranciers in staat om WhatsApp chat functie in te bouwen in hun applicatie en bijvoorbeeld de informatie in een zaaksysteem op te slaan. Omdat er geen smartphone wordt gebruikt voor deze oplossing is er ook geen backup bij google of apple zonder encryptie mogelijk.

Voor werk gerelateerde communicatie tussen ambtenaren onderling raden we WhatsApp altijd af omdat de lijn tussen wat er wel en niet mag in het kader van privacy gevoelige gegevens nog veel meer discussie oplevert. We proberen hierbij altijd de bewustwording te vergroten.


Eigenlijk moet de discussie niet zijn waar staat het maar waar wordt de informatie voor gebruikt.


Ander dilemma waar informatiebeveiligingsadviseurs het altijd over moeten hebben is waar informatie in de cloud wordt opgeslagen. Bij de 3 genoemde platformen ligt deze in Amerika (WhatsApp en Signal) en Rusland (Telegram). WhatsApp en Signal hebben een end-to-end encryptie, Telegram zegt wel dat ze (soms) encryptie gebruiken maar ze bewaren zelf ook de encryptie sleutels, dus eigenlijk is dat geen end-to-end encryptie.

Eigenlijk moet de discussie niet zijn waar staat het maar waar wordt de informatie voor gebruikt zonder dat je het weet.

Het WhatsApp platform is best veilig maar het is van Facebook, de eigenaar van WhatsApp, die geen beste reputatie heeft met het delen van informatie waardoor ook WhatsApp in een kwaad daglicht komt te staan. Gelukkig heeft Europa kunnen afdwingen bij facebook dat de voorwaarden die gaan gelden vanaf 15 mei vanwege de AVG en de overeenkomst die er ligt met Amerika niet voor Europa gaat gelden

Messaging apps zullen altijd blijven bestaan en de grootte van de “userbase” blijft bepalend of mensen deze zullen gebruiken. Daarbij zullen gebruikers en bedrijven bewust een balans moeten vinden  in klantvriendelijkheid en privacy. En dat is zeker geen gemakkelijke opgave.

Voorlopig blijf ik WhatsApp en Signal gebruiken. WhatsApp voor familie en vrienden en Signal voor mijn werk.

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy adviseur bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.

Informatiebeveiliging bij ICT West-Brabant West: dat doen we met 5 gemeenten tegelijk

Lees het gehele artikel

Een dynamische club, de gemeenschappelijke regeling ICT West-Brabant West (ook wel ICTWBW genoemd), een automatisering samenwerking bestaande uit 5 gemeenten waar ik bijna 2 jaar geleden een opdracht kreeg om als tijdelijke CISO informatiebeveiliging verder te professionaliseren en een vaste medewerker als CISO op te leiden.

Als ik in januari 2019 aan mijn opdracht begin, bestaat de GR bijna 3 jaar. De gemeenten Moerdijk, Etten-Leur, Bergen op Zoom, Roosendaal, Tholen zijn de deelnemers en eigenaar van ICTWBW. . Daarnaast verleent ICTWBW nog de ICT-dienstverlening voor een tweetal Gemeenschappelijke regelingen en een tweetal stichtingen. ICT-medewerkers waren zich met allerlei projecten en programma’s aan het voorbereiden voor een transitie van de eigen bestaande ICT-infrastructuur bij elke afzonderlijke deelnemer naar een gemeenschappelijke infrastructuur in nieuwe datacenters. Met deze zogenaamde ‘lift & shift’-projecten, eerst upgraden en daarna verhuizen naar nieuwe datacenter, kwamen complexe problemen bovendrijven. Upgraden naar Windows 2016 servers en Windows 10 werkstations en dat met 5 gemeenten tegelijk blijkt gemakkelijker gezegd dan gedaan.

Van reactief naar proactief

Door het ontbreken van capaciteit van een CISO bij ICTWBW is er tot januari 2019 onvoldoende aandacht voor met de name de governance van informatiebeveiliging. Dit tot ongenoegen van de CISO’s van de deelnemende gemeenten.  Zoals je in het verleden wel vaker zag bij automatiseringsafdelingen en automatiseringssamenwerkingen in het bijzonder ligt de focus op het helpen van klanten. Met name door incidentmanagement, het oplossen van problemen, changemanagement, een beetje releasemanagement en een stukje business continuïteit in de vorm van backup en recovery procedures. Op zich niks mis mee maar ook ICTWBW wil in plaats van reactief toch zeker ook proactief op kunnen treden door problemen aan te zien komen en ze op te lossen voordat de klant hiervan hinder ondervindt. Hier kan het implementeren van een goed informatiebeveiligingsbeleid van grote toegevoegde waarde zijn om de proactiviteit van de organisatie goed uit te kunnen nutten.

Wat eerst?

Eerst is er een IB-beleid, IB-governance en een IB-plan vastgesteld door het MT waardoor zij  deelgenoot en verantwoordelijk zijn gemaakt voor informatiebeveiliging. ICTWBW schrijft zich in bij de IBD om geïnformeerd te blijven en indien nodig geholpen te worden als er zich majeure beveiligingsincidenten voordoen. Samen met de TISO (Technical Information Security Officer) maken we een vliegende start door heel snel de basis ICT-beveiliging met hulp van de gemeente CISO’s van buiten naar binnen in orde te krijgen. Naast dat we algemene bewustwording-sessies organiseren sluiten we ook regelmatig aan in een afdelingsoverleg. De informatiebeveiliging bewustwording stijgt met sprongen. Ook de Privacy Officer sluit regelmatig aan zodat privacy bewustwording mee lift met informatiebeveiliging. Daarnaast hebben we, CISO en TISO, zelf elke week een overleg met Privacy Officer, FG en MT.

En die CISO’s dan?

Elke 2 weken komen CISO’s van de deelnemende gemeenten en ICTWBW  bij elkaar om allerlei zaken door te spreken. Hierbij zie je dat we het moeilijk hebben om afspraken te maken die voor alle gemeenten gelden en werken, maar dit gaat langzaam maar zeker beter. Je ziet dat communicatie en vertrouwen een groot aandeel hebben in de gemaakte afspraken. Ook de governance, wie doet wat en waar ligt de lijn, blijft een discussiepunt. We proberen nu alle procedures die ICT-gerelateerd zijn met alle gemeenten gezamenlijk vast te stellen.

En ICTWBW dan?

Ondertussen zijn we zelf over certificering aan het nadenken. Vanuit de deelnemende gemeenten die zelf aan de BIO (ISO27001) moeten voldoen is de wens ontstaan om door ICTWBW een TPM te laten leveren (thirth party mededeling). Hoewel deze juridisch gezien vanuit de gemeenschappelijke regeling niet noodzakelijk is, is er ook bij ICTWBW de wens om een certificaat te kunnen overhandigen aan de deelnemers als bewijs dat ICTWBW zijn zaken goed op orde heeft.

De TISO, een vaste medewerker van ICTWBW, is langzaam maar zeker naar een volwaardige CISO aan het groeien en met de ondersteuning van het MT komt dit vast goed. Alle medewerkers zijn bewust van informatiebeveiliging en privacy tijdens hun werkzaamheden en bij complexe zaken wordt de CISO geraadpleegd. Hierbij komt informatiebeveiliging by design en privacy by design steeds meer in het DNA van ICTWBW te zitten.

ICTWBW is een hardwerkende dynamische club geworden die inspeelt op de behoefte van de gemeente. Ze zijn zichzelf continue aan het verbeteren en groeien door naar een volgend niveau van professionalisering. Men durft zich kwetsbaar op te stellen, verbeteringen door te voeren en regie te nemen waar nodig. De komende tijd met de oplevering van de nieuwe datacenters zal er weer veel gevraagd worden van de medewerkers maar ik ben er van overtuigd dat ze samen met de deelnemende gemeenten deze verandering ook glansrijk tot een goed einde weten te brengen.

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy adviseur bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.

 

Blijft u AVG-proof met het verwerkingsregister?

Lees het gehele artikel

Over een paar weken is het zover: op 25 mei 2018 moet iedere organisatie, dus ook gemeenten, voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Volgens de AVG moet iedere gemeente een verwerkingsregister opstellen en beheren.

Weet u hoe u een verwerkingsregister opstelt? Maakt u daar één persoon verantwoordelijk voor, of juist alle (afdelings)managers binnen uw organisatie? En hoe houdt u het register vervolgens bij? Wij bieden u een aantal handige tips!

Opzetten verwerkingsregister

Kort gezegd breng je in het verwerkingsregister alle gegevensverwerkingen van de organisatie in kaart. Je legt vast welke persoonsgegevens je verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie ze gedeeld worden. Er is geen vaste standaard voor een verwerkingsregister. Wel schrijft de AVG voor dat het register bepaalde informatie moet bevatten, namelijk:

  • naam en contactgegevens van de verantwoordelijke;
  • naam en contactgegevens van de FG;
  • beschrijving van de beveiligingsmaatregel per verwerkingsactiviteit;
  • doel van de verwerking;
  • beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
  • ontvangers van persoonsgegevens;
  • bewaartermijnen;
  • doorgifte aan een ander land/internationale organisatie.

Het is belangrijk te beseffen dat het bestuur of directie verantwoordelijk is voor de aanpak en niet de Functionaris Gegevensbescherming (FG). De FG heeft een adviserende en controlerende rol.

 

Twee tips bij het opzetten van het verwerkingsregister:

1. Vul het verwerkingsregister met een team

Als het goed is, heeft u al een privacyteam samengesteld. Hierbij heeft u privacybeheerders aangewezen in de diverse vakgebieden. Een verwerkingsregister vullen is veel werk en zonder hulp en aanvullende kennis van de vakspecialisten is een gedegen ingevuld verwerkingsregister bijna onmogelijk.

2. Start op proces niveau

Let op dat je niet blijft hangen in allerlei inhoudelijke deelprocessen. Breng je hoofprocessen in kaart, betrek hierbij inventarisaties van applicaties en een contractendatabase. Later kun je eventueel een verdiepingsslag aanbrengen. Zo kom je sneller tot resultaten.

Beheren van een verwerkingsregister

Inmiddels zijn de meeste gemeenten druk in de weer met het opzetten van zo’n register. Bij het opzetten speelt echter direct de vraag: wie gaat dit beheren en hoe gaan we dit doen?

Het verwerkingsregister is een dynamisch document. Als de gemeente of het applicatielandschap verandert, verandert het register mee. Het is daarom raadzaam een eigenaar voor dit register toe te kennen. Deze is verantwoordelijk voor het updaten en (laten) aanpassen van gegevensstromen.

Drie tips voor het beheren van het verwerkingsregister:

1. Het beheren van het verwerkingsregister is een proces

Hierbij ligt het monitoren en controleren bij de FG. De vakafdelingen zorgen voor de juiste invulling van het verwerkingsregister.

2. Jaarlijkse herijking door vakafdelingen

Het applicatielandschap van een gemeente kan nog wel eens veranderen. Ook kunnen er wijzigingen in de organisatie plaatsvinden. Daarom is het van belang dat er periodieke afstemming en herijking plaats vindt op het verwerkingsregister.

3. Een goede softwaretool helpt eenvoudig en duidelijk de juiste rapportages op te stellen

Een verwerkingsregister kan in Excel worden opgebouwd, maar het is efficiënter om hiervoor een softwaretool te gebruiken. Meestal kan dit in een bestaande ISMS- (Information Security Management System) of GRC-omgeving (Governance, Risk & Compliance) worden geïmplementeerd. Ook zien wij goede SAAS-verwerkingsregisters op de markt verschijnen.

Tot slot

Het verwerkingsregister kan ter controle worden opgevraagd door de Autoriteit Persoonsgegevens. Je bent als gemeente verplicht inzage te geven. Zorg dus dat je voor 25 mei een verwerkingsregister hebt. Maar nog belangrijker: zorg dat het een vast onderdeel van het onderhouden van je processen wordt.

Meer weten?

Voor meer informatie kunt u contact opnemen met Teuntje Brouns, adviseur bij Telengy, via tel. nr. 06 21 29 64 20 of via e-mail: t.brouns@telengy.nl, of Telengy-adviseur John Vloemans, 06 54 34 50 89, j.vloemans@telengy.nl.

De AVG komt eraan! Wat moet u nog regelen?

Lees het gehele artikel

We weten het ondertussen wel: 2018 wordt het jaar van de privacy en gegevensbescherming. 25 mei 2018 is het zover, dan wordt in Nederland en de rest van Europa de Algemene Verordening Gegevenbescherming (AVG) actief. Althans, wij noemen het AVG en de rest van Europa noemt het GDPR, General Data Protection Regulation, maar we hebben het over hetzelfde.

Bent u er al klaar voor? Misschien wat ambitieus, vooruit: bent u ermee bezig? We hebben nog net iets meer dan honderd dagen en er is veel te regelen. De datum van 25 mei 2018 staat vast en overal om ons heen horen we dat het veel is, maar is dat ook zo?

Noodzakelijke stappen of punten op de i?

Ik geef toe dat het veel werk is als u alles in de puntjes wilt regelen. Misschien wel te veel voor 25 mei, zeker als u nu nog moet beginnen. Ik kom bij veel gemeenten en gelukkig hoor ik bij alle gemeenten dat het leeft, dat ze er mee bezig zijn en een enkeling durft zelfs te roepen dat ze klaar zijn. Ik kan mij voorstellen dat u, zeker als uw organisatie nog in de inventarisatiefase zit, door de bomen het bos niet meer kan zien. Wat is er nu echt belangrijk? Wat kan er nog even wachten? We hebben voor u een aantal punten op een rij gezet die u zeker moet regelen voor 25 mei 2018.

FG

Een Functionaris Gegevensbescherming (FG) is een verplichting voor een gemeente omdat we heel veel privacygevoelige gegevens verwerken. Dit mag een rol of een functie zijn. Omdat de FG een zwaar juridische functie is, kom je al snel bij juridische zaken uit, maar dit is zeker geen verplichting. Regelmatig wordt er geopperd om de rol van de FG te combineren met die van de CISO. Het is in mijn ogen belangrijk om deze rollen niet samen onder te brengen bij één persoon. In het kader van incidenten zoals datalekken zullen de CISO en FG wel vaak samen op trekken. Er is inhoudelijk gezien wel degelijk een overlap, maar ze kunnen soms tegenstrijdige belangen hebben en dan is het handig dat ieder zijn standpunten kan verdedigen bij MT of bestuur.

Een FG neemt een aparte plaats in bij de ambtelijke/bestuurlijke organisatie en geeft leiding en sturing aan de privacyorganisatie. Tevens neemt hij/zij een groot aantal taken van de Autoriteit Persoonsgegevens over.

Privacy organisatie

Zoals ook informatiebeveiliging met de implementatie van de BIG (Baseline Informatiebeveiliging Gemeenten) verschillende rollen binnen de organisatie vraagt, heeft u ook bij de implementatie van de AVG een privacyorganisatie nodig. Dit zijn privacy officers (PO’s), medewerkers in de ambtelijke organisatie die in de vakgebieden de FG ondersteunen in de privacytaken. Privacy officers zorgen ervoor dat in hun vakgebied de privacy en bewustwording in het kader van privacygevoelige gegevens in orde zijn en blijven.

Andere belangrijke maatregelen

Andere punten vanuit de AVG die voor uw organisatie van belang zijn voor 25 mei 2018 zijn:

  • verwerkersovereenkomst;
  • verwerkingsregister;
  • meldplicht datalekken;
  • PIA (privacy impact assessment);
  • transparantie en rechten van betrokkenen;
  • bewustwording;
  • privacy by design en privacy by default.

Deze punten komen in de volgende edities van Overheid in Beweging aan bod tot de AVG op 25 mei 2018 ingaat.

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy adviseur bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.

 

Enorme boost informatiebeveiliging bij gemeente Waalre

Lees het gehele artikel

Bij gemeente Waalre staat informatiebeveiliging al enkele jaren op de agenda. Steeds een stap verder gedreven door audits en zelfevaluaties. Hierbij miste de gemeente de praktische invulling met een goed onderbouwd implementatieplan waarbij informatiebeveiliging wordt geborgd in de organisatie.

Janine Ficheroux, coördinator I&A en projectleider informatiebeveiliging geeft namens de gemeente aan Telengy de initiële opdracht: maak binnen 4 maanden een informatiebeveiligingsplan.

Aan de bak

Er waren in het verleden al meerdere gap analyses gemaakt. Waalre heeft zelf al diverse maatregelen in de voorbije jaren genomen. Maar dit gaf in combinatie met de eerdere gap analyses die zijn gemaakt geen reëel beeld van de huidige situatie. In een selecte groep is de gap analyse opnieuw gemaakt. Telengy heeft een vereenvoudigde methode van risico- en impactanalyse ontwikkeld die een enorme tijdsbesparing oplevert. Deze is ingezet bij Waalre om door afgevaardigden uit de diverse vakgebieden tot een goede analyse te komen.  Binnen een maand had Waalre de stand van zaken in kaart, plan van aanpak, top10 van urgente punten en presentatie voor het MT gereed. Het MT staat unaniem achter het plan en verzoekt het projectteam de plannen uit te voeren. Verder wordt de opdracht uitgebreid met een selectie van een ISMS-tool ter ondersteuning  van de CISO en een communicatieplan, zodat de CISO door kan pakken op de gestelde eisen die komende jaren op het pad van de gemeente gaan komen.


Janine Ficheroux, coördinator I&A en projectleider informatiebeveiliging:

” John Vloemans heeft ons de afgelopen 6 maanden een enorme boost gegeven waardoor Waalre volgens goede werkwijzen en afspraken, die zijn geborgd in de organisatie, door kan pakken op informatiebeveiliging en de BIG.”


En nu doorpakken

Het projectteam werd uitgebreid met gegevensbeheerder Farhad ShirinZabanAvar, die het eerdere informatiebeveiligingsbeleid heeft geschreven en financial controller Peter Ramaekers, op dat moment mogelijk CISO in spe.

Het huidige informatiebeveiligingsbeleid was opgesteld in 2013 door Farhad, geldig tot 2018, en voldeed op de organisatie-inrichting na nog prima. Hiervan werd wel besloten om volgend jaar een herziening op het beleid in gang te zetten. Los daarvan werd een nieuwe informatiebeveiligingsorganisatie ontwikkeld en vastgesteld. Peter zijn interesse en enthousiasme in de rol van CISO neemt elke week toe en hij besluit om de rol te aanvaarden.

Om niet alle uitvoerende taken op het bordje van de CISO te leggen, kiest Waalre voor een gedegen informatiebeveiligingsorganisatie waarbij Peter de taak heeft gekregen om deze mensen aan te sturen. Samen met een goed ondersteunend ISMS-systeem wordt de beheerlast en een deel van de bewustwording door de gehele organisatie gedragen. Tevens kan ook worden voorgesorteerd op de komende ENSIA- en AVG-werkzaamheden die ook zijn op genomen in het ISMS-systeem.

Ook is er een communicatieplan ontwikkeld om eerst de beveiligingsbeheerder in de vakgebieden  en daarna de overige collega’s bewust te maken. Uiteindelijk doel is om in werkwijzen en procedures informatiebeveiliging by design vanaf het begin te borgen in de procedure.

En hoe verder?

Peter heeft er zin in om informatiebeveiliging verder vorm te geven in Waalre. Elk jaar wordt er een nieuwe plan en gap analyse gemaakt en gepresenteerd aan MT en bestuur. Het blijft natuurlijk nog steeds een grote klus, maar door o.a. een ISMS wordt het overzichtelijk en behapbaar. Hij is klaar om de volgende uitdagingen bij informatiebeveiliging zoals ENSIA aan te pakken.

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy adviseur bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.

 

 

 

 

Informatiebeveiliging en privacy 2017: wat gaat u doen?

Lees het gehele artikel

Het was een bewogen jaar rondom informatiebeveiliging en privacy. Bij steeds meer gemeenten vindt een goede implementatie en borging van informatiebeveiliging plaats. Telengy-adviseurs John Vloemans en Arno van Waesberghe nemen u graag mee in wat er afgelopen jaar op dit gebied is gebeurd en wat u in 2017 kunt verwachten.

Wet meldplicht datalekken

Op 1 januari 2016 is de Wet meldplicht datalekken in werking getreden. Voor de meeste gemeenten spannend: “Wat is nu een datalek en wat moeten wij doen als we er ermee te maken krijgen?” Dan is er ook nog de Autoriteit Persoonsgegevens, de instantie die de privacywetgeving handhaaft en gemeenten boetes op kan leggen tot wel € 820.000. Dit zorgt soms voor benauwde situaties. Sommige gemeenten hebben dit jaar geprobeerd een datalek ‘onder de pet’ te houden, wat in deze tijd van social media zelden tot nooit lukt. Ook hierbij geldt: beter voorkomen dan genezen! Beter een extra melding te veel, zodat u geen imagoschade lijdt en een mogelijke boete krijgt. Dan hebben we  het nog niet eens over de directe schade die uw burgers hiervan kunnen ondervinden.

Ondertussen zijn er meer dan 4.300 meldingen bij de Autoriteit Persoonsgegevens binnengekomen. Gelukkig niet allemaal even ernstig en ook niet allen uit overheidsland afkomstig. Ruim 160 meldingen kwamen van (lokale) overheden, waarvan er enkele tientallen op dit moment nog worden onderzocht. In 2016 is er bij gemeenten een hogere bewustwording ontstaan rondom het gevaar van datalekken. Gelukkig maar. Datalekken waren er al jaren maar ze komen nu sneller aan het licht en nog beter: er wordt in bijna alle gevallen iets aan gedaan. De meeste meldingen van datalekken worden dan ook na enige tijd weer met succes afgemeld bij de Autoriteit Persoonsgegevens, nadat de melder zelf passende maatregelen heeft genomen om het datalek te verhelpen. In circa 90 procent van de gemelde datalekken gaat het om een voorval dat te classificeren valt in een van de volgende categorieën:

  • Ransomware, oftewel een chantagemethode op internet door middel van malware. Vaak betreft het een programma dat een computer (of gegevens die erop staan) blokkeert en vervolgens van de gebruiker geld vraagt om de computer weer te ‘bevrijden’.
  • Een gestolen of verloren mobiele telefoon of andere datadrager.
  • Een verkeerd geadresseerde e-mail of een bestand in een verkeerde map.

Strengere handhaving in 2017

Tot nu toe heeft de Autoriteit Persoonsgegevens alle meldingen onderzocht en had daar zijn handen vol aan. Twee grote marktpartijen kregen al een boete: bij KPN ging het om € 364.000 en bij WhatsApp om € 1.000.000. Dit ging weliswaar nog over oude incidenten uit 2012 en 2013, maar in 2017 gaat de Autoriteit Persoonsgegevens de hoogte van de boetes bepalen aan de hand van ernstige datalek-incidenten in 2016. Met slechts een bewerkersovereenkomst bent u er nog lang niet, een gedegen incidentmanagementprocedure en een informatiebeveiligingscalamiteitenplan zijn al stappen in de juiste richting.

Kortom, het wordt er niet gemakkelijker op. Er komt ook nog een Wet cybersecurity aan met een soortgelijke meldingsplicht, maar dan aan het Nationaal Cyber Security Centrum (NCSC). Dat maakt het overzichtelijk, vindt u ook niet?

DigiD 2017

Het huidige DigiD-normenkader is van toepassing over uw aansluitingen in 2016. Voor de rapportage over 2016 die u tussen 1 januari 2017 en 1 mei 2017 inlevert, moet u uw aansluiting dus toetsen op basis van het huidige normenkader. Bent u van plan om een nieuwe DigiD-aansluiting te realiseren in 2017? Tot 1 juli 2017 is het huidige normenkader van toepassing, daarna gaat een nieuw (2.0) normenkader van kracht. Houdt hier rekening mee voor de DigiD-audit in 2018. Nadere informatie volgt in de loop van 2017.

ENSIA eindelijk van start in 2017

De Nederlandse gemeenten hebben via de VNG de Rijksoverheid opgeroepen om de verantwoordingslast van allerlei audits te verminderen en te vergemakkelijken. Dit was de aanleiding voor het project ‘ENSIA’: Eenduidige Normatiek  Single Information Audit. ENSIA heeft als doel het verantwoordingsproces van gemeenten over informatieveiligheid verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de Planning & Control-cyclus. In augustus jl. zijn zeven ENSIA-pilots gestart in de gemeenten Zaanstad, ’s-Hertogenbosch, Eden-Volendam, Zeewolde, Het Bildt, Tiel en Arnhem. De pilots zijn in december jl. afgerond en zoals het er nu naar uit ziet wordt in april 2017 de hele ENSIA-werkmethodiek gepresenteerd aan de VNG en Nederlandse gemeenten. Hierbij speelt de BIG een belangrijke rol. Sterker nog, deze rol wordt nog belangrijker door in 2017 de BIG, BIR (Baseline Informatiebeveiliging Rijksdienst) en de BIWA (Baseline Informatiebeveiliging Waterschappen) samen te voegen tot de BIO (Baseline Informatiebeveiliging Overheid).

Bewustwording steeds belangrijker

Informatiebeveiliging en privacy gaan in 2017 bij veel gemeenten een steeds grotere rol spelen. Bewustwording is een belangrijk onderdeel, zo niet het belangrijkste onderdeel binnen het domein van informatiebeveiliging en privacy. Technisch kunt u alles nog zo goed beveiligen, maar als de eerste medewerker die ’s-ochtends binnenkomt een spie onder de deur van de personeelsingang schopt dan helpt de toegangscontrole niet. Uiteraard is dit een karikatuur van een voorbeeld, maar toch: het gebeurt regelmatig dat onbekenden uw kantoorruimte binnen kunnen lopen of dat een van de medewerkers op een link in een fishingmail klikt. De reis naar een organisatie met medewerkers die zich bewust zijn van de risico’s rond informatiebeveiliging en privacy begint met kennis.

Wij zijn ervan overtuigd dat er niemand bewust risico-verhogend werkt. Risico’s loopt u omdat men de potentiële gevaren niet herkent of onderkent. Een sleutelrol in de bewustwording ligt bij het gemeentelijk management. Naast algemene bewustwordingssessies voor de hele organisatie dienen zij ook op individuele basis het gesprek aan te gaan en voorbeeldgedrag te laten zien. De manager die zelf zijn bureau niet netjes achterlaat zal niet effectief zijn wanneer hij zijn medewerker aanspreekt op datgene wat hij zelf nalaat te doen. Het mag echter niet alleen op de schouders van het management komen te liggen. Ook het onderling aanspreken van collega’s is een krachtig middel om medewerkers bewust te maken. Uiteindelijk gaat het erom dat de medewerker inziet wat de gevolgen zijn van zijn gedrag. Ook hier geldt: voorkomen is beter dan genezen.

Wij wensen u een veilig en datalekvrij 2017!

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl. U kunt ook contact opnemen met Arno van Waesberghe via tel. nr. 06 39 06 62 58 of via e-mail: a.v.waesberghe@telengy.nl.

Kennissessie meldplicht datalekken in Zuid-Limburg

Lees het gehele artikel

Om een goede en veilige dienstverlening aan burgers en bedrijven te kunnen realiseren is het van belang dat je als (overheids)instantie zorgvuldig met persoonsgegevens omgaat. Onder andere vanuit de Wet Bescherming Persoonsgegevens (Wbp) is vastgelegd aan welke voorwaarden en richtlijnen men zich dient te houden en welke aansprakelijkheden hierbij van toepassing zijn.  Sinds 1 januari 2016 is de Wet Bescherming Persoonsgegevens uitgebreid met de meldplicht datalekken en een boetebevoegdheid voor de toezichthouder. Dit betekent dat iedere ondernemer in Nederland verantwoordelijk is voor de privacygevoelige data in zijn organisatie en bij overtreding een boete tegemoet kan zien.

De wet ontrafeld

In het artikel ‘wet meldplicht datalekken ontrafeld’ uit januari 2016 is door John Vloemans ontrafeld hoe complex deze nieuwe wet is en wat dit voor gemeenten betekent en welke noodzakelijke acties door gemeenten ondernomen moeten worden. Naar aanleiding van dit artikel is door Zuid-Limburgse gemeenten het initiatief genomen om op woensdag 2 maart jl. een kennissessie te organiseren. Zo’n 45 belangstellenden uit 16 gemeenten zijn deze middag door John Vloemans bijgepraat over de meldplicht datalekken en vooral over wat je zoal moet regelen om zo goed mogelijk met vertrouwelijke persoonsgegevens om te gaan, de risico’s te beperken en om in voorkomende gevallen adequaat te handelen. De aanwezigen zijn geïnformeerd over wat er na 1 januari 2016 is veranderd en tenslotte zijn er vele praktijkvoorbeelden toegelicht.

Gezamenlijk op weg

De presentatie leidde tot verschillende interessante inhoudelijke discussies en vragen. De behoefte aan informatie en duidelijkheid was/is groot. Tegen het eind van de kennissessie was al snel duidelijk dat iedere gemeente voor dezelfde uitdagingen staat en nagenoeg dezelfde zaken moet uitzoeken en regelen. Dit besef heeft geleid tot de behoefte aan collegiale samenwerking rondom de meldplicht datalekken. Vanuit de gemeente Maastricht is de suggestie gedaan om in de vorm van een community de samenwerking gestalte te geven. Dit naar aanleiding van positieve ervaringen met de eerdere i-NUP community. Dit was een aantal jaren geleden een succesvolle samenwerkingsvorm tussen 25 gemeenten om de i-NUP implementatie vorm te geven. In wisselende samenstelling hebben zij kennis met elkaar gedeeld, instrumenten gezamenlijk ontwikkeld, implementaties gezamenlijk opgepakt en elkaars expertise en capaciteit gedeeld.

Op basis van deze bijeenkomst wordt een voorstel voor een ‘community meldplicht datalekken’ aan de Zuid-Limburgse gemeenten voorgelegd. Heeft u ideeën of vragen over de vormgeving van een community of wilt u zelf een dergelijke community initiëren? Wij horen het graag van u.

Meer weten?

Voor meer informatie kunt u contact opnemen met John Vloemans via telefoonnummer 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl. U kunt ook contact opnemen met Ton de Wit via telefoonnummer: 06 22 97 29 46 of via e-mail: t.d.wit@telengy.nl.

Informatiebeveiliging en privacy: 2015 was nog maar het begin

Lees het gehele artikel

2015 was een bewogen jaar op het gebied van informatiebeveiliging en privacy. Er moet nog veel gebeuren binnen onze Nederlandse gemeenten. Toch beginnen steeds meer gemeenten de juiste vragen te stellen in het kader van informatiebeveiliging en privacy. Gelukkig maar, want met name privacy is een groot goed in Nederland en zeker de moeite waard om voor te werken. Afgelopen jaar schreef ik over informatiebeveiliging en de DigiD, e-ID en de Wet meldplicht datalekken. Wat staat ons in 2016 te wachten?

Informatiebeveiliging in 2016

Gelukkig begint ook op bestuurlijk niveau de noodzaak van informatiebeveiliging duidelijk te worden, getuige de VNG-visitatiecommissie informatieveiligheid die inmiddels bezoeken aflegt bij gemeenten. Als gevolg daarvan spelen er een hoop vragen bij gemeenten die beantwoord moeten worden. In een groot aantal gemeenten worden beleidsplannen geschreven, GAP- en impactanalyses gemaakt en uitgewerkt tot implementatieplannen voor de BIG (Baseline Informatiebeveiliging voor Nederlandse Gemeenten). Een goede uitwerking van deze plannen, gepaard met een juist ingerichte informatiebeveiligingsorganisatie, een goed ISMS (Informatie Security Management System) en een uitstekende begeleiding kom je als gemeente al een heel eind. In 2016 zal de BIG steeds vaker als referentiekader worden gehanteerd. Het is langzaam maar zeker een basisvoorwaarde om volgende stappen te kunnen nemen. Ook leveranciers worden door gemeenten steeds beter op hun verantwoordelijkheden gewezen. Dit kan nog een stuk beter, maar er worden slagen gemaakt.

DigiD en e-ID in 2016

Eindelijk zetten overheden concrete stappen om e-ID de waardige vervanger voor DigiD te laten zijn. Er zijn verschillende pilots gestart in samenwerking met leveranciers en daarvan gaan we zeker meer horen in het nieuwe jaar. Op de datum van schrijven van dit artikel is nog niet bekend of de DigiD audit, die ingeleverd moet zijn bij Logius voor 1 mei 2016, gaat veranderen. In de eerste weken van januari 2016 krijgen we van Logius , KING en IBD, de veranderingen te horen, Zoals het er nu uitziet wordt het aantal normen niet uitgebreid en wordt nog steeds opzet en bestaan getoetst en helaas niet de werking.

Datalekken in 2016

De wet meldplicht datalekken treedt op 1 januari 2016 in werking. Overal waar ik kom, is dit het belangrijkste onderwerp van gesprek. Tegelijkertijd verbaas ik me er ook over dat de meeste gemeenten wel erg laat met de voorbereiding op de komst van de Wet meldplicht datalekken aan de slag zijn gegaan. Aan de andere kant ligt er natuurlijk, zeker de laatste maanden, heel veel op het bordje van de gemeente.

Mijn advies: Zorg nog dit jaar voor een draaiboek of protocol hoe om te gaan met deze mogelijke datalekken, zodat je in ieder geval nog gevrijwaard blijft van hoge boetes. Borg de procedure in je organisatie en breid je bewerkersovereenkomst uit met de Wet meldplicht datalekken.

Ik wens u een goed beveiligd 2016 toe!

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior adviseur informatiebeveiliging en privacy bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.

Wet meldplicht datalekken ontrafeld (update 18-01-2016)

Wet meldplicht datalekken
Lees het gehele artikel

Op 4 juni 2015 is de Wet meldplicht datalekken aangenomen en wordt deze opgenomen in de Wbp (Wet bescherming persoonsgegevens). De nieuwe Wet meldplicht datalekken is per 1 januari 2016 in werking getreden. Het betekent nogal wat voor een gemeente en dit document ontrafelt de complexiteit van deze nieuwe wet.

Update: De laatste weken van 2015 en de eerste weken 2016 hebben er nog diverse veranderingen plaatsgevonden rond de Wet meldplicht datalekken. Dit document is een update van het eerder verschenen document “Wetplicht meldplicht datalekken ontrafeld”. Hierbij zijn de verplichte meldplicht tijd, de nieuwe boetebedragen en handhavende instantie aangepast.

Is de Wet meldplicht datalekken nieuw?

Eigenlijk niet. De wet datalekken bestaat al langer in Nederland, maar de wet was niet meer up-to-date en de boetebedragen waren zo laag dat niemand zich daar zorgen over maakte. De Europese Commissie heeft alle lidstaten de opdracht gegeven hun wetten aan te passen, zodat voor alle Europese landen dezelfde regels van kracht zijn.

Wat is er veranderd?

Per 1 Januari 2016 is er een verplichte meldplicht waarbij het datalek binnen 72 uur gemeld moet zijn bij Autoriteit Gegevensbescherming. Bij schending van de meldplicht (EU-regels) wordt standaard een boete opgelegd van € 20.250. Bij het naar buiten komen van een datalek waarbij schade is opgelopen, zonder dat een melding is gemaakt door de datalekkende partij aan de Autoriteit Gegevensbescherming, kan een boete oplopen tot € 820.000 of 10 procent van de jaaromzet. De uiteindelijke boete is afhankelijk van de impact van het datalek op de samenleving. De komst van de nieuwe Wet meldplicht datalekken betekent een enorme uitbreiding van de boetebevoegdheid door de Autoriteit Gegevensbescherming.

Wanneer is er sprake van een datalek?

Van een datalek is sprake als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is meestal het gevolg van inbreuk op een of meer beveiligingsmaatregelen.  Denk aan recent gepubliceerde voorvallen in de media van uitgelekte medische gegevens of personeelsdossiers die op straat lagen. Ook diefstal van bijvoorbeeld klantgegevens kan een datalek vormen. Elk bedrijf verwerkt (digitale) informatie en dus ook persoonsgegevens, zowel van klanten als medewerkers. Ook de gemeente verwerkt persoonsgegevens, zowel van burgers als van ambtenaren. Door het toenemende risico dat er data wordt ‘gelekt’, bijvoorbeeld door een menselijke fout, ontoereikende beveiliging, fraude binnen de eigen organisatie en/of een bewuste criminele aanval van buitenaf, kan data in verkeerde handen vallen of verloren gaan. Het wetsvoorstel meldplicht datalekken beoogt aan de huidige Wet bescherming persoonsgegevens (Wbp) een meldplicht voor ‘inbreuken op beveiligingsmaatregelen voor persoonsgegevens’ toe te voegen.

Hoe zit dat dan met de Wbp?

De Wbp (Wet bescherming persoonsgegevens) bestaat al langer maar wordt de laatste jaren steeds belangrijker, doordat gemeenten allerlei nieuwe taken moeten uitvoeren. De Autoriteit Gegevensbescherming geeft in ‘beleidsregels meldplicht datalekken’ aan wanneer er sprake is van een blijvend, passend beveiligingsniveau. Daarin wordt uitgelegd hoe het de Autoriteit Gegevensbescherming bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen deze open beveiligingsnorm uit de Wbp toepast. Daartoe geeft zij een zogeheten ‘plan-do-check-act-cyclus’ waarin zij allereerst aanraadt om de risico’s goed in kaart te brengen en te beoordelen en om gebruik te maken van algemeen geaccepteerde beveiligingsstandaarden.

Wat moeten gemeenten regelen?

  • Noodzaak tot aanpassen van de bewerkersovereenkomst
  • Uitbreiden van bewerkersovereenkomsten dient met de komst van nieuwe taken in het sociaal domein al vanaf begin 2015 in het bezit te zijn van de gemeente en worden uitgebreid met betrekking tot de Wet meldplicht datalekken en aansprakelijkheid.
  • Maak richtlijnen over hoe te handelen als zich een datalek voordoet: maak een datalek-draaiboek / -protocol!
  • In kaart brengen welke gegevens/datastromen worden verwerkt;
  • Toetsen / meten van de huidige informatiebeveiliging op het gebied van datalekken;
  • Processen inrichten naar nieuwe regels op gebied van privacy;
  • Aanstellen protocolplicht verantwoordelijke;
  • Aard en inhoud van de melding vastleggen;
  • Kennisgeving aan betrokkenen;
  • Zorgdragen dat beveiliging op orde is, zowel technisch als ook organisatorisch;
  • Versleutelen van burgergegevens;
  • Vooraf inregelen van aspecten rondom beveiliging, datalekken en privacy in een bewerkersovereenkomst en in SLA’s (Service Level Agreements).

Wat zijn noodzakelijke acties?

Eigenlijk al het aantoonbare bewijs wat aannemelijk maakt dat uw gemeente er alles aan heeft gedaan dat binnen de mogelijkheden ligt om het datalek te voorkomen. Sommige zaken worden in een project Informatiebeveiliging meegenomen; denk aan monitoring, logging en versleuteling van gegevens. Officieel hoort de Wet meldplicht datalekken thuis onder de paraplu van Privacy en nog meer onder Juridische Zaken vanwege het zware juridische karakter.

Wat op korte termijn zeker moet gebeuren is:

  • Zorg voor een goede bewerkersovereenkomst met meldplichtpassages en laat deze ondertekenen door de bewerkers vanuit de gemeente.
  • Zorg voor een datalekdraaiboek of -protocol zodat ambtenaren weten waarom, wanneer, bij wie en waarin ze een datalek moeten melden en waarbij de protocolplichtverantwoordelijke weet wat er van hem/haar verwacht wordt.
  • Datalekken kunt u melden bij het Meldloket Datalekken Autoriteit Gegevensbescherming

Wat als we niks doen?

Niks doen brengt verhoogde risico’s met zich mee. Risico’s zijn niet erg als deze bekend zijn binnen de organisatie en de mogelijke impact van het risico bekend is en er passende maatregelen genomen zijn. In dit geval betreft het een wet en dit maakt zaken dwingender, zeker voor een gemeente. U en uw bestuur kunnen als verantwoordelijke aansprakelijk zijn voor alle schade die voortvloeit uit een datalek en daarnaast een boete van de Autoriteit Gegevensbescherming opgelegd krijgen. Om nog maar te zwijgen van de reputatie- en imagoschade en mogelijke claims van betrokkenen!

Welke implicaties heeft dit voor bedrijven en gemeenten? Waar moet een datalek gemeld worden? Wanneer moet een datalek worden gemeld? Wat moet er exact worden gemeld? Welke preventieve maatregelen kunnen er worden getroffen? Welke afspraken kunnen en moeten er met bewerkers worden gemaakt? Op wie rust de meldplicht en wat als er niet – of niet tijdig – wordt gemeld? Al dit soort vragen worden beantwoord in ‘beleidsregels meldplicht datalekken’ van de Autoriteit Gegevensbescherming.

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior adviseur informatiebeveiliging en privacy bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.

De volledige memo ‘Wet meldplicht datalekken ontrafeld’ kunt u hieronder downloaden:

Wet Meldplicht Datalekken ontrafeld - John Vloemans (volledige memo - update 18-01-2016)

Informatiebeveiliging: Schiet mij maar lek!

Lees het gehele artikel

Vele gemeenten zijn afgelopen weken weer druk geweest met het doorlopen van de DigiD-audit. Voor sommige gemeenten is het nog even haastwerk. Gemeenten hebben nog tot 1 mei a.s. om de documentatie aan Logius door te geven.

Velen hebben reeds de goedkeuring van de auditor ontvangen voor de openstaande punten van de DigiD-audit. Samen met de aanvullende informatie, zoals TPM’s en SLA’s, is het wachten op het oordeel van Logius of men weer geslaagd is voor de DigiD-audit. Ik ben als adviseur direct betrokken bij een groot aantal gemeenten met de begeleiding van dit soort audittrajecten. Tot grote vreugde van de gemeente zelf overigens, die deze vorm van ontzorging erg kan waarderen. Vaak ontstaat er in de informele sfeer een “informatiebeveiligingspraatje”, met vragen als: “Hoe moeten we die informatiebeveiliging nu aanpakken?”, of: “Heb je die BIG gezien, het is wel veel hè?”

Ja, het is veel

Vergeet niet dat we met de e-overheid al 15 jaar actief bezig zijn met het digitaliseren van de lokale overheid. Met alle veranderingen die gemeenten hebben ondergaan, waren de I&A-functionarissen allang blij als de basisfunctionaliteiten goed werkten. Zaken als informatiebeveiliging bleven hierdoor jarenlang onderbelicht. Op het gebied van informatiebeveiliging moet een inhaalslag van minimaal 15 jaar gemaakt worden. Gelukkig begint dit besef ook te komen bij onze gemeentebesturen en MT’s. Informatiebeveiliging en privacy krijgen een steeds voornamere functie binnen de lokale overheid. In alle eerlijkheid: dit wordt ook voor een deel gestuwd door de media en de nieuwe ontwikkelingen binnen het sociaal domein, waarbij steeds meer taken bij de lokale overheid komen te liggen.

Waar beginnen we?

Begin met oriënteren, kijk bij je buurgemeente, vraag om hulp, maar dit is natuurlijk allang gedaan! Misschien wel de gemakkelijkste: kijk op sites zoals IBDgemeenten.nl en sluit je aan bij de IBD. Met 4 stappen ben je volledig aangesloten, wordt je geholpen door de IBD en vind je allerlei waardevolle informatie. Toch blijft het veel werk.

Heb je wel eens naar de GAP-analyse gekeken? De eerste keer klikte ik hem open en gelijk weer dicht. Maar liefst 302 vragen, waar ik bij de beantwoording ook hulp van anderen nodig heb. Ik bracht de GAP-analyse dan ook eigenhandig terug naar 56 punten, zonder verlies van informatie van de originele GAP-analyse van de IBD. Meer behapbaar en samen met de juiste groep mensen in 2 uur door te nemen! Binnen 3 maanden het operationele deel van de BIG implementeren, dat is stappen maken. Deze aanpak heeft zich al meerdere malen bewezen in diverse gemeenten.

Invoeren van een BIG (Baseline Informatiebeveiliging voor Nederlandse Gemeenten) is en blijft een lang traject, houdt hierbij rekening met ongeveer twee jaar. Dit is nodig om een selecte groep gemeenteambtenaren (nog niet eens alle ambtenaren) mee te nemen in de ‘wondere wereld’ van informatiebeveiliging en de operationele zaken en verbeteringen aan te brengen in de gemeentelijke organisatie. Trap dus niet in de valkuil dat het vooral ICT-systemen zijn en dus een I&A-feestje. Laat ik een publiek geheim verklappen: ICT-systemen en aanpassingen daarop zijn het simpelst, het moeilijkste is de gedragsverandering en bewustwording van de medewerkers. Hulp vragen, in welke vorm dan ook, kan zeker geen kwaad!

Meer weten?

John Vloemans, adviseur bij Telengy, is gespecialiseerd in informatiebeveiliging en privacyrichtlijnen voor lokale overheden. U kunt hem bereiken via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.

e-ID of e-Inie: that’s the question

Lees het gehele artikel

Er komt een e-ID kaart. Eindelijk gaat de overheid het niet-veilige DigiD aanpakken. DigiD is bedacht in 1998 en ingevoerd in 2003, maar er is vanaf het begin al een discussie over de beveiliging van DigiD. Men twijfelde of het gebruik van een login en wachtwoord wel veilig genoeg was, zeker voor het doel waarvoor men DigiD in gedachten had, namelijk een digitale handtekening zetten onder belangrijke overheidsdocumenten in een digitale wereld. DigiD werd, zeker voor overheidsbegrippen, snel geadopteerd door de Belastingdienst en was daarmee in 2005 de grootste gebruiker van DigiD-authenticatie bij het ondertekenen van hun digitale belastingaangifte voor burgers. Vanaf 2006 werd het zelfs verplicht om met DigiD te werken bij een digitale belastingaangifte.

Nee, dan onze zuiderburen, de Belgen:
De Belgische overheid voerde op 1 januari 2003 in één klap de e-ID kaart in voor alle, ruim 9,5 miljoen, burgers. Zonder pardon werd er gezegd: “Vanaf nu werken alle overheidsinstanties, van hoog tot laag, met deze kaart.” Er werd zelfs een officieel identificatiebewijs van de e-ID gemaakt. Elke Belgische burger kreeg ook een e-ID kaartlezer, om digitaal te kunnen inzien waarvoor persoonsgegevens worden gebruikt.

Vrijheid blijheid?

DigiD bleef een zorgenkindje. Al in 2006 werd er officieel kritiek geuit op de werkwijze van DigiD. Met name de website van DigiD en de manier van inloggen lagen onder vuur. Tegenmaatregel: de website werd met een certificaat tot een secure website verheven en er ontstond een vrijwillige manier van 2-factor authenticatie; een SMS code op je telefoon die dan weer niet verplicht was.
Een loginnaam en wachtwoord is makkelijk door te geven en daar werd ook veelvuldig gebruik van gemaakt. Vrijwillig, omdat je belastingadviseur jouw belasting formulier in moet kunnen sturen. Onvrijwillig, omdat het voor kwaadwillenden heel eenvoudig is om een DigiD-login aan te vragen en deze te misbruiken voor allerlei doeleinden waar DigiD niet voor bedoeld is. Wist je dat je jouw belastingformulier met iedere DigiD-login kan ondertekenen, zonder dat er bij de Belastingdienst een check wordt gedaan of de DigiD-ondertekenaar en degene die daadwerkelijk de aangifte doet één en dezelfde persoon zijn? Meerdere schandalen zoals de gehackte rootcertificaten van DigiNotar, de Groningse studentenfraude en de Amsterdamse uitkeringsfraude volgden.

Nee, dan onze zuiderburen, de Belgen:
Omdat aan het Belgische e-ID een officiële authenticatiestatus is verleend, kan misbruik op grote schaal bij de e-ID nooit voorkomen. Dit is in de praktijk dan ook nog nooit gebeurd. Overheidsinstanties zoals politie en justitie kunnen de kaart, net zoals bij een bankpas, blokkeren bij verdenking van misbruik.

Samenwerken doe je met z’n allen

Er ontstonden allerlei DigiD-varianten: DigiD voor bedrijven (later eHerkenning) en DigiD Machtigen, waarbij DigiD voor particulieren en DigiD voor bedrijven niet samengevoegd werden maar aparte netwerken bleven. DigiD kan als digitale handtekening overal voor ingezet worden maar daar heeft de overheid niet voor gekozen. Pas de laatste jaren worden er elektronische diensten door middel van DigiD aangeboden bij de lokale overheden. Er is totaal geen transparantie van DigiD-gegevens. Welke DigiD gegevens worden waarvoor gebruikt? Daarnaast heeft de burger, na diverse pogingen om DigiD te koppelen aan het elektronisch patiëntendossier (EPD), terecht wantrouwen gekregen over welke bedrijven inzage hebben in de, soms vertrouwelijke, gegevens van de burger.

Nee, dan onze zuiderburen, de Belgen:
Op de e-ID kaart staan slechts de NAW-gegevens en een persoonscertificaat voor de digitale handtekening. De kaart kan door elk bedrijf worden gebruikt voor identificatie. Hier wordt dan ook veelvuldig gebruik van gemaakt. Met de e-ID kaart kun je naar het gemeentehuis, naar de dokter, naar de apotheek, naar het ziekenhuis en je geeft de belastingadviseur toegang tot jouw gegevens. Iedereen krijgt te zien waartoe hij/zij gemachtigd is. Vele bedrijven kunnen je e-ID kaart gebruiken om de NAW-gegevens over te nemen op een offerte, bijvoorbeeld voor een verbouwing of een nieuwe keuken. Dit alles uiteraard pas na toestemming van de eigenaar van de e-ID kaart. Ben je later van mening dat iemand die je in eerste instantie toegang hebt gegeven tot jouw gegevens nu die toegang wilt ontzeggen, kun je dat zelf wijzigen. Overheidsinstanties, zoals de Belastingdienst en justitie, hebben speciale rechten die je niet mag afnemen maar waarbij wel allerlei privacywetten gelden. Het invoeren van het EPD in België is nooit een probleem geweest, omdat de burger zelf de controle heeft over die gegevens. Je kunt er zelfs je eigen documenten mee beveiligen en beveiligde e-mail op je pc inrichten.

Voorlopig 3-0 voor de Belgen

Doen die Belgen het dan echt zo goed en zijn er nooit problemen geweest? Natuurlijk wel! De eerste e-ID kaart had een ‘foute’ encryptiechip, vergelijkbaar met de OV-kaart, die na vier jaar erg snel te hacken was. De Belgische overheid houdt deze encryptieontwikkelingen nauwlettend in de gaten. Ondertussen zijn ze aan de derde versie van e-ID kaart toe, welke begin 2015 is uitgekomen. Een e-ID kaart is tien jaar geldig, dus de eerste uitgegeven e-ID kaarten zijn uiterlijk in 2013 vervangen. Daarnaast heeft België de e-ID omarmd en worden de mogelijkheden dagelijks uitgebreid. Dit wordt ook door de Belgische overheid gestimuleerd.

Hoe zal onze overheid met de e-ID kaart omgaan? De tijd zal het leren. Voorlopig lopen onze zuiderburen meer dan 15 jaar voor, tegen de tijd dat de e-ID kaart in Nederland zal worden ingevoerd.

Meer weten?

John Vloemans, adviseur bij Telengy, is gespecialiseerd in informatiebeveiliging en privacyrichtlijnen voor lokale overheden. U kunt hem bereiken via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.