Auteursarchief: Wouter Le Febre

1 Jaar AVG: waar staan we nu? 

Lees het gehele artikel

Het is inmiddels alweer iets meer dan een jaar geleden dat de Algemene Verordening Gegevensbescherming in werking trad. De nieuwe privacywetgeving moet er vooral voor zorgen dat de privacy van Europese inwoners beter beschermd wordt, maar na een jaar lijkt de wet voornamelijk tot kopzorgen te leiden bij veel organisaties, waaronder gemeenten, op te leveren. Wat heeft een jaar met de AVG ons gebracht? 

Bouwstenen 

Met de komst van de AVG lag de focus voor veel Nederlandse gemeenten op het in kaart brengen van de talloze verwerkingen van persoonsgegevens in het register van verwerkingen en het maken van de juiste afspraken aan de hand van verwerkersovereenkomsten. Inmiddels heeft de Informatiebeveiligingsdienst ook een standaardverwerkersovereenkomst gepubliceerd, waarvan het gebruik voor gemeenten verplicht wordt. Deze onderdelen zijn belangrijke bouwstenen voor een organisatie om meer grip te krijgen op het zorgvuldig werken met persoonsgegevens. 

Dat is een continu proces, dat niet klaar is na een implementatieproject AVG. Het is essentieel om scherp te houden welke (persoons)gegevens je verwerkt, maar ook hoe je die gegevens verwerkt en hoe de gegevensstromen er in de praktijk uitzien. Recent bleek uit onderzoek van RTL dat er bij een jeugdzorginstelling grootschalig persoonsgegevens lekten, omdat er gebruik gemaakt werd van verouderde e-mailadressen. Informatievoorziening verandert voortdurend en daar moet je als privacybewuste organisatie op bedacht zijn. Bovendien kun je je in het bovenstaande geval afvragen of e-mail wel het juiste kanaal is om dergelijke informatie te delen. 

Houd het werkbaar 

De uitdaging is om een goede balans te vinden tussen het zorgvuldig omgaan met persoonsgegevens en het werkbaar houden van je primaire werkprocessen. Wij zien in de praktijk nog maar al te vaak dat men in een kramp lijkt te schieten, gepaard met kreten als ‘dat mag niet van de AVG’ of ‘zo kunnen we niet werken’.  

De uitdaging is om samen te kijken naar hoe het wél kan en daarbij gebruik te maken van de ruimte die de wet biedt. Wees je bewust van de risico’s, benoem die en maak vervolgens de afweging hoe je daar op een zorgvuldige manier mee om kunt gaan. Als je dat als organisatie op een goed onderbouwde manier doet, hoeft de wet absoluut niet zo beknellend te zijn als vaak gedacht (en geroepen) wordt, integendeel. 

Handvatten voor de uitvoering 

Het vinden en behouden van die balans is niet alleen de uitdaging voor Functionarissen Gegevenbescherming en Privacy Officers, maar bij uitstek voor de medewerkers die het primaire proces uitvoeren. Zij hebben de juiste handvatten nodig om scherp te blijven op het omgaan met persoonsgegevens en knelpunten of ontwikkelingen te signaleren. Zorgvuldig omgaan met persoonsgegevens is een continu proces. Dat is nooit af, maar je blijft leren en verbeteren. Dat betekent dat men elkaar scherp moet houden binnen organisaties.  

Enerzijds kan dat uitstekend door middel van bewustwordingscampagnes, maar het kan juist ook heel waardevol zijn om het onderwerp te integreren in werkoverleggen. Op die manier kun je privacy op een heel inhoudelijk niveau bespreken en kun je samen je afwegingen maken en vastleggen, bijvoorbeeld door middel van een besluit. Bovendien helpt het goed om met elkaar in beeld te houden waar men zoal tegenaan loopt. Wanneer je er binnen het overleg niet uitkomt, kun je daarnaast een privacy officer bij het overleg laten aansluiten om te adviseren.  

Op die manier kun je echt een lerende organisatie zijn als het gaat om privacy. Samen onderzoeken en onderbouwen hoe het wel kan. Ga met elkaar het gesprek hierover aan, maak heldere afspraken en je zult zien dat er binnen de AVG eigenlijk best veel kan. 

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

 

BIO: momentum voor informatiebeveiliging

Lees het gehele artikel

Inmiddels is het eerste kwartaal van het overgangsjaar alweer bijna verstreken, waarin overheden overgaan op de gezamenlijke Baseline Informatiebeveiliging Overheid (BIO). Lokale overheden, waaronder veel gemeenten, werken hard aan de informatieveiligheid binnen (en ook buiten) de organisatie. Telengy ziet in het veld dat er nog steeds grote stappen gezet worden, in steeds meer gevallen met directe ondersteuning van onze adviseurs. Tegelijkertijd zien we dat het soms toch nog een uitdaging kan zijn om informatieveiligheid ook hoog op de agenda te houden.

Wat dat betreft is de BIO een uitstekende gelegenheid om informatieveiligheid weer onder de aandacht te brengen van de hele organisatie, van medewerker tot bestuurder. De BIO krijgt veel meer een verplichtend karakter dan de BIG en dat brengt ook meer urgentie met zich mee.  Daarbij is het essentieel voortdurend stappen te blijven zetten als organisatie op het gebied van informatiebeveiliging. Tegelijkertijd moet je er soms ook voor waken dat je niet te hard gaat, anders raak je de medewerkers kwijt. Het vinden van een modus waarin je de organisatie goed meekrijgt is van groot belang. Het kan daarbij in sommige gevallen helpen om verandertrajecten op te knippen en meer stapsgewijs te werk te gaan. In een organisatie waar al veel verandert, kan het waardevol zijn om al doende te leren.

Veilig worden door te leren

Het gaat er niet om dat de maatregelen die je implementeert gelijk perfect zijn. Het gaat erom dat je als organisatie bewust keuzes maakt en blijft monitoren of je het gewenste resultaat bereikt met de genomen maatregelen. Bij veel maatregelen zal er een zorgvuldige afweging gemaakt moeten worden tussen de beveiligingsrisico’s en de belangen vanuit de werkprocessen, zoals onder meer efficiëntie en ook gebruikersgemak. Die twee zaken zijn niet noodzakelijk tegenpolen, maar de belangen kunnen wel conflicteren. Als dat gebeurt kan er weerstand ontstaan bij de medewerkers die het werkproces uitvoeren en dat zijn bij uitstek de collega’s die je nodig hebt om informatiebeveiliging echt tot een succes te maken.

Vergeet niet dat je als organisatie altijd de vrijheid hebt om maatregelen opnieuw te evalueren en bij te stellen. Op het moment dat je op een bewuste manier met informatiebeveiliging bezig bent, kan dit je als organisatie helpen om echt te groeien in volwassenheid op dit gebied en echt veiliger te werken. Toch kan het lastig zijn om ineens (grote) veranderingen door te voeren. Ook in de organisatie moet een bepaalde mate van urgentie gevoeld worden om deze veranderingen goed geadopteerd te laten worden.

Aanhaken bij bestaande veranderingen

Momenten waarop er veranderingen plaatsvinden in de informatievoorziening van de organisatie kunnen een uitstekend moment zijn om (grote) veranderingen in de informatiebeveiliging te bewerkstelligen. Kiest een organisatie ervoor om (meer) te gaan flexwerken? Een uitstekend moment om in gesprek te gaan over spel- en gedragsregels rondom het gebruik van ICT-middelen. Stapt de gemeente over op een VDI (Virtual Desktop Infrastructure) met twee-factor authenticatie? Wellicht kan dan bij meer applicaties single sign-on gehanteerd worden.

Als verantwoordelijke voor informatiebeveiliging kan het je enorm helpen om waar mogelijk aan te sluiten bij bestaande veranderingen binnen de organisatie. Het is in die gevallen geen verrassing dat er zaken veranderen en dan is het ook niet zo gek als daar nieuwe afspraken omtrent  informatiebeveiliging bij horen.

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

Veilig mailen: nog steeds in beweging?

Lees het gehele artikel

Afgelopen jaar heeft Telengy uitgebreid onderzoek gedaan naar veilig mailen bij lokale overheden. We constateerden dat het belang van veilig mailen steeds meer werd onderkend, maar dat het vaak een uitdaging was voor lokale overheden om het daadwerkelijk te realiseren. In de praktijk betekende het vooral dat er nog vaak onveilig gemaild werd. Naar aanleiding van het onderzoek werden uiteindelijk zelfs Kamervragen gesteld en het werd maar al te duidelijk dat veilig mailen een plek op de agenda verdient. Hoe staat het er december 2018 voor?

Vooruitgang (on)zichtbaar?

Een belangrijk onderdeel om veilig mailen te realiseren is het implementeren van de diverse veiligheidsstandaarden, zoals onder meer STARTTLS en DMARC. Met deze standaarden kan een veilige verbinding opgezet worden en kan worden voorkomen dat het mailverkeer gemanipuleerd wordt. Daarbij is het wel van belang dat zowel de verzender als de ontvanger de standaarden juist heeft geïmplementeerd.

infographic overheidsinstellingen mailbeveiliging 2018

infographic overheidsinstellingen mailbeveiliging 2018

Net als vorig jaar hebben we met behulp van de online tool van Internet.nl alle domeinnamen van de lokale overheden getest. Met deze test kan iedere organisatie te allen tijde de eigen domeinen controleren en inzichtelijk krijgen welke standaarden (goed) geïmplementeerd zijn. Over de hele linie zien we een opmerkelijk beeld bij de verschillende lokale overheden vergeleken met vorig jaar, omdat verrassend veel organisaties slechter lijken te scoren. Dit valt te verklaren doordat Platform Internetstandaarden de test heeft uitgebreid en de verschillende aspecten anders gewogen worden in de test. Hierdoor lijkt het alsof diverse organisaties qua beveiliging achteruit zijn gegaan, maar dit is niet noodzakelijk het geval. Wel betekent een lagere score dat er meer werk aan de winkel is om goed aan de standaard te voldoen.

Landkaart resultaten gemeenten

Het is belangrijk om de standaarden volledig en juist te implementeren om deze goed tot hun recht te laten komen. Een relatief veel voorkomende situatie is dat een standaard als DMARC (waarmee spoofing van e-mail kan worden voorkomen) wel gehanteerd wordt, maar niet is ingesteld wat er met afwijkende berichten moet gebeuren. Het systeem detecteert de afwijking dan wel, maar doet er vervolgens niks mee, behalve het registeren. Een organisatie kan dan alleen achteraf vaststellen dat er onrechtmatig gebruik is gemaakt van hun domeinnaam. Dit is een gebruikelijke situatie tijdens de implementatie van de standaard, maar op termijn is het raadzaam om afwijkende berichten in quarantaine te zetten of zelfs te verwijderen.

Bewustzijn, ook in de keten

Juist omdat de veiligheidsstandaarden pas echt goed tot hun recht komen als zowel de verzender als ontvanger deze juist geïmplementeerd hebben, is het van belang het gesprek hierover te blijven voeren, zowel in uw eigen organisatie als bij uw ketenpartners. Met name in de uitwisseling met andere organisaties bestaat er een aanzienlijk risico dat gegevens, al dan niet per abuis, in verkeerde handen terecht kunnen komen.

Het adequaat kunnen faciliteren van veilig mailen is een belangrijke basis om datalekken te voorkomen. Uit alle onderzoeken blijkt echter nog steeds dat de meest voorkomende oorzaak van datalekken nog steeds de menselijke factor is. Verkeerde adressering, het bijvoegen van verkeerde bestanden of juist teveel informatie meesturen zijn voorbeelden van hoe een fout al snel gemaakt kan zijn.

Het is belangrijk om te beseffen dat organisaties dit aspect alleen echt goed onder controle kunnen krijgen door structureel en periodiek aan de bewustwording van medewerkers te werken. Maak mensen bewust van de risico’s en geef ze de handvatten om het veilig te doen: niet alleen eigen medewerkers maar ook de partijen waar  mee samengewerkt wordt. Eventuele technische voorzieningen of software die daarbij ondersteunen zijn mooi meegenomen, maar blind vertrouwen op de techniek is zelden een goed plan. Zeker bij ongestructureerde berichtenuitwisseling zoals e-mail.

Houd het op de agenda

Tot slot is het voor lokale overheden van belang om de beveiliging van e-mailverkeer scherp in beeld te houden, zowel door middel van bewustwording als de implementatie van de veiligheidsstandaarden. Dat laatste komt bovendien nadrukkelijk in beeld met de komst van de Baseline Informatiebeveiliging Overheid (BIO), omdat het gebruik van de standaarden voor onder meer e-mailverkeer daar als expliciete ‘control’ wordt benoemd.

Landkaart resultaten provincies

Meer weten?

Voor meer informatie kunt u contact opnemen met Telengy-adviseur Wouter Le Febre, 06 55 29 77 09, w.l.febre@telengy.nl, Telengy-adviseur Kim Lenders, 06 12 74 69 45,  k.lenders@telengy.nl of Telengy-adviseur Rik Duijmelinck, 06 46 66 18 71, r.duijmelinck@telengy.nl.

Informatieveiligheid: van vinkjes zetten naar risico’s managen

Lees het gehele artikel

Veel gemeenten zijn nog druk bezig om de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG) te implementeren, maar de opvolger staat inmiddels ook voor de deur. De Baseline Informatiebeveiliging Overheid (BIO) moet vanaf 2019 een eenduidige baseline voor alle overheidsinstellingen bieden. Is het oude wijn in nieuwe zakken of brengt de BIO meer met zich mee? En hoe kan de nieuwe baseline de lokale overheden helpen? 

Risicogericht door de hele organisatie 

Wie door de BIO heen bladert, zal delen van de structuur herkennen uit de BIG en in elk geval veel van de maatregelen. De nieuwe baseline is net als de BIG dan ook gebaseerd op de ISO 27001 en 27002 normen, zij het bijgewerkte versies daarvan, en ook de structuur van die normen is overgenomen. Het is voor gemeenten belangrijk om de twee baselines goed naast elkaar te leggen en stil te staan bij de plekken waar ze op elkaar aansluiten en vooral ook waar ze van elkaar verschillen. 

Twee belangrijke veranderingen met de komst van de BIO zijn de expliciete aandacht voor verantwoordelijkheden en risicomanagement. In de nieuwe baseline wordt de verantwoordelijkheid voor informatieveiligheid nadrukkelijk neergelegd bij de secretaris, de proceseigenaar of een derde partij als dat van toepassing is. Deze verantwoordelijke moet ervoor zorgen dat de risico’s bij zijn of haar processen in beeld zijn en dat daar passende maatregelen voor genomen worden. Daarbij is het van belang om gedegen kennis van zowel informatiebeveiliging als de inhoud van de processen mee te nemen. 

Basis Beveiligingsniveaus 

Om dat goed en gestructureerd te kunnen doen, worden er met de BIO drie beveiligingsniveaus geïntroduceerd: de zogeheten Basis Beveiligingsniveaus (BBN). Van BBN1 tot en met BBN3 zijn er bijbehorende verplichte overheidsmaatregelen beschreven die voor een passende bescherming bij het betreffende beveiligingsniveau moeten zorgen. In veel gevallen is de proceseigenaar verantwoordelijk voor het toepassen van het juiste beveiligingsniveau en de naleving daarvan. Deze verschuiving zorgt ervoor dat informatiebeveiliging nadrukkelijker in de organisatie wordt belegd. Het is dan ook een belangrijke stap in de groei naar volwassenheid op het gebied van informatieveiligheid, waarin proceseigenaren nadrukkelijk hun verantwoordelijkheid pakken op dit onderwerp en dit uitdragen binnen hun afdeling.  

Als dit op een gedegen manier gebeurt, zal de CISO meer een coördinerende rol kunnen pakken en meer grip krijgen op informatieveiligheid in de gehele organisatie, juist omdat dit door de hele organisatie gedragen wordt. Daarbij is het wel van belang dat er voldoende kennis en bewustwording aanwezig is op de verschillende afdelingen.  

Eén baseline als basis? 

Hoewel er binnen de BIO veel raakvlakken zijn met de BIG, zal het voor de meeste organisaties toch tijd kosten om goed bekend te raken met de inhoud van de nieuwe baseline en daaraan te gaan voldoen. Daarom is 2019 ook aangewezen als overgangsjaar, om deze stap te kunnen zetten. De verantwoording volgens ENSIA zal volgend jaar in principe nog conform de BIG gebeuren, maar uiteindelijk zal ook daar de BIO gaan gelden. 

Nu er een eenduidige baseline komt voor alle overheden kan het waardevol zijn als de BIO in combinatie met ENSIA daadwerkelijk als centrale spil gaat functioneren wat betreft de verantwoording ten aanzien van informatiebeveiliging. Nu vult de CISO naast de vragen in ENSIA ook nog de vragenlijst van de accountant voor de jaarrekening in en worden bij de audits wederom aparte assessments afgenomen voor vakgebieden die ook gewoon in ENSIA aan bod komen. Daar valt voor informatiebeveiligend Nederland nog een mooie stap te zetten. 

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

 

 

AVG: wie doen er allemaal mee?

Lees het gehele artikel

Voor de meeste lokale overheden lijkt het (gaan) voldoen aan de AVG een heuse race tegen de klok. De winter loopt alweer bijna op zijn eind en dat betekent ook dat die ene datum, die zo scherp op ons netvlies staat, met rasse schreden nadert. In het vorige artikel gaf collega John Vloemans een overzicht van de belangrijkste punten voor uw organisatie in het kader van de AVG. In dit artikel aandacht voor de cruciale bewustwording.

Veel organisaties zijn druk bezig met het opleveren van de belangrijkste en vooral de meest concrete punten uit de AVG: het opstellen van het verwerkingsregister en het aanstellen van de Functionaris Gegevensbescherming. Vergelijkbaar met de trajecten rondom informatiebeveiliging zien wij bij veel organisaties dat het punt bewustwording doorgaans pas later in het traject aan bod komt. Dit is begrijpelijk vanuit het oogpunt dat bewustwording wellicht geen direct tastbare resultaten oplevert en je er als organisatie niet op afgerekend kunt worden als je het (nog) niet gedaan hebt. Bovendien zijn we allemaal druk met het aanstellen van de FG en het opstellen van het register. Maar is dat wel terecht? Op welke manier zou bewustwording eerder in het traject de implementatie juist kunnen bevorderen?

Privacy is overal in uw organisatie

In alle domeinen binnen de lokale overheid wordt er op ieder moment van de dag een veelheid aan gegevens verwerkt, waaronder persoonsgegevens. Hetzij een naam en adres, maar wellicht ook informatie over iemands gezondheid. Het maakt dat iedereen in de organisatie uiteindelijk, in meer of mindere mate, met privacy te maken krijgt. De AVG vraagt van uw organisatie dat u een verwerkingsregister opstelt met daarin per verwerking benoemd welke gegevens er verwerkt worden, waarvoor en waarom dat rechtmatig is.

Dat is een flinke klus, omdat het betekent dat u flink moet grasduinen binnen uw organisatie om dit allemaal op papier te krijgen. Het betekent ook dat u met uw hele organisatie in kaart gaat brengen wat er nou eigenlijk allemaal verwerkt wordt en waar dat voor nodig is. Die rondgang kunt u aangrijpen om binnen uw hele organisatie in gesprek te gaan over het belang van privacy en wat het betekent voor uw organisatie. Dat kan in plenaire bijeenkomsten, maar minstens zo interessant is het om gewoon eens de werkvloer op te gaan en vragen te stellen. In de natuurlijke setting van de werkvloer kun je effectief aan bewustwording werken, omdat het veel ruimte geeft voor een dialoog.

Met elkaar in gesprek over privacy

Juist door eerder in het implementatieproces aan bewustwording te doen, zullen collega’s actiever over de impact van privacy na gaan denken en kunt u mogelijk eerder identificeren waar knelpunten zitten en waar u eventuele weerstand kunt aantreffen. Weerstand op het gebied van privacy (‘ik mag niks delen’) blijkt in de praktijk regelmatig een uiting van onwetendheid of koudwatervrees te zijn, terwijl het in de praktijk vaak helemaal niet zo spannend hoeft te zijn. Voorkom deze tendens door vroegtijdig, samen, te kijken waar dit vandaan komt. Door de werkvloer op te gaan creëert u ruimte om concrete casussen te bespreken. Welke informatie mag ik gebruiken bij vermoeden van fraude? Mag ik zomaar een heel dossier met een ketenpartner delen? Dergelijke vragen komen beter tot hun recht in een kleinschalig gesprek dan in een plenaire sessie.

Levert dit u nóg meer werk op? Dat hangt ervan af hoe u het bekijkt. Volgens mij maakt het de implementatie van de AVG effectiever én duurzamer als u op tijd met de organisatie in gesprek gaat en goed luistert naar wat de behoeften zijn. Iedereen krijgt er uiteindelijk mee te maken, laat dat niet als een verrassing komen!

Meer weten?

Voor meer informatie kunt u contact opnemen met Telengy-adviseur Wouter Le Febre, 06 55 29 77 09, w.l.febre@telengy.nl.

Stevige roep om generieke voorziening veilig mailen

Lees het gehele artikel

Bewustzijn veilig mailen groeit

Een gestage toename van het bewustzijn voor veilig mailen is merkbaar. Maar het gebruik heeft alleen effect als de hele keten meewerkt. Verplicht gebruik zou afdwingbaar moeten zijn. Applicaties voor veilig mailen zijn vooral zinvol als én verzender én ontvanger deze gebruiken. Als partners in de keten geregeld veranderen zoals in het zorgdomein, dan is veilig mailen een nog grotere uitdaging. Respondenten zien unaniem veilig mailen bij voorkeur als een landelijke generieke voorziening. Helaas lijkt het nu vooral ieder voor zich met als gevolg een verkokerd en versnipperd landschap. Cruciale randvoorwaarde voor succes is dat veilig mailen eenvoudig in gebruik moet zijn. Tot slot hebben overheden een morele plicht aan de samenleving om op een veilige en betrouwbare wijze informatie te delen. Het raakt het vertrouwen in de overheid. Dit zijn de belangrijkste uitkomsten van het onderzoek dat Telengy heeft uitgevoerd naar de stand in overheidsland op het gebied van veilig mailen.

Er worden dagelijks vele duizenden e-mails verstuurd vanuit lokale overheden naar andere overheden, ketenpartners en inwoners. Het gaat daarbij vaak om gevoelige informatie en gelukkig komt er steeds meer aandacht voor de vraag hoe dit op een veilige manier kan gebeuren. Wat kan de lokale overheid doen om het veilig uitwisselen van informatie met ketenpartners en inwoners te faciliteren? Op basis van onderzoek geeft Telengy inzicht in hoe de zoektocht naar veilig mailen verloopt en wat er zoal aangetroffen wordt tijdens deze tocht.

Zoektocht

In het voorjaar van 2017 schreef Telengy over veiligheidsstandaarden voor e-mail bij lokale overheden. Daar kwam een wisselend beeld naar voren. Aan de ene kant beschikten de meeste organisaties over een beveiligde verbinding, maar tegelijkertijd had bijna 10% nog geen enkele stap gezet op dit gebied. De meeste organisaties waren wel begonnen aan hun zoektocht om veilig mailen te faciliteren binnen hun organisatie. Hoe staat het eind 2017 met die zoektocht en waar lopen zij tegenaan?

Standaard veilig mailen?

Het bewustzijn op het gebied van informatiebeveiliging neemt bij de lokale overheid gestaag toe en dit geldt ook voor de veiligheidsstandaarden voor e-mail. Ruim een half jaar na onze vorige meting hebben we opnieuw de domeinnamen van lokale overheden getest op de verschillende standaarden voor e-mail, aan de hand van de test van Internet.nl. Het gaat hierbij om standaarden zoals:

  • echtheidswaarmerken tegen e-mailphishing (DMARC, DKIM en SPF);
  • ondertekening van domeinnamen (DNSSEC);
  • beveiligde verbinding mogelijk (STARTTLS);
  • bereikbaarheid via modern internetadres (IPv6).

Over de hele linie is vooruitgang te zien en voor alle standaarden zien we een hogere score. Waar dit voorjaar slechts 3 organisaties in de test 100% scoorden, zijn dat er nu 15. Bovendien is het aantal organisaties dat geen enkele standaard heeft geïmplementeerd gedaald van 32 naar 2. Het laat zien dat in praktisch alle organisaties inmiddels aandacht is voor de standaarden en dat deze steeds breder gedragen gaan worden. Een bemoedigend teken, ondanks dat de meerderheid van de organisaties de beveiliging nog steeds niet op orde heeft. Er is nog werk aan de winkel.

infographic gemeenten veilig mailen eind 2017

infographic gemeenten veilig mailen eind 2017

infographic veilig mailen overheden eind 2017

infographic veilig mailen overheden eind 2017

Verzender en ontvanger

Het lastige met de veiligheidsstandaarden is dat ze pas ten volste gebruikt worden als zowel de verzendende als de ontvangende partij deze geïmplementeerd heeft. Op het moment dat de ontvangende partij bijvoorbeeld geen beveiligde verbinding (STARTTLS) heeft, is er al een kwetsbaarheid. Als organisatie wil je streven naar beveiliging in de hele keten, niet alleen in de eigen organisatie. Dat is strevenswaardig, maar is dat ook haalbaar? Als het gaat om ketenpartners wel, geeft Paul van Bergen in gesprek met Telengy aan. Hij is technisch architect bij het samenwerkingsverband ICT Rijk van Nijmegen.

Afdwingen?

Als het aan hem ligt mogen overheden best wat strenger zijn richting ketenpartners als het gaat om het geïmplementeerd hebben van de standaarden. “In theorie zou je het moeten afdwingen”, stelt hij, “maar het uitsluiten van ‘achterblijvers’ is nooit een optie.” In de praktijk zou een dergelijk streven betekenen dat je in kaart brengt welke standaarden bij welke organisatie ontbreken om samen tot veilig mailen te komen. Als je die weg bewandelt, valt er aan het einde van de rit feitelijk niks meer af te dwingen; dat is niet meer nodig. Uiteindelijk is dat wel een situatie waar lokale overheden uiteindelijk naar toe moeten willen. Veiligheidsstandaarden komen pas echt tot hun recht als ze hun naam eer aan doen en in de hele keten de standaard zijn geworden.

Een woud van applicaties

Naast de veiligheidsstandaarden is een scala aan applicaties in de markt beschikbaar die (‘kant-en-klaar’) voorzien in het veilig uitwisselen van informatie. Het kan daarbij gaan om applicaties waarmee veilig bestanden gedeeld kunnen worden, maar er zijn ook applicaties die het mailen zelf beveiligen, al dan niet geïntegreerd in de bestaande mailvoorziening (bijvoorbeeld Outlook). In hoeverre bieden deze applicaties een uitkomst als het gaat om veilig mailen?

Lastig te organiseren in ketens

Nog sterker dan bij de standaarden geldt voor de meeste applicaties dat de ontvangende partij ook aangesloten moet zijn op de gebruikte voorziening, want de verschillende applicaties kunnen doorgaans niet met elkaar ‘praten’. In veel gevallen betekent dit dat een ketenpartner hetzelfde product moet aanschaffen om via die lijn veilig informatie uit te wisselen. Een alternatief kan zijn dat de ontvangende partij inlogt op een online portaal, om het bericht op te halen. Dit is iets waar lokale overheden tegenaan lopen bij de aanschaf van een applicatie voor veilig mailen. Met name in het sociaal domein waar veel verschillende ketenpartners zijn, variërend van zorgboerderij tot GGD, kan dit problematisch zijn. Bij de gemeente Montferland hebben ze dit nadrukkelijk ervaren bij de recente keuze voor een applicatie voor veilig mailen. Informatiemanager Marco Robins, van de gemeente Montferland, geeft aan dat er eigenlijk geen enkele applicatie was die door meer dan 20% van hun ketenpartners gebruikt werd. Bovendien kunnen de ketenpartners jaarlijks wijzigen door aanbestedingen, waardoor de dekking kan blijven wisselen.

Wat betekent dit voor de organisatie als er de wens is om veilig te mailen met alle ketenpartners? En hoe zit het met inwoners? De keuze voor een specifieke applicatie blijkt in de praktijk vaak een compromis te zijn. Enerzijds is dat begrijpelijk, want volledige dekking met volledige veiligheid bestaat helaas niet, maar anderzijds moet het aanzetten tot denken. Waarom bepaalt een product met wie de organisatie veilig kan mailen? En is er reden om aan te nemen dat in de toekomst anders zal gaan?

Veilig mailen als landelijke voorziening?

Op landelijk niveau is er weinig sturing als het gaat om veilig mailen. In het kader van de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) is er wel aandacht voor het veilig uitwisselen van data over het GGI-netwerk. Daarnaast zijn in de softwarecatalogus van KING de meeste veiligheidsstandaarden voor mail inmiddels op de pas-toe-of-leg-uit lijst gezet voor de kantoorautomatiseringscomponent. Dit betekent dat deze standaarden bij bijvoorbeeld aanbestedingen een meer nadrukkelijke rol spelen. Hoewel het nog geen vuist op tafel is, zet het de standaarden wel beter op de kaart.

In de gesprekken met lokale overheden komt steevast naar voren dat er een sterke wens bestaat om veilig mailen als generieke voorziening beschikbaar te hebben, zonder dat het bereik beperkt wordt door specifieke producten. Eenduidigheid in de manier waarop de overheid veilig mailt maakt het meer aantrekkelijk voor andere partijen om daarbij aan te haken. Bovendien voorkom je dat iedere organisatie zelf uit gaat zoeken hoe veilig mailen geregeld kan worden en het versnipperde landschap in stand gehouden wordt.

Lokale overheden kunnen daar samen in optreden en de eerste stappen zetten. Paul Flachs, strategisch adviseur bij de BsGW, geeft aan dat zij met andere belastingkantoren om de tafel zitten om informatieveiligheid, waaronder veilig mailen, zoveel mogelijk samen te organiseren. Het wordt dan ook makkelijker om bijvoorbeeld ketenpartners hierin mee te nemen. Samen organiseren kan het vliegwiel zijn voor veilig mailen.

Het gebruik van veilig mailen

Als er eenmaal een applicatie in huis is om veilig te mailen, dient het volgende vraagstuk zich aan: hoe zorg je ervoor dat medewerkers het daadwerkelijk gaan gebruiken? Een aparte applicatie betekent vaak dat er een onderscheid is tussen veilig mailen en regulier mailen. Unaniem vinden de respondenten van het kwalitatieve onderzoek dat het gebruik van de applicatie zo eenvoudig mogelijk moet zijn. Als het veilig mailen te veel extra werk kost, haken gebruikers af. Volgens de respondenten zijn gebruiksvriendelijkheid en integratie in bestaande mailvoorzieningen de belangrijkste factoren om veilig mailen een succes te maken onder gebruikers.

Bewustzijn is urgent

Vanuit de techniek is het niet altijd mogelijk om veilig mailen bij gebruikers af te dwingen en daarnaast blijft de reguliere ‘onveilige’ mail ook nog bestaan. Dat is een realiteit waar de organisatie mee om moet gaan. Dat betekent dat gebruikers er bewust voor moeten kiezen om iets veilig te versturen. Juist die bewustwording is een sleutelfactor om van veilig mailen een succes te maken. Het gaat erom dat mensen bewust verstandig willen handelen en zorgvuldig met gegevens om willen gaan. Bewustzijn kweken en deze onderhouden zijn daarbij noodzakelijke stappen in de organisatie.

Dat bewustwording een sleutelfactor is, geeft ook ICT-adviseur Paddy Verberne van de gemeente ’s-Hertogenbosch aan. Hij heeft werk gemaakt van de veiligheidsstandaarden in ’s-Hertogenbosch (100 %-score in de internet.nl test). Maar daarmee is de organisatie er nog niet. “Als gebruikers zich realiseren dat het gaat om het zorgvuldig omgaan met gegevens van inwoners, dan is veilig mailen een middel dat ze helpt om dat doel te bereiken. Als ambtenaar heb je daar wat dat betreft ook een morele plicht toe richting de samenleving”, benadrukt Paddy.

Het oog wil ook wat

Bij het zorgvuldig omgaan met gegevens hoort ook dat de overheid vertrouwen uitstraalt naar inwoners en organisaties. Met name in het sociaal domein, waar veelal gevoelige informatie van kwetsbare inwoners verwerkt wordt, is die vertrouwensband met de inwoner een groot goed. Dat speelt ook mee in de communicatie naar de inwoners, geeft Esther Hazeleger aan.

Zij is kwaliteitsmedewerker jeugd bij de gemeente Zeist en werkt veel samen met het Centrum voor Jeugd en Gezin (CJG). Veel applicaties om veilig informatie uit te wisselen maken gebruik van automatisch gegenereerde berichten die naar de ontvanger verstuurd worden. Dit zijn statische en onpersoonlijke berichten en in de communicatie met de inwoner is het belangrijk om stil te staan hoe zulke berichten overkomen en of dat past binnen de dienstverlening.

Bij een andere gemeente werd in een pilot voor het veilig delen van bestanden geconstateerd dat er bij het delen een automatisch bericht werd verstuurd met de tekst ‘Proficiat, er staat een bestand voor u klaar’. In het geval dat je een beschikking, met wellicht een afwijzing, naar een inwoner stuurt kun je je afvragen of ‘proficiat’ de meeste empathische tekst is. Dit soort kleine dingen kunnen grote invloed hebben op het vertrouwen van de inwoner. Als dit negatief is, zullen gebruikers dit middel niet snel inzetten.

Hoe verder met veilig mailen?

Uiteindelijk is iedereen gebaat bij veilige e-mail en hoort het bij een betrouwbare dienstverlening vanuit de overheid. Als je als organisatie een betrouwbare en veilige dienstverlening hoog in het vaandel hebt staan, is veilig mailen een belangrijk middel om tot dat doel te kunnen komen. In een tijd van digitalisering en toenemende cybercriminaliteit is het noodzakelijk om daar gepaste maatregelen voor te nemen en moeten overheden zich rekenschap geven van deze ontwikkelingen.

In den lande gebeurt dit ook, maar is het vaak ieder voor zich. Dit levert een verkokerd en versnipperd landschap op, waardoor het bereik van veilig mailen structureel beperkt wordt. De veiligheidsstandaarden bieden een uitkomst zolang verzender en ontvanger deze hanteren, maar daarbuiten is men veelal aangewezen op een van de vele applicaties. Voor afzonderlijke organisaties is dit vanuit pragmatisch oogpunt erg begrijpelijk. Tegelijkertijd moet er nagedacht worden over hoe veilig mailen in de hele keten gemeengoed kan worden. Los van welke leverancier dan ook en los van de ontvanger.

Op landelijk niveau zou samen gekeken kunnen worden waar de gemeenschappelijke behoeften liggen. Van onderaf doen organisaties er goed aan om de samenwerking in de regio op te zoeken en medewerkers mee te nemen in de bewustwording van informatieveiligheid en het delen van informatie.

Score per organisatie

Bent u benieuwd hoe veilig het mailverkeer van uw gemeente is? Via onderstaande linkjes en kaartje vindt u het percentage op basis van de onderzoeksrapportage. Bent u geïnteresseerd in de onderzoeksrapportage, dan kunt u deze opvragen bij een van de onderstaande Telengy-adviseurs. U kunt natuurlijk ook zelf de test uitvoeren via internet.nl.

Wat hebben we gedaan?

Dit onderzoek is een vervolg op een eerste meting via internet.nl onder gemeenten, omgevingsdiensten en belastingsamenwerkingen in het voorjaar van 2017.

In de eerste plaats hebben we de domeinnamen van 388 gemeenten, 12 provincies, 21 waterschappen, 15 belastingsamenwerkingen en 29 omgevingsdiensten getest op veiligheidsstandaarden voor e-mail via internet.nl.

Vervolgens hebben we organisaties via een enquête gevraagd welke factoren meespelen bij de keuze voor een veilig mailen oplossing. 33 respondenten hebben gereageerd. Hoewel de uitkomsten hiervan niet representatief zijn voor alle overheden, geven de uitkomsten op een diverse punten een eenduidig beeld.

Tot slot zijn we met verschillende organisaties in gesprek gegaan. In 7 interviews hebben we gesproken met medewerkers uit het sociaal domein, ICT-afdelingen, informatiemanagement en op strategisch niveau. De uitkomsten van de interviews zijn vervolgens voorgelegd aan een controlegroep van 3 gemeenten. Zij onderschreven de bevindingen uit de interviews.

Meer weten?

Voor meer informatie kunt u contact opnemen met Telengy-adviseur Wouter Le Febre, 06 55 29 77 09, w.l.febre@telengy.nl, Telengy-adviseur Kim Lenders, 06 12 74 69 45,  k.lenders@telengy.nl of Telengy-adviseur Luciënne Wynans, 06 50 62 15 28 l.wynans@telengy.nl.

Hoe gaat veilig mailen bij u?

Lees het gehele artikel

Binnen (lokale) overheden komt er steeds meer aandacht voor het veilig mailen en uitwisselen van informatie. Aan het begin van de zomer publiceerden wij een artikel over de implementatie van de verschillende veiligheidsstandaarden voor veilig e-mailen bij lokale overheden. Daarnaast zien wij dat er door organisaties veel verschillende applicaties gebruikt worden, die het veilig uitwisselen van informatie faciliteren.

Wij maken inzichtelijk wat nodig is voor veilig mailen

Veilig mailen is alles inzichtelijk

Er zijn veel verschillende smaken, alle met voor- en nadelen. Telengy wil inzichtelijk maken wat organisaties nodig hebben van een dergelijke applicatie en welke factoren daarbij meespelen. Om daar over de brede linie een idee van te krijgen nodigen we u uit om onze enquête over dit vraagstuk in te vullen. U kunt deze hier vinden.

Het invullen van de enquête kost ongeveer 10 minuten en de antwoorden worden vertrouwelijk behandeld. Naast deze vragenlijst interviewen we ook diverse organisaties over hun ervaringen met veilig mailen. Alle onderzoeksresultaten komen begin december beschikbaar.

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

Veilig e-mailverkeer overheden getoetst

Infographic veilig e-mailverkeer juni 2017 Telengy
Lees het gehele artikel

Er komt steeds meer aandacht voor informatiebeveiliging bij overheden. In het licht van de decentralisaties en de toenemende digitalisering komen lokale overheden steeds meer in aanraking met persoonsgegevens van inwoners en worden deze vaker digitaal uitgewisseld en opgeslagen. Tegelijkertijd worden cybercriminelen steeds creatiever en professioneler in hun pogingen om deze gevoelige informatie in handen te krijgen.

Toenemende urgentie

Een van de centrale communicatiekanalen voor overheden is e-mail, terwijl juist deze communicatie eenvoudig onderschept kan worden als deze niet voldoende beveiligd is. De urgentie om veilig te kunnen mailen wordt steeds groter, getuige de toenemende aandacht in de media en in rapporten van gemeentelijke rekenkamers. Ook de ‘Veilige E-mail Coalitie’ past bij deze toenemende urgentie.

Onderzoeksopzet

Telengy heeft dit voorjaar bij 388 gemeenten, 16 belastingsamenwerkingen en 27 omgevingsdiensten uitgezocht hoe veilig het e-mailverkeer op dat moment was. Aan de hand van de test op www.internet.nl zijn de organisaties getoetst op de volgende beveiligingsstandaarden:

  • Bescherming tegen valse DNS-info (DNSSEC).
  • Bescherming tegen mailvervalsing (DKIM/SPF/DMARC).
  • Beveiligde verbinding (STARTTLS/DANE).
  • Moderne adressering met meer veiligheidschecks (IPv6).

De beschikbaarheid van IPv6 kan bijdragen aan een hogere informatieveiligheid en de impact daarvan zal in de komende jaren steeds duidelijker worden. In de bevindingen weegt dit punt minder zwaar en staan de andere drie criteria centraal. De resultaten van de test zijn per organisatie uitgedrukt in een percentage, waarbij een hoger percentage staat voor een meer volledige implementatie van de beveiligingsstandaard.

Hoe veilig is het e-mailverkeer?

Het implementeren van een aantal beveiligingsstandaarden kan e-mailverkeer aanzienlijk veiliger maken, zonder dat gebruikers daarvoor extra handelingen hoeven te verrichten. Dit is een belangrijke eerste stap om op een veilige manier (gevoelige) informatie te kunnen delen. Hoe staat het er eigenlijk voor met de beveiliging van e-mail bij gemeenten, belastingsamenwerkingen en omgevingsdiensten?

Infographic veilig e-mailverkeer juni 2017 Telengy

Infographic veilig e-mailverkeer juni 2017 Telengy

Score per gemeente

Bent u benieuwd hoe veilig het mailverkeer van uw gemeente is? Via onderstaande interactieve kaart vindt u het percentage op basis van de onderzoeksrapportage. Bent u geïnteresseerd in de onderzoeksrapportage, dan kunt u deze opvragen bij een van de onderstaande Telengy-adviseurs. U kunt natuurlijk ook zelf de test uitvoeren via internet.nl.

Veilig e-mailen in uw organisatie?

De adviseurs van Telengy zien dat het landschap rondom informatiebeveiliging bij de lokale overheid sterk in beweging is. Voor veel organisaties kan de invulling van informatiebeveiliging een zoektocht zijn. Om het mailen veiliger te maken bestaan er veel verschillende oplossingen. Enerzijds is er de implementatie van technische beveiligingsstandaarden (zoals gemeten in dit onderzoek) en anderzijds zijn er kant-en-klare oplossingen op de markt die veilige communicatie met externe partijen faciliteren.

Telengy is benieuwd welke rol veilig mailen in uw organisatie speelt en hoe u daar invulling aan geeft. Wij gaan hier graag het gesprek over aan om veilig mailen en informatiebeveiliging scherper in beeld te krijgen. Komende periode zal Telengy nader onderzoek doen naar de beschikbare en gebruikte methoden van veilig mailverkeer tussen overheden en haar doelgroepen.

Meer weten?

Voor meer informatie kunt u contact opnemen met Telengy-adviseur Wouter Le Febre,06 55 29 77 09, w.l.febre@telengy.nl of Telengy-adviseur Kim Lenders, 06 12 74 69 45,  k.lenders@telengy.nl.

Even voorstellen… Wouter Le Febre

Lees het gehele artikel

Sinds 1 juli 2017 ben ik als adviseur verbonden aan Telengy. Ik ben geïnteresseerd in vraagstukken rondom informatievoorziening, informatiebeveiliging en privacy. Dit soort vraagstukken hebben grote maatschappelijke impact en vragen veel van organisaties, met name de overheid. Hoe kan de overheid betrouwbaar en toegankelijk zijn voor de inwoner? Wat is goed voor de dienstverlening? Ik probeer mij dit af te vragen bij alles wat ik doe in mijn werk.

Als jonge adviseur gebruik ik mijn frisse blik om organisaties mee te nemen in deze vraagstukken. Mijn achtergrond als politiek historicus helpt mij om beter te begrijpen waarom zaken soms zijn zoals ze zijn en dit bewustzijn is in mijn ogen een goed startpunt voor verandering. Een organisatie kan effectief en duurzaam veranderen als de mensen in de organisatie daar de waarde van inzien. Het oude durven loslaten en het nieuwe omarmen, dat doe je samen. Niet omdat het moet, maar omdat we het willen; intrinsieke motivatie. Ik zie het als mijn uitdaging om de mensen daarin mee te nemen, zowel op strategisch niveau als op de werkvloer.

Ik ben een verbinder en gebruik mijn enthousiasme en nieuwsgierigheid om techniek, strategie en dagelijks gebruik optimaal op elkaar aan te laten sluiten. Waar het kan pas ik mijn creativiteit (en humor) toe om op een toegankelijke maar doortastende manier binnen een organisatie aan de slag te gaan. Bij Telengy kan ik ervaring op doen bij diverse organisaties en mijn kennis en vaardigheden sterk ontwikkelen.

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre, adviseur bij Telengy, via tel. nr. 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl