Informatieveiligheid & Privacy

Het leven speelt zich steeds meer online af. Dit heeft ons efficiëntie, maar ook nieuwe risico’s gebracht. Overheidsorganisaties verwerken dagelijks een grote hoeveelheid persoonsgegevens ten behoeve van de bedrijfsvoering en de dienstverlening. Zij wisselen deze informatie op verschillende manieren uit met bijvoorbeeld ketenpartners en inwoners. Organisaties zijn verplicht om dit veilig, ethisch en doel gebonden te doen. Niet alleen vanuit wetgeving, maar ook vanwege de verantwoordelijkheid richting haar inwoners, ondernemers en medewerkers. Jij en ik verwachten immers dat de overheid veilig en verantwoord met onze gegevens omgaat.

Privacy kan niet zonder informatieveiligheid

Wij zijn van mening dat dit alleen goed georganiseerd kan worden als er een samenspel is van bewustwording en techniek, zowel op het gebied van informatieveiligheid als op het gebied van privacy. Privacy zonder informatieveiligheid is alsof je de deur open laat staan voor inbrekers, een schijnvertoning. Deze twee onderwerpen zijn en horen binnen organisaties inherent aan elkaar verbonden te zijn.

”Iedereen houdt wel eens de deur voor een ander open met de beste bedoelingen. Helaas is dat niet altijd wederzijds”

Informatieveiligheid overstijgt de techniek

Verschillende onderzoeken van de Autoriteit Persoonsgegevens, de Informatiebeveiligingsdienst en de Vereniging van Nederlandse Gemeenten wijzen al jaren naar de grootste oorzaak van beveiligingsincidenten: de mens. Onbewuste handelingen zoals het klikken op een link in een phishing mail of het verbinden met een onveilig openbaar WiFi-netwerk hebben grote gevolgen voor organisaties en hun systemen. Denk aan financiële gevolgen zoals boetes, herstelkosten en betalingen aan hackers, maar ook de immateriële schade bij de slachtoffers. Informatieveiligheid beperkt zich niet alleen tot het internet, fysieke veiligheid speelt ook een rol. Iedereen houdt wel eens de deur voor een ander open met de beste bedoelingen. Helaas is dat niet altijd wederzijds.

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. Deze baseline zorgt voor eenduidige normen voor overheidsorganisaties op het gebied van informatiebeveiliging. Het biedt houvast door een set verplichte basismaatregelen, maar ook vrijheid met een set optionele maatregelen: pas toe of leg uit. Deze uitleg wordt gegeven aan de hand van risicoanalyses, zo kan worden bepaald welke maatregelen noodzakelijk zijn voor de organisatie. Naast de technische vereisten dient er gewerkt te worden aan structurele veranderingen:

  • Bewustwording en trainingen van de medewerkers om de kans op beveiligingsincidenten te verkleinen;
  • Het adopteren van een risico gedreven aanpak van informatieveiligheid binnen de organisatiecultuur;
  • Het continue plannen, uitvoeren, meten en evalueren (PDCA cyclus) van maatregelen.

Native Consulting onderstreept dan ook dat Informatieveiligheid een stevige (verander-)opgave is die de juiste aandacht verdient en vereist.

”Dit betekent dat los van de quick-wins, privacy een structurele plek in de organisatie moet hebben”

Borging van Privacy raakt de cultuur van de organisatie

De Algemene Verordening Gegevensbescherming (AVG) heeft met haar intrede in 2018 voor de nodige opschudding gezorgd. Concepten zoals doelbinding, informatieplicht en rechten van betrokkenen bestonden al in privacy wetgeving, maar hadden een enigszins vrijblijvend karakter. Dit karakter verdween met de introductie van de Autoriteit Persoonsgegevens en haar bevoegdheden als toezichthouder. Vanuit Native Consulting zien we dat veel quick-wins zoals het opstellen van een privacy beleid, het benoemen van een Functionaris Gegevensbescherming (FG) en het uitvoeren van een Data Protection Impact Assessment (DPIA) ondertussen zijn geïmplementeerd door overheidsorganisaties. Dit zijn echter pas de eerste stappen richting voldoen aan de AVG.

Een nieuw element in de AVG is de verantwoordingsplicht. Jij als organisatie moet aantonen dat je voldoet aan de privacyregels en dit kunnen verantwoorden aan de Autoriteit Persoonsgegevens. Dit betekent dat los van de quick-wins, privacy een structurele plek in de organisatie moet hebben. Eén van de uitgangspunten van de AVG is dan ook privacy by design, privacy in de wortels van de organisatie. Denk bijvoorbeeld aan privacyoverwegingen wanneer:

  • Onderhandelingen plaatsvinden met cloud leveranciers, zodat internationale datatransfers onder de juiste voorwaarden geschieden;
  • Datasets worden hergebruikt tijdens initiatieven binnen datagedreven werken , zodat er gekeken wordt naar het oorspronkelijke doel en de verenigbaarheid;
  • Een collega van een andere afdeling om informatie over een traject vraagt, de ‘lastige’ vragen zijn vaak de juiste vragen om te ontdekken of dit de juiste zet is.

Borging van privacy betekent een volledige organisatorische en culturele inbedding met oog voor mens en techniek.

Informatiebeveiliging en Privacy: 1 + 1 = 3

Wij zijn er van overtuigd dat informatieveiligheid en privacy inherent aan elkaar verbonden zijn en dat beiden een structurele verandering en borging vragen binnen organisaties. De grote uitdaging hierin is om de juiste maatregelen te kiezen die passen bij de organisatie en het risico, de balans tussen wendbaarheid en weerbaarheid. Het betreft een samenspel tussen harde technische maatregelen en zachte bewustwording- en trainingstrajecten. Pas wanneer deze balans wordt gerealiseerd kunnen overheidsorganisaties optimaal profiteren van de kansen die de AVG en BIO bieden om gezamenlijk de maatschappelijke verantwoordelijkheid robuuster vorm te geven. Dit vereist kennis van techniek, mensen en de verbinding daartussen.