Posts By: ClientAdmin

Van BIG naar BIO in een paar dagen

Van BIG naar BIO in een paar dagen

Posted on by in Nieuws with no comments

Concrete roadmap voor overheden

De klok loopt en u heeft nog 14 weken. Vanaf 2020 is de baseline informatiebeveiliging overheden (BIO) van toepassing voor alle bestuurslagen en bestuursorganen van de overheid en daarmee kunne alle afzonderlijke normenkaders zoals de BIG, BIR, IWI en BIWA de prullenbak in. Een goede ontwikkeling want dat bevordert de harmonisatie en het onderlinge vertrouwen in de publieke sector bij het uitwisselen van informatie. De BIO is gebaseerd op de internationale standaard voor informatiebeveiliging, te weten de ISO/NEN 27001/2, versie 2017 waarop doorgaans wordt gecertificeerd.

Het jaar 2019 geldt voor gemeenten als overgangsperiode waarbij de ENSIA-vragenlijst nog gebaseerd is op de BIG. De vraag is dan hoe gemeenten zich gaan voorbereiden op de BIO? Er is natuurlijk al de nodige ervaring opgedaan met de BIG en de uitdaging is om de transitie naar de BIO zo natuurlijk mogelijk te laten plaatsvinden.

Tijdens onze gesprekken met gemeenten over die transitie van BIG naar BIO merken we dat gemeenten bewust vanaf het tweede half jaar 2019 de BIG negeren en zich alleen richten op datgene wat noodzakelijk is vanuit ENSIA. Dat doen ze door gebruik te maken van reeds beschikbare informatie en ervoor te zorgen dat aan de verplichte eisen voor Suwinet en DigiD wordt voldaan. Daarmee creëren zij ruimte voor de introductie van de BIO en dat is op zich geen onlogische gedachte. Immers waarom zou je nog investeren in een normenkader dat in de prullenbak verdwijnt?

De BIO is overigens een logisch vervolg in de doorontwikkeling van de internationale standaard voor informatiebeveiliging op basis van nieuwe ontwikkelingen. Denk bijvoorbeeld aan nieuwe toepassingen en dreigingen, inzichten en de stand van de techniek. Daarnaast is er nog de vergaande digitalisering. En niet te vergeten ketensamenwerking en onderlinge uitwisseling van informatie met derden. De basis voor interne beheersing van informatiebeveiliging is in principe hetzelfde als in de BIG, zij het dat meer nadruk wordt gelegd op risicomanagement en op de governance door expliciet het eigenaarschap te benoemen bij leidinggevenden en managers.

Risicomanagement
Risicomanagement is een afwegingsproces voor het beheersen van onzekerheden en is onderdeel van de PDCA-cyclus waarop de BIO steunt. De inzet van risicomanagement is voorkomen dat informatie en informatiesystemen te licht of te zwaar worden beveiligd. Er zit aldus een beveiligings- en kostenaspect aan vast en dat vereist balanceren.

Vanuit de BIO behoort het resultaat van risicomanagement te leiden tot een basisbeveiligingsniveau. De BIO hanteert hiervoor 3 niveaus, te weten BBN1, 2 en 3 met een minimum aan beveiliging indien sprake is van BBN1. Het uitgangspunt is dat BBN2 standaard van toepassing is tenzij aangetoond kan worden dat BBN1 toereikend is. Voor gemeenten ligt het in de verwachting dat BBN3 ofwel het zwaarste beveiligingsniveau niet of nauwelijks zal voorkomen. Dat niveau is meer van toepassing op de rijksoverheid.

De insteek van de BIO is dat van elk relevant bedrijfsproces en informatiesysteem (wij noemen dat objecten) een basisbeveiligingsniveau wordt vastgesteld met bijbehorende set van (verplichte) beveiligingsmaatregelen. Veel beveiligingsmaatregelen in de BIO hebben overigens een generiek karakter. Dat wil zeggen dat deze maatregelen organisatiebreed van toepassing zijn en dus ook voor alle objecten. Een voorbeeld van een generieke maatregel is het ondertekenen van een geheimhoudingsverklaring. Dat is een activiteit die bij HRM ligt en als eenmaal is vastgesteld dat hieraan is voldaan dan geldt dit eveneens voor de objecten waarop deze maatregel van toepassing is. Daarnaast zijn er maatregelen die per object beoordeeld behoren te worden zoals bijvoorbeeld de toegangsbeveiliging van informatiesystemen op niveau BBN2. Als er 40 informatiesystemen zijn op basisbeveiligingsniveau 2, dan zal dit per object vastgesteld moeten worden. Wij beschouwen deze systemen als de kroonjuwelen van de organisatie. Dat wil niet zeggen dat dit jaarlijks moet geschieden, maar wel bijvoorbeeld per kroonjuweel in een cyclische periode van 3 jaar. Alleen een procedure toegangsbeveiliging hebben, is te kort door de bocht. Je zult moeten vaststellen dat deze procedure ook werkt net zoals dat thans geldt voor Suwinet.

Governance

De BIO onderscheidt 3 hoofdrollen in het kader van de governance van informatiebeveiliging, te weten de gemeentesecretaris, de proceseigenaren en dienstenleveranciers.

De BIO geeft aan dat de gemeentesecretaris eindverantwoordelijk is voor de integrale beveiliging en de inrichting en werking van de beveiligingsorganisatie. In de BIG kwam deze verantwoordelijkheid niet zo nadrukkelijk in beeld. Deze nuancering impliceert eveneens dat bij het ontbreken van een proceseigenaar om wat voor reden dan ook, het eigenaarschap automatisch bij de gemeentesecretaris komt te liggen. De gedachte hierachter is dat de gemeentesecretaris vanuit zijn bevoegdheid dan zelf een eigenaar aanwijst. Deze benadering kan overigens een behoorlijke impact hebben op de governance bij gemeenten. Waarbij de slagingskans voor een groot deel afhankelijk is van de ‘tone at the top’ en bedrijfscultuur. Interessant is dat de vraag naar eigenaarschap eveneens speelt in het privacydomein en in het kader van de financiële rechtmatigheid. Daarover binnenkort een serie blogs.

Een proceseigenaar is een lijnmanager of leidinggevende en is verantwoordelijk voor de beveiliging van zijn/haar objecten (processen / informatiesystemen).

Met dienstenleverancier wordt bedoeld de leverancier die belast is met beveiligingstaken namens de gemeentesecretaris of proceseigenaren. Dit kunnen zowel interne als externe leveranciers zijn zoals de afdeling ICT of intern rekencentrum, facilitaire zaken, HRM maar ook externe partijen zoals serviceproviders.

Hoe nu beginnen
1. Stel een jaarplan BIO op

Het opstarten van de BIO begint met meten aan de hand van de beveiligingsdoelstellingen (controls) en bijbehorende beveiligingsmaatregelen. Van elke maatregel kan worden bepaald in hoeverre wel, deels of niet is voldaan waarbij ons advies is niet te veel aandacht aan te besteden. Een scherp beeld is namelijk niet nodig, maar de meting moet wel voldoende informatie opleveren voor vervolgstappen. Bij twijfel of een maatregel wel of niet is geïmplementeerd kan dan beter het antwoord ‘onbekend’ gegeven worden. Dat wordt dan voorlopig geparkeerd en later uitgezocht. Punt is namelijk dat we de PDCA-cyclus in gang willen brengen gericht op continu verbeteren en dat vereist discipline en een normale doorstroom zonder vertraging. Punten die nu niet opgepakt worden, komen dan in de volgende cyclus aan bod.

Het resultaat van de meting leidt tot een gap-analyse waarbij keuzes gemaakt worden welke verbeteringen gepland kunnen worden. Er vindt aldus een afwegingsproces (lees risicomanagement) plaats dat zich uit in prioritering in de wetenschap dat niet elke tekortkoming direct opgepakt hoeft te worden. Dat is immers niet realistisch. Het gaat erom dat de juiste keuzes worden gemaakt binnen hetgeen wat haalbaar. Er zijn nu eenmaal beperkingen die zich kunnen uiten in bijvoorbeeld een laag ambitieniveau, krappe capaciteit en een gering absorptievermogen van de organisatie. En ook dat zijn factoren waarmee in het afwegingsproces rekening dient te worden gehouden.

Uiteindelijk behoort de gap-analyse inclusief prioritering te zijn opgenomen in een jaarplan BIO. Deze zijn voorzien van de nodige stuurinformatie zoals de geplande verbeterpunten voor de komende periode. De directie behoort dit jaarplan formeel vast te stellen, enerzijds om daarmee hun betrokkenheid voor informatiebeveiliging aan te tonen, anderzijds het mandaat te geven aan de CISO voor het uitvoeren van het jaarplan. Zonder mandaat is het niet aan te bevelen om als CISO het veld in te gaan voor het doorvoeren van verbeteringen.

2. Bepaal het basisbeveiligingsniveau

De BIO geeft aan dat proceseigenaren het basisbeveiligingsniveau bepalen. Ook dat gaat niet vanzelf en daarvoor zijn nadere afspraken nodig met alle belanghebbenden. Allereerst is vooraf inzicht nodig in de belangrijkste bedrijfsprocessen en informatiesystemen en moet duidelijk zijn welke proceseigenaren daaraan gerelateerd worden. Als dit eenmaal in beeld is, is een planning nodig voor de uitrol. Daarnaast behoren proceseigenaren te worden geïnformeerd en gewezen op hun rol en verantwoordelijkheid. Daarbij is het niet uitgesloten dat enige weerstand bij proceseigenaren tot uiting komt. Kortom, voorbereiding, planning en mandaat is hierbij geboden. Voor het mandaat is een formele procedure nodig over de wijze waarop het basisbeveiligingsniveau en bijbehorende maatregelen worden bepaald. Houdt hierbij rekening met rugdekking van de gemeentesecretaris als vangnet ingeval er sprake is opkomende weerstand bij proceseigenaren.

Naast het bepalen van beveiligingsniveaus is het ook belangrijk dat alle verplichte maatregelen zoals opgenomen in de BIO zijn voorzien van een eigenaar.

3. Bundel de slagkracht door samenwerking

De CISO is het centrale aanspreekpunt als het gaat om vraagstukken op het gebied van informatiebeveiliging en zich inzet op naleving van de BIO. Dat laatste kan de CISO niet alleen en daarom zijn gelijkgezinden nodig verdeeld in de organisatie die de ‘voelsprieten’ zijn van de CISO. Op het niveau van de CISO zijn er ook andere ‘poortwachters’ die soortgelijke belangen hebben zoals de privacy officer, de functionaris gegevensbescherming (FG) en de concerncontroller voor de financiële rechtmatigheid. Net zoals de CISO streven zij ernaar dat proceseigenaren hun verantwoordelijkheid nemen als het gaat om naleving van de privacywetgeving en financiële rechtmatigheid (compliance).

Op dat niveau liggen kansen voor het bundelen van krachten en voor het onderling delen van informatie vanwege de overlappingen die er zijn. Zo is privacybescherming nauw verbonden met informatiebeveiliging evenals financiële rechtmatigheid als het gaat om bedrijfsprocessen en informatiesystemen. Het in teamverband optrekken en het met elkaar delen van informatie bevordert tevens de slagkracht en continuïteit als team voor ondersteuning en voorkomt verzuiling (meer van hetzelfde).

4. Introduceer een GRCoplossing voor ISMS

De omvang van alle jaarlijkse relevante beheersactiviteiten in het kader van informatiebeveiliging vereist een effectieve en efficiënte benadering. Het inzetten van een professioneel geautomatiseerde GRC-oplossing als managementinformatiesysteem voor informatiebeveiliging (ISMS) is onvermijdelijk geworden. Er zijn simpelweg te veel beheersactiviteiten verdeeld over diverse medewerkers in de organisatie die gestroomlijnd behoren te worden. Dat lukt niet meer in Excelachtige omgevingen evenals het combineren, delen en actueel houden van informatie in het kader van informatiebeveiliging. Key2Control biedt een zeer gebruikersvriendelijke GRC-oplossing voor ISMS die eveneens ingezet kan worden voor privacybescherming en financiële rechtmatigheid. Daarmee wordt de basis gelegd voor een integraal platform voor interne beheersing. Dat heeft als voordeel dat met 1 systeem alle relevante beheersactiviteiten op welk thema dan ook kunnen worden gemanaged. En dat biedt mogelijkheden tot integratie, kwaliteitsverbetering en efficiencyvoordelen (lees kostenbesparing) voor overheden op het gebied van interne beheersing.

Wilt u meer weten over onze aanpak ten aanzien van de BIO en/of over onze GRC-oplossing, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Donderdag 26 september – Baker Tilly Zwolle – De toekomst van informatiebeveiliging en interne controle bij gemeenten

Donderdag 26 september – Baker Tilly Zwolle – De toekomst van informatiebeveiliging en interne controle bij gemeenten

Posted on by in Events with no comments

Baker Tilly IT Advisory, advies- en implementatiepartner informatiebeveiliging van Key2Control, organiseert op 26 september een rondetafelbijeenkomst in hun kantoor in Zwolle.

Zij praten u bij over de ontwikkelingen op het gebied van informatiebeveiliging (van BIG naar BIO en het ISMS) en interne controle en u krijgt praktische handvatten om deze dossiers op een goede wijze binnen uw gemeente op te pakken.

Als u meer wilt weten over het inzetten van de BIO, de wijzigingen inzake de rechtmatigheidsverklaring 2021In Control StatementsRobotic Process Automation en nut en noodzaak van een ISMS, dan mag u deze bijeenkomst niet missen.

Aan deelname zijn geen kosten verbonden. Meer informatie en inschrijven kunt u via dit formulier op de website van Baker Tilly. Heeft u nog vragen over de bijeenkomst? Neem dan contact op met Arie Hartog of Bart Suers of direct met Dennis Cuijpers van Baker Tilly, 0615626029 of [email protected].

Wij zien u graag op 26 september in Zwolle !

Key2Control betrekt nieuw kantoor in Maastricht

Key2Control betrekt nieuw kantoor in Maastricht

Posted on by in Nieuws with no comments

Softwarebedrijf Key2Control, gespecialiseerd in het organiseren van integrale interne beheersing, neemt per 2 september haar intrek in il Fiore aan de Avenue Ceramique in Maastricht. Deze verhuizing is een logische stap die onderdeel uitmaakt van de verdere groei en professionalisering van de organisatie.

Het pand is zeer centraal gelegen tegenover het Bonnefantenmuseum en is duidelijk herkenbaar aan de markante ronde façades en het gebruik van glas. Het gebouw biedt voldoende faciliteiten en flexibiliteit in het gebruik om bedrijven in staat te stellen optimaal te kunnen groeien.

Arie Hartog, algemeen directeur is verheugd met deze stap. “De afgelopen jaren heeft Key2Control bij meer dan 60 overheidsorganisaties bewezen dat onze software en aanpak goed meebewegen met de verwachtingen, behoeften en ambities van onze klanten. Het continu doorontwikkelen van onze software blijft natuurlijk een kernactiviteit. Alleen werd het ook tijd om onze organisatie daarop aan te passen. Met het aantrekken van een aantal nieuwe medewerkers en uitbreiding van de directie in het eerste kwartaal, hebben het tweede kwartaal benut om onze interne organisatie verder te professionaliseren. Dit alles om goede voorwaarden te creëren voor verdere groei. Dit nieuwe kantoor is voor Key2Control de komende jaren een uitstekende uitvalsbasis voor onze medewerkers en tegelijk een representatieve locatie om klanten en business partners te kunnen ontvangen.”

 

Over Key2Control

Key2Control (2013) is gespecialiseerd in het organiseren van integrale interne beheersing. In onze aanpak combineren we eigen ontwikkelde oplossingen op het gebied van Governance, Riskmanagement & Compliance (GRC) met een hands-on resultaatgerichte aanpak. Door op elk moment van de dag inzicht te hebben in, en verantwoording af te kunnen leggen vanuit, inzichtelijke beheersprocessen zijn klanten van Key2Control in staat

Risicomanagement zonder beheersdoelstellingen is gedoemd te mislukken

Risicomanagement zonder beheersdoelstellingen is gedoemd te mislukken

Posted on by in Nieuws with no comments

Doelstellingenmodel als basis voor een ‘in control statement’

door drs Gerrit Goud RE RA


Waarover moet een manager verantwoording afleggen; het realiseren van doelstellingen of het managen van risico’s? Gemeentelijke organisaties zijn in het licht van de op komst zijnde rechtmatigheidsverantwoording op zoek naar een gestructureerde aanpak voor hun intern beheersingsproces waarbij de focus niet alleen gericht is op het optuigen van de verbijzonderde interne controle (VIC), maar ook op beheersing van de bedrijfsprocessen die gemanaged worden door leidinggevenden met als doel jaarlijks een ‘in control statement’ (ICS) te kunnen afgeven. Die verklaring wordt immers niet afgegeven door de VIC, maar door het management ofwel de 1e verdedigingslijn beredeneerd vanuit het three lines of defence model (3LOD).

Om een ICS te realiseren behoort de focus in eerste instantie gericht te zijn op de 1e verdedigingslijn om ervoor te zorgen dat leidinggevenden actief betrokken raken in dit proces. Daarvoor is een breed draagvlak nodig dat veelal ontbreekt omdat van oudsher de nadruk voor interne beheersing bij de VIC en de huisaccountant ligt. Om het model van 3LOD te realiseren is vooraf visie en ambitie nodig, maar ook een aanpak die helpt om deze ambities te realiseren.

Vooraf behoort duidelijk te zijn welke beheersdoelstellingen überhaupt gerealiseerd moeten worden en niet in algemene termen maar voor elk relevant bedrijfsproces. Meten is immers weten. Veelal ontbreken meetbare beheersdoelstellingen en wordt het instrument risicomanagement breed ingezet met als uitkomst vele risico’s en daaraan gerelateerde mitigerende maatregen. Echter zonder beheersdoelstellingen is het managen van (proces)risico’s doelloos en eindeloos met als uitkomst veel overhead, weinig resultaat en draagvlak bij leidinggevenden.

Effectieve benadering, tijdwinst

Onze aanpak richt zich op het eerst in beeld brengen van meetbare beheersdoelstellingen van een bedrijfsproces en deze te gaan meten. Daardoor ontstaat inzicht in hoeverre aan deze beheersdoelstellingen is voldaan en is de focus gericht op die beheersdoelstellingen waaraan niet of deels is voldaan. Daarop vindt een gerichte risicoanalyse plaats met een eventueel vervolgtraject in de vorm van verbeteringen. Beheersdoelstellingen waaraan is voldaan behoeven verder geen aandacht en dat is tijdwinst. Deze benadering van ‘management by exceptionis doeltreffend, kwalitatief verhogend en zal de interne beheersing pas echt verbeteren.

Een doelstellingenmodel is het resultaat van een gedegen inventarisatie van het betreffende bedrijfsproces (understanding the business) en een daarop gebaseerde risicoanalyse. Een doelstellingenmodel bestaat uit een samenhangende set van meetbare normen/beheersdoelen waarvan elke norm voorzien is van stuurvragen die tijdens een meting beantwoord worden met Ja, Nee, Deels of Onbekend met eventueel een toelichting hierop. Zo’n model biedt dan ook houvast (grip) en structuur voor iedereen die een rol speelt in het interne beheersingsproces. Het meten in hoeverre aan de normen is voldaan wordt gefaciliteerd via ons intern beheersingsplatform inclusief de vervolgstappen.

Positieve benadering, meer draagvlak

Door te meten is een leidinggevende tegelijk actief betrokken in het beheersingsproces volgens het 3LOD dat een essentiële voorwaarde is als een organisatie de ambitie heeft om aantoonbaar in control te zijn uitmondend in een ICS. Zoals eerder aangegeven ligt die verantwoordelijkheid nu eenmaal bij de leidinggevenden (management) en niet bij de VIC (= 3e verdedigingslijn).

Een bijkomend voordeel van het gebruik van doelstellingenmodellen is dat de acceptatiegraad onder leidinggevenden groter is vanwege de positieve invalshoek in tegenstelling tot risicomanagement dat doorgaans een negatieve invalshoek heeft (denk aan dreigingen, etc). Daar komt bij dat leidinggevenden gewend zijn om vastgestelde (beheers)doelstellingen of targets te realiseren en is het uit dien hoofde handiger om daarop zoveel mogelijk aan te sluiten.

Voor de VIC biedt het doelstellingenmodel eveneens houvast. Immers het model bevat de normen waaraan moet worden voldaan en die worden vervolgens getoetst door VIC. Dat wil niet zeggen dat alle normen getoetst hoeven te worden, maar slechts het deel dat vanuit VIC interessant is. Juist door het totaal inzicht in de set van normen is het bepalen van een keuze welke normen getoetst worden eenvoudiger en dat is tijdwinst.

De toegevoegde waarde van VIC is dat het ‘onafhankelijk’ toetst of de ingezette maatregelen gerelateerd aan de normen doeltreffend zijn en daarmee meer zekerheid biedt. Het gaat dan om de werking van deze maatregelen terwijl meten in de 1e en 2e lijn gericht is op opzet en bestaan. Tussen meten en toetsen kunnen uiteraard verschillen zitten en dat maakt het gehele interne beheersingsmodel slagvaardig.

Welke stappen?

Dit overziend betekent dat naast visie en ambitie de weg om aantoonbaar in control te raken uitmondend in een ICS begint met 

  1. het opstellen van doelstellingenmodellen voor de processen die in de scope vallen om aantoonbaar in control te geraken;
  2. het periodiek uitvoeren van metingen (1e en 2e lijn) op basis van deze modellen en te focussen op de normen waaraan niet of deels is voldaan en daarop verbetertrajecten in gang te zetten in overleg met de leidinggevende;
  3. het opstellen van een auditplan (3e lijn) voor elk relevant proces waarbij gebruik wordt gemaakt van de vooraf vastgestelde beheersdoelstellingen en dit plan uitvoeren uitmondend in een auditrapport.

Wij hebben inmiddels 10 doelstellingenmodellen in het kader van de (financiële) rechtmatigheid beschikbaar zoals de WMO, Jeugdzorg en inkoop en aanbesteding en dat aantal neemt de komende tijd alleen maar toe vanwege de toenemende behoefte en het besef dat meten op basis van beheersdoelstellingen effectief is en tot een breder draagvlak leidt.

Voor concerncontrollers die zich aan het voorbereiden zijn voor de rechtmatigheidsverantwoording 2021 biedt het gebruik van doelstellingenmodellen de mogelijkheid snel en voortvarend aan de slag te gaan. Daarmee raakt de organisatie vertrouwd met deze werkwijze en is de basis gelegd voor een ICS gebaseerd op een beheersorganisatie volgens het 3LOD model ingebed in een PDCA-cyclus. Uiteraard vergt dit tijd en niet voor niets is het advies van de VNG om nu al concrete stappen te ondernemen.

Wilt u meer weten over onze aanpak en inzet van doelstellingenmodellen in combinatie met ons intern beheersingsplatform volgen het principe van 3LOD, neem dan gerust contact met ons op.
HagaZiekenhuis beboet voor onvoldoende interne beveiliging patiëntendossiers

HagaZiekenhuis beboet voor onvoldoende interne beveiliging patiëntendossiers

Posted on by in Nieuws with no comments

Uit onderzoek van de Autoriteit Persoonsgegevens (AP) blijkt dat het HagaZiekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Aanleiding voor dit onderzoek was het feit dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden ingezien.

Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. Het HagaZiekenhuis heeft op twee onderdelen onvoldoende beveiligingsmaatregelen getroffen:

  • Het regelmatig controleren wie welk dossier raadpleegt. Zo kan men tijdig signaleren wanneer iemand onbevoegd toch een dossier raadpleegt en maatregelen nemen.
  • Het gebruik van Twee factor authenticatie (2FA). De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.

De AP legt het Haga een boete op van 460.000 euro op en daarbij een last onder dwangsom om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren. Als de beveiliging niet voor 2 oktober 2019 verbetert is, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. Het HagaZiekenhuis heeft inmiddels aangegeven maatregelen te nemen, toch staan er tegen het besluit van de AP nog rechtsmiddelen open.

Vertrouwelijke relatie zorgverlener-patiënt
Aleid Wolfsen, voorzitter van de AP: ‘De AP vindt het een kwalijke zaak dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent.’

Bron: Autoriteit Persoonsgegevens

Privacy registers overheid slecht toegankelijk

Privacy registers overheid slecht toegankelijk

Posted on by in Nieuws with no comments

Veel overheidsinstanties hebben hun privacy register van verwerkingsactiviteiten niet op orde, zo blijkt uit een onderzoek van de Open State Foundation. Deze stichting werkt aan digitale transparantie door publieke informatie beschikbaar te krijgen als open data en deze toegankelijk te maken voor hergebruik.

De stichting onderzocht de beschikbaarheid en kwaliteit van verwerkingsregisters van alle Nederlandse ministeries, provincies en gemeenten. Van de 379 overheden ontving de stichting 246 registers. Bijna een kwart (89) daarvan stond gewoon online en de rest bemachtigde de organisatie na informatieverzoeken. De overige weigerden het verzoek of gaven aan het register nog niet te kunnen delen omdat ze er nog aan werkten.

Een privacy register vermeldt welke persoonsgegevens waarom worden verwerkt, met wie deze data worden gedeeld, wie ervoor verantwoordelijk is, hoe lang de gegevens worden bewaard en hoe de beveiliging ervan is geregeld. De AVG verplicht elke organisatie zo’n overzicht bij te houden en deze beschikbaar te stellen aan de betrokkenen.

Grote verschillen
De privacy registers blijken per overheid sterk te verschillen. En dat terwijl bijvoorbeeld gemeenten over het algemeen dezelfde taken hebben en daardoor veelal dezelfde persoonsgegevens om dezelfde redenen verwerken.

Grote overheidsorganisaties melden gemiddeld meer verwerkingen dan kleine organisaties. Vaak betekent een groot aantal verwerkingen ook een kleiner detailniveau van het register. Hoe kleiner het detailniveau, hoe lastiger het is om het register actueel te houden, waarschuwt de stichting

Overheden baseren hun register momenteel in slechts 16% van de gevallen op een modelregister, zoals dat van de Vereniging van Nederlandse Gemeenten (VNG). 63% van de ontvangen registers blijkt incompleet. Er ontbreken een of meerdere wettelijk verplichte kolommen. Daarnaast staat in 83% van de registers informatie die niet verplicht is. Ze worden bovendien in uiteenlopende bestandsformaten gepubliceerd.

Standaard
De Open State Foundation pleit voor een gestandaardiseerd, machine-verwerkbaar en open verwerkingsregister. ‘Dit maakt het zowel voor overheden als voor de samenleving een bruikbaar register’, zegt Tom Kunzler, adjunct-directeur van de Open State Foundation. Volgens hem is een openbaar, herbruikbaar en actueel register belangrijk voor een samenleving die wil weten welke persoonsgegevens overheden verwerken en beheren.

bron: computable.nl

Rechtmatigheidsverantwoording bij gemeenten. Een nieuwe uitdaging voor concerncontrollers

Rechtmatigheidsverantwoording bij gemeenten. Een nieuwe uitdaging voor concerncontrollers

Posted on by in Nieuws with no comments

door drs Gerrit Goud RE RA

Gemeenten worden naar alle waarschijnlijkheid vanaf het boekjaar 2021 zelf verantwoordelijk voor het afgeven van een rechtmatigheidsverklaring. De rechtmatigheidsverklaring wordt onderdeel van de jaarstukken waarop accountantscontrole over de getrouwe weergave van toepassing is. Met deze wijziging zal de discussie over de financiële rechtmatigheid tussen het college en de raad weer oplaaien. De raad krijgt weer de mogelijkheid om weer echt financieel (mee) te sturen.

De rechtmatigheidsverklaring is een instrument waarmee een betere aansluiting op het democratisch proces wordt bevorderd. Want tot op heden vindt deze discussie voornamelijk plaats tussen het college en de huisaccountant. De accountant is degene die deze verklaring opstelt wat afbreuk doet aan de rol van de raad. Deze onvolkomenheid wordt te zijner tijd in de wet herstelt maar heeft wel grote gevolgen als het gaat over de organisatie van de interne beheersing bij gemeenten. Afleggen van verantwoording gaat immers altijd gepaard met controleerbaarheid. Je kunt wel iets verklaren maar je zult daarbij moeten aantonen dat wat je verklaart een getrouwe weergave is en daar zit doorgaans de pijn. Hoe ga je dit namelijk effectief en efficiënt organiseren en wie zijn daarvoor nodig?

Dat vereist onder meer het opnemen van interne controle in de werkprocessen en verbijzonderde interne controle (VIC) op de toetsing van de effectiviteit van de ingezette controlemaatregelen. Hierop is bij diverse gemeenten in de afgelopen jaren (flink) bezuinigd en dat breekt gemeenten nu op. Dat is al zichtbaar in een tekort aan capaciteit en een gebrek aan expertise bij veel gemeenten. Ook leidinggevenden zullen hun verantwoordelijkheid moeten nemen als het gaat over de interne beheersing van hun werkprocessen en dan komt een in control statement al gauw in het vizier. In die zin zijn er veel belanghebbenden die ieder vanuit hun rol een bijdrage moeten leveren aan het interne beheersingsproces.

Het “three lines of defence” model (3LOD) van de commissie BADO, ondersteunt deze rolverdeling waarbij onderlinge samenwerking en afstemming deel van uitmaken. Het Key2Control GRC-platform biedt als integraal informatiemanagement-systeem voor de interne beheersing ook ondersteuning voor deze “three lines of defence”. Ons GRC-platform faciliteert niet alleen de interne beheersing van privacy, informatiebeveiliging en informatievoorziening, maar ook van alle processen die direct te maken hebben met de financiële rechtmatigheid. En dat biedt voordelen in termen van effectiviteit, efficiency, integratie en kwaliteitsverbetering.

Steeds meer gemeenten  oriënteren zich op de vraag welke gevolgen de rechtmatigheidsverklaring heeft op de organisatie en welke voorbereidingen nodig zijn om op tijd de vereiste modernisering van de interne beheersing door te kunnen voeren. Die bal ligt voornamelijk bij de concerncontroller en dat past uiteraard in zijn rol om vooruit te kijken. De uitwerking daarentegen hangt voor een groot deel af van het ambitieniveau van het college van B&W en de directie.

Key2Control heeft vanuit haar visie op het aantonen van rechtmatigheid een aanpak ontwikkeld voor het moderniseren van het beheersingsproces bij gemeenten. Deze aanpak omvat de inzet van ons GRC-platform met daarin opgenomen deugdelijke normenkaders die zijn opgesteld vanuit de praktijk. De normenkaders gericht op de rechtmatigheid van processen van WMO, jeugdhulp, re-integratie, bijstand, subsidiebeheer, grondexploitaties, verbonden partijen, inkoop en aanbesteding, tax control btw/bcf, betalingen en crediteuren, personeel en salarissen zijn al beschikbaar. Vanuit de continue dialoog met onze klanten zal het aanbod hiervan alleen maar toenemen. En dat biedt mogelijkheden voor gemeenten om snel inzicht te krijgen in de status van bedrijfsprocessen en op basis daarvan risico’s in beeld te brengen en daarop de inzet van de Verbijzonderde Interne Controle (VIC) af te stemmen.

Wilt u meer weten over onze aanpak? Ik ben ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

De BIO is niet langer het feestje van de CISO en de FG

De BIO is niet langer het feestje van de CISO en de FG

Posted on by in Nieuws with no comments

Informatiebeveiliging en privacy staan hoog op de bestuurlijke agenda. Althans dat roepen we met z’n allen maar blijkt in de praktijk toch iets weerbarstiger. Dat bleek vorige week weer eens tijdens onze klantendag in Utrecht waar we met CISO’s, Privacy Officers en Functionarissen Gegevensbescherming in gesprek gingen.

Schakel of Spil?

De rode draad tijdens het middagprogramma was toch wel hoe je in control bent en blijft vanuit je rol als CISO, PO of FG. Dat begint met voldoende besef van urgentie voor en steun van het bestuur bij de implementatie van informatieveiligheid. Vervolgens voldoende afstemming en draagvlak van het management krijgen. Daarna kan pas acceptatie van en implementatie door de organisatie worden bewerkstelligd. Dat hoeft niet per se een top-down volgorde te zijn, belangrijk is dat ze alle drie nodig zijn om informatieveiligheid te organiseren én te borgen. De BIO zorgt ervoor dat risicomanagement als integrale verantwoordelijkheid wordt opgelegd en je dus op meerdere niveaus in de organisatie een geaccepteerd gesprekspartner moet zijn. Dankzij de BIO hebben de CISO en de FG nu de wind mee zou je denken. Niets is minder waar. Beleid, budget en bemensing de welbekende tijd, kwaliteit en geldaspecten moeten wel ingevuld worden. En dat levert vaak een flinke strijd op waardoor de noodzakelijke organisatorische veranderingen weliswaar schoorvoetend worden doorgevoerd maar meestal niet voldoende mandaat meekrijgen. En helaas bij veel organisaties blijft het nog steeds adhoc en incident gedreven managen van risico’s. Om van een schakel in het geheel echt dé spil te worden zullen de CISO, de PO en de FG meer samenwerken en een partner moeten zoeken.

Omgevingswet?

De Omgevingswet vanaf 2021 zal ketensamenwerking tussen overheden intensiveren en zorgt ook  voor vervaging van organisatiegrenzen. Dat heeft invloed op verantwoordelijkheden ten aanzien van informatiebeveiliging, informatiebescherming en informatievoorziening. Inderdaad ook informatievoorziening! Tot nu toe spraken CISO en FG met elkaar over informatiebeveiliging en informatiebescherming. Ketengerichte informatievoorziening is de basis van de Omgevingswet en wordt vormgegeven in het Digitaal Stelsel Omgevingswet (DSO). In het DSO is informatie-uitwisseling randvoorwaardelijk vormgegeven op basis van zaakgericht werken. En dus is de kwaliteit van informatiebeheer opeens ook een integrale verantwoordelijkheid en onderdeel van het organiseren van risicomanagement. En informatiebeheer staat immers ook hoog op de bestuurlijke agenda en krijgt de aandacht die het verdient, of toch (ook) niet? De CISO en FG hebben baat bij een partner vanuit informatiebeheer. Samen kunnen ze verbindend optreden om urgentiebesef te versterken, het mandaat af te dwingen en het draagvlak te organiseren.

Informatieveiligheidsdriehoek

Key2Control hanteert vanuit haar visie op informatieveiligheid een integrale aanpak om informatiebeveiliging, informatiebescherming en informatiebeheer te organiseren. Door gebruik te maken van het Key2Control GRC-platform kunnen overheidsorganisaties zich continu én met succes snel aanpassen aan nieuwe ontwikkelingen zoals de Omgevingswet. Door informatieveiligheid te organiseren binnen het Key2Control GRC-platform zijn kwaliteitsbeheerprocessen geborgd en zijn voortgang en resultaat altijd en overal inzichtelijk. Hierdoor kan gevraagd en ongevraagd direct verantwoording worden afgelegd. Wilt u meer weten over onze aanpak? Ik ben ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Klantendag

Klantendag

Posted on by in Events with no comments

Informatieveiligheid tijdens digitale transformatie

 

De ambities van uw organisatie, snelle technologische veranderingen en toenemende maatschappelijke en institutionele druk op het handelen van uw organisatie zorgen ervoor dat u niet stil kunt blijven zitten. Want u staat in de frontlinie als het gaat om uitdagingen op het gebied van informatiebeveiliging, privacy en /of archiefwaardig informatiebeheer. Hoe kunt u slim én efficiënt omgaan met de schaarse middelen, beperkte tijd, geringe capaciteit en tegelijkertijd hoge verwachtingen om informatieveiligheid voor uw organisatie optimaal te organiseren? We gaan graag met u in gesprek over de antwoorden en de uitdagingen die daarmee samenhangen.

Wij nodigen u daarom van harte uit op de Key2Control klantendag op woensdag 8 mei in de Jaarbeurs in Utrecht

We bieden u een goed gevuld programma waarin naast veel afwisseling ook volop ruimte is voor uw eigen inbreng en er volop gelegenheid is om met uw vakgenoten in gesprek te gaan. Onze gastspreker
Kees Groeneveld geeft zijn visie op informatieveiligheid in ketensamenwerking die ontstaat als gevolg van de Omgevingswet.

Aan het eind van de dag heeft u een aantal concrete handvatten waarmee u direct aan de slag kunt om verder vorm en inhoud te geven aan informatieveiligheid binnen uw eigen organisatie en digitale transformatieproces.


Programma

09:30u

Ontvangst

10.00u

Opening en welkomstwoord

We stellen graag een aantal nieuwe collega’s van Key2Control aan u voor en blikken vooruit over uw en onze verwachtingen van deze dag.

Arie Hartog

10.15u

Ontwikkelingen binnen Key2Control organisatie en software

We blikken met u terug op het afgelopen jaar en we kijken vooruit naar de ontwikkeling van Key2Control als organisatie en de GRC en Verwerkingsregister applicaties.

Rianne Flink - Van Belzen (1)
foto office manager
Gerrit Goud

11.15u

Key2Control en de digitale transformatie

We nemen u mee in de visie van Key2Control op informatieveiligheid. We bespreken de uitdagingen van het digitale transformatieproces binnen organisaties en de wijze waarop Key2Control u hierbij kan ondersteunen.

Suers_k2c

12.00u

Netwerklunch

13.00u

Informatieveiligheid & Omgevingswet

Onze gastspreker, Kees Groeneveld, geeft zijn visie op het thema informatieveiligheid door te kijken naar de impact van ketenintegratie in het kader van de Omgevingswet. Daarin benadrukt hij onder meer het belang van digitaal duurzaam informatie- en archiefbeheer.

kees

14.00u

Discussie aanpak informatieveiligheid in het digitale transformatieproces

Aan de hand van een aantal stellingen gaan we met elkaar in gesprek over de uitdagingen en kansen waar we als professionals mee te maken hebben en die op ons afkomen

Suers_k2c

15.00u

Afsluiting

We besluiten met een korte samenvatting van de dag waarin we de belangrijkste ‘take aways’ nog voor u samenvatten om direct mee aan de slag te gaan.

Arie Hartog

15.30u

Borrel

Uiteraard is er nog gelegenheid om samen na te praten over deze dag

Datum en locatie

Woensdag 8 mei van 10:00u – 16:00u

Jaarbeurs Meetup
Jaarbeursplein 6,
3521 AL Utrecht

Voor wie?

Deze kennismiddag is bestemd voor alle organisaties die gebruikmaken van Key2Control. U mag deze mail uiteraard ook doorsturen naar collega’s die ook actief zijn op het gebied van informatiebeveiliging, informatiebeheer of privacy.

Aanmelden!

“Niet de sterkste, de slimste of de snelste overleeft, maar degene die het beste in staat is zich aan te passen aan de snel veranderende omstandigheden”. (Charles Darwin).

Wanneer je dit formulier gebruikt, ga je akkoord met de opslag en verwerking van jouw gegevens door deze website.

Graag tot ziens op woensdag 8 mei in Utrecht.

Bart Suers Directeur Publieke Sector bij Key2Control

Bart Suers Directeur Publieke Sector bij Key2Control

Posted on by in Nieuws with no comments

Bij Key2Control gaat Bart zich met name bezighouden met het ondersteunen van publieke organisaties met betrekking tot belangrijke non-financiële beheersprocessen zoals informatiebeveiliging, privacy, informatiebeheer en -management, rechtmatigheid, verbijzonderde interne controle en integriteit. Daarnaast zal hij vorm en inhoud gaan geven aan de verdere groei en professionalisering van de Key2Control organisatie.

Arie Hartog, Algemeen Directeur van Key2Control, is uitermate verheugd met de komst van Bart.

“Bart is een gedreven professional met meer dan 15 jaar ervaring in de overheidssector, met name bij gemeenten. Bij Key2Control gaat hij een sleutelfunctie vervullen in de verdere groei van onze onderneming”.

Key2Control levert met haar GRC software platform een belangrijk instrument voor het ondersteunen van alle relevante interne beheersprocessen bij organisaties. De suite “informatieveiligheid gemeenten” ondersteunt gemeenten bij belangrijke processen als informatiebeveiliging (ISMS op basis van de BIO), privacy (DPMS op basis van VNG criteriaset en de baseline CIP) en informatiebeheer (archivering op basis van KIDO).