Posts Under: Nieuws

Informatieveiligheid voor Raadsleden

Informatieveiligheid voor Raadsleden

Posted on by in Nieuws with Reacties uitgeschakeld voor Informatieveiligheid voor Raadsleden

 

 

Incidenten rond informatieveiligheid kunnen grote gevolgen hebben. Of dit nu komt door onzorgvuldige medewerkers of hackers met kwade bedoelingen. Wat gebeurt er bijvoorbeeld als gevoelige informatie van de gemeente op straat komt te liggen. Of de digitale dienstverlening aan bewoners niet meer mogelijk is? Naast financiële en technische gevolgen kunnen deze gebeurtenissen ook het imago van de gemeente beïnvloeden.

Zo komt er als gevolg van de decentralisaties een groeiende hoeveelheid privacygevoelige informatie bij gemeenten. Als deze gegevens onbedoeld op straat komen te liggen, dan kan dit ook het imago van de gemeente en van de bestuurlijk verantwoordelijken uiteraard beïnvloeden. Het kan zelfs leiden tot een verlies aan vertrouwen bij burgers. Burgers mogen immers van hun gemeente verwachten dat zij de zaken op orde heeft. Kortom, de continuïteit van de dienstverlening en het vertrouwen van burgers moeten centraal staan als het om informatieveiligheid gaat. Zeker nu de landelijke politiek digitale overheidsdienstverlening als speerpunt heeft gekozen.

Om aandacht te vragen voor informatieveiligheid heeft minister Plasterk in februari 2013 de Taskforce Bestuur en Informatieveiligheid Dienstverlening voor een periode van twee jaar in het leven geroepen. Het doel van de Taskforce BID is om het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders en topmanagement van alle overheidslagen. Zowel qua bewustwording als sturing. Dit vanuit het perspectief van Verplichtende Zelfregulering per overheidslaag.  Eind vorig jaar hebben gemeenten hiertoe al een belangrijke stap gezet. Zo is tijdens de Buitengewone Algemene Leden Vergadering (BALV) van de Vereniging van Nederlandse Gemeenten (VNG) de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeenten’ met een grote meerderheid van stemmen aangenomen. De Resolutie houdt onder meer in dat iedere gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), die is opgesteld door de Informatiebeveiligingsdienst voor gemeenten (IBD).

Toezicht op informatieveiligheid

Voor u als raadslid is het belangrijk zicht te hebben op hoe uw gemeente omgaat met informatieveiligheid en met de risico’s die zij loopt, zowel technisch als bestuurlijk. Is uw gemeente in control als het om informatieveiligheid gaat?

U hoeft zeker geen informatieveiligheidsspecialist te zijn om deze verantwoordelijkheid goed uit te kunnen voeren. Het gaat er immers niet om dat u als raadslid weet hoe de gemeentelijke organisatie informatieveiligheid tot in de details borgt, het gaat er vooral om dat u weet dat het wordt geborgd en dat de gemeente stuur zet op het onderwerp. Om u hierbij te helpen heeft de Taskforce BID een aantal vragen voor u samengesteld, waarmee u kunt controleren of uw gemeente stuur zet op informatieveiligheid.

Welke set van vragen kunt u aan uw college stellen?

1.     Hoe heeft het college de punten van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ opgepakt? Geldt de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als norm voor het basis beveiligingsniveau van onze gemeente?

In de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ is vastgelegd dat iedere gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de BIG. Deze norm helpt gemeenten om het informatiebeveiligingsbeleid te implementeren.  Als raadslid kunt u vragen of de gemeente een start heeft gemaakt met de punten van de resolutie, zoals de implementatie van de BIG en of de gemeente is aangesloten bij de Informatiebeveiligingsdienst voor gemeenten (IBD), een initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING).

Met een GAP-analyse kunnen gemeenten controleren of en in welke mate de maatregelen uit de tactische variant van de BIG zijn geïmplementeerd. Het resultaat van deze analyse geeft het verschil weer tussen het bestaande en het gewenste niveau. Dit is de input voor de vervolgstap; het maken van een realistische planning op basis van de algemene financiële uitgangspunten. Afhankelijk van de specifieke situatie, dient een evenwichtige afweging te worden gemaakt tussen de risico’s, de te nemen maatregelen en de daarvoor benodigde middelen. Raad en College geven richting door te kiezen voor een top-X van maatregelen. In het daaruit volgende informatiebeveiligingsplan voor gemeenten wordt dit allemaal vastgelegd.

2.     Hoe is het informatiebeveiligingsbeleid vormgegeven binnen uw gemeente? Wie zijn er als verantwoordelijken aangesteld en is er aandacht voor bewustwording?

Het college van Burgemeester en Wethouders (B&W) is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente en stelt het informatiebeleid vast. Als Raadslid wilt u in ieder geval weten  op welk managementniveau informatieveiligheid is belegd. Is er bijvoorbeeld een Chief Information Security Officer (CISO) in uw gemeente aangesteld? Daarnaast is het van belang dat iedereen in de organisatie het informatieveiligheid kent en zich bewust is van de risico’s in relatie tot informatieveiligheid.

3.      Welke risico’s accepteert het college voor de eigen gemeente en welke niet? Welke politiek-bestuurlijke en maatschappelijke gevolgen kan dit hebben in geval van een incident? Is de privacy van onze burgers gegarandeerd?

100% Veiligheid bestaat niet. Doel is dat iedereen in de organisatie het voor hen relevante beleid op gebied van informatieveiligheid kent en zich bewust is waar hij of zij een rol kan spelen bij het verkleinen van de risico’s in relatie tot informatieveiligheid. Desalniettemin blijft een aantal risico’s over, daar heeft de gemeente bewust voor gekozen. U wilt als raadslid echter wel zeker weten dat eventuele financiële en technische schade van deze risico’s bij een incident beperkt blijft en dat de privacy van burgers of de intregriteit van de gemeente nooit in het geding zijn.

4.     Functioneert de cyclus van informatieveiligheid binnen onze gemeente? Vindt er een jaarlijkse toetsing plaats om na te gaan of uw gemeente in control is op het gebied van informatieveiligheid via peer reviews, audits of self-assessment? Wat zijn de resultaten van deze toetsing? Wordt de cyclus jaarlijks bijgesteld  op basis van lessons learned?

Gemeenten hebben in de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ vastgelegd dat gemeenten zich moeten verantwoorden over de informatieveiligheidscyclus binnen de organisatie en daarbuiten. Dit houdt in dat informatieveiligheid bestuurlijk en organisatorisch geborgd is in de bestaande planning- en controlcyclus. Toetsing vindt jaarlijks plaats via self-assessments, peerreviews of audits. In de Resolutie is afgesproken dat gemeenten zich in het jaarverslag verantwoorden over het te voeren informatieveiligheidsbeleid. Als raadslid kunt u vragen of deze toetsing plaatsvindt, wat de resultaten zijn en wat de gemeente met deze resultaten doet.

5.     Hebben we binnen onze gemeente procedures opgesteld voor incidenten? Welke risico’s loopt de gemeente in geval van verstoring of cyberaanval, ook wanneer deze verstoring elders in de keten plaatsvindt? Hoeveel incidenten zijn er in de afgelopen periode (maand/half jaar) geweest? Melden wij die incidenten bij de IBD?

Het is van groot belang dat uw gemeente noodscenario’s opstelt voor incidenten met hoge impact. Dergelijk incidenten kunnen de dienstverlening in ernstige mate verstoren. Het is belangrijk deze risico’s inzichtelijk te maken even als de maatregelen die de gemeente treft om zich hiertegen te wapenen. Als Raadslid kunt u bijvoorbeeld vragen of uw gemeente de (informatie)beveiliging regelmatig toetst en de incidentprocedures periodiek oefent. Hier horen ook vragen bij als: Wanneer stelt het college van B&W de gemeenteraad op de hoogte? Hoe is de verantwoording aan de gemeenteraad over beheersing van een incident of crisis geregeld?

Bron: Raadslid.nu, 30 mei 2017
ict beveiliging grc
Politiek verplicht jaarlijks informeren over digitale veiligheid

Politiek verplicht jaarlijks informeren over digitale veiligheid

Posted on by in Nieuws with Reacties uitgeschakeld voor Politiek verplicht jaarlijks informeren over digitale veiligheid

 

Gemeenteraden moeten jaarlijks geïnformeerd worden over de informatieveiligheid van hun gemeente. Dit schrijft de VNG in een ledenbrief aan alle gemeenteraden. In de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’, is dit door gemeenten afgesproken. Er komt een verantwoordingsprocedure voor informatieveiligheid.

Vragenlijst informatieveiligheid voor raadsleden ontwikkeld

Colleges van burgemeester en wethouders moeten in de jaarverslagen aan de gemeenteraad voortaan jaarlijks verantwoording afleggen over hoe informatieveiligheid in hun gemeente ervoor staat. Het is volgens de VNG een belangrijke taak voor de gemeenteraad om de informatieveiligheid vervolgens te controleren. Er is voor raadsleden een set vragen ontwikkeld waarmee ze de informatieveiligheid in hun gemeente zelf kunnen testen. Deze gaan onder meer over de Baseline Informatiebeveiliging Nederlandse Gemeenten, maar ook over wie er verantwoordelijk is voor de digitale veiligheid, of er aan bewustzijn wordt gedacht, welke risico’s er geaccepteerd worden, wat er gedaan wordt aan toetsing en reviews en welke procedures er zijn bij incidenten.

Eerste stap van een nieuwe verantwoordingsprocedure

Na een pilot bij diverse gemeenten vindt KING op basis van de resultaten daarvan, dat de tijd rijp is voor een nieuwe verantwoordingsprocedure voor informatieveiligheid. Gemeenten werken daarom aan de hand van Eenduidige Normatiek Single Information Audit (ENSIA). De implementatie van ENSIA bij alle gemeenten is momenteel gaande. De nieuwe verantwoordingsprocedure begint met een zelfevaluatie van informatieveiligheid door gemeenten op basis van de ENSIA. De eerste stap is dat het college van B&W hier verantwoording over aflegt in het jaarverslag. ‘Het verantwoordingsproces sluit hierdoor aan op de planning- en controlcyclus. Het gemeentebestuur heeft zo meer overzicht over de informatieveiligheid van haar gemeente. Ook kan het bestuur beter sturen’, zo schrijft de VNG.

 

Bron: binnenlandsbestuur.nl, 30 mei 2017

Forse stijging aantal datalekken

Forse stijging aantal datalekken

Posted on by in Nieuws with Reacties uitgeschakeld voor Forse stijging aantal datalekken

 

Alleen al in het eerste kwartaal van 2017 zijn er 2300 datalekken bij de Autoriteit Persoonsgegevens gemeld. Terwijl het over heel 2016 om ‘slechts’ 5500 meldingen ging. 

Dat blijkt uit gegevens die de toezichthouder deze week heeft gepubliceerd.

De meeste meldingen kwamen uit de sector gezondheid en welzijn (27 procent), gevolgd door financiële dienstverlening (21 procent).

Gemeenten
Het openbaar bestuur is met 484 meldingen verantwoordelijk voor 20 procent. Hiervan kwamen 331 meldingen van gemeenten. Het ging vooral vaak om persoonsgegevens die aan de verkeerde ontvanger waren gestuurd of afgegeven (41%), om persoonsgegevens die per ongeluk waren gepubliceerd (13%), en om apparaten of papieren met persoonsgegevens die waren kwijtgeraakt of gestolen (10%).

In ruim 400 gevallen ging het om het lekken van naam-, adres- en woonplaatsgegevens, in (ruim) 250 gevallen ging het om BSN’s en om gegevens over geslacht, geboortedatum of leeftijd.

Waarschuwing
De AP startte in het eerste kwartaal in totaal 25 onderzoeken naar de beveiliging en naar mogelijke datalekken bij organisaties binnen het openbaar bestuur. In de meeste gevallen kwamen organisaties er vanaf met een waarschuwing die leidde tot beëindiging van de overtreding.

Bron: Gemeente.nl, 15 mei 2017
De CISO, Privacy Officer en FG; wie doet en mag wat?

De CISO, Privacy Officer en FG; wie doet en mag wat?

Posted on by in Nieuws with Reacties uitgeschakeld voor De CISO, Privacy Officer en FG; wie doet en mag wat?

 

Informatiebeveiliging Gemeenten De CISO, Privacy Officer en FG; wie doet en mag wat? – Informatiebeveiliging Gemeenten 

Als gemeente heb je een grote verantwoordelijkheid als het gaat om de omgang met, en beveiliging van persoonsgegevens. Hieruit volgen een verplichtingen op zowel informatiebeveiligings- als privacyvlak. Zo dien je te voldoen aan de Baseline Informatiebeveiliging Gemeenten (BIG), de Wet bescherming persoonsgegevens (Wbp) en als vervanging daarvan vanaf mei 2018 aan de Algemene Verordening Gegevensbescherming (AVG).

Activiteiten op dit vlak behoren dan ook goed te worden gecoördineerd door vertegenwoordigers uit verschillende disciplines binnen de gemeente. Er zijn diverse functies te onderscheiden. Zo spreken we over ‘de Chief Information Security Officer (CISO)’, de ‘Privacy Officer (PO)’ en over de ‘Functionaris Gegevensbescherming (FG)’. Maar wie is waar voor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar? Om duidelijkheid te scheppen over wat door welke functionaris wordt uitgevoerd, staan hieronder de functies uitgelegd.

Chief Information Security Officer (CISO)

De CISO is dé spin in het web als het gaat om de beveiliging van informatie binnen de gemeente. Hij is verantwoordelijk voor het implementeren van, en toezicht houden op het informatiebeveiligingsbeleid binnen de gemeente. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en moet daarbij voldoen aan de BIG; een set van organisatorische en technische beveiligingsmaatregelen die geïmplementeerd en beheerd dient te worden. Lees in deze blog meer over de invulling van deze rol.

Privacy Officer (PO)

Waar de CISO verantwoordelijk is voor het informatiebeveiligingsbeleid is de PO (ook wel juridisch adviseur privacy), die in dit geval geen FG is, verantwoordelijk voor het vormgeven en bewaken van het privacybeleid binnen de gemeente (indien dat er is). Daarnaast kan de PO ondersteunen bij het in kaart brengen van de risico’s door bijvoorbeeld een Privacy Impact Assessment (PIA) uit te voeren. Wanneer het privacybeleid is vastgesteld en de PIA’s zijn uitgevoerd kan er een implementatieplan opgesteld worden. Daarnaast speelt de PO ook een belangrijke rol op de werkvloer, zo heeft hij net als de CISO een adviserende rol richting de vakafdelingen en kan hij of zij vragen beantwoorden zoals: hoe moeten we deze gegevens delen? Aan welke regels dienen we ons te houden? Welke maatregelen moeten we de externe partij opleggen?

Functionaris Gegevensbescherming (FG)

Vanuit de huidige privacywetgeving (Wbp) is het voor organisaties optioneel een FG aan de stellen. Onder de komende Europese privacyverordening (AVG), die in mei 2018 van kracht wordt, zijn alle overheidsorganisaties straks verplicht een FG aan te stellen. De FG is verantwoordelijk voor het toezicht houden op de naleving van de privacywetten en -regels, het inventariseren en bijhouden van gegevensverwerkingen en het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie. Daarnaast kan de FG ondersteunen bij het ontwikkelen van interne regelingen, het adviseren over privacy op maat én het leveren van input bij het opstellen of aanpassen van gedragscodes. Lees in de nieuwe handreiking van KING meer over de invulling van deze rol.

Overlap in werk

Zoals je kunt zien heeft de functie van FG overlap met de functie van CISO en PO. Waarom deze functies dan niet combineren? Als we naar de functies kijken zien we dat als het om informatiebeveiliging gaat, implementatie en toezicht doorgaans bij dezelfde functionaris ligt, namelijk de CISO. Kijken we naar de functies van de PO en FG, dan zien we dat dit gescheiden is. Overigens wil ik opmerken dat de eindverantwoordelijkheid voor de uitvoering nimmer bij de CISO, PO of FG ligt, maar altijd in de lijn (integrale verantwoordelijkheid).

We kunnen dus constateren dat bij privacy de uitvoering, het advies en toezicht gescheiden is, en bij informatiebeveiliging dit niet het geval is. Is dit erg? Nee, informatiebeveiliging is als zodanig ook opgenomen in de privacywetgeving en valt daarmee dus onder toezicht van de FG. En toch dichten we de CISO toezichthoudende taken toe (zie ook de functiebeschrijving van de IBD). We hinken daar dus nog ergens op twee benen.

Eigen vlees keuren

Hoe dan ook is het belangrijk dat de positionering van de FG gewaarborgd blijft. KING adviseert daarom deze functies zo weinig mogelijk te combineren in verband met de risico’s die hier aan verbonden zijn. Zo moet de FG toezicht houden en indien nodig kunnen handhaven en is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden.

Kortom, het advies luidt om de functie van FG, ondanks de overlap, niet te combineren met de functie CISO of PO. De rol van FG vraagt behoorlijk wat competenties van iemand. Het is de vraag of de CISO of PO deze allemaal beheerst en daarnaast voldoende ruimte/tijd heeft om beide taken ook naar behoren uit te voeren. Dit laatste valt te betwijfelen. Daarnaast moet je de FG taken, zoals onafhankelijk toezicht, scheiden van adviserende en uitvoerende taken van de CISO en/of PO. Tot slot rapporteert de FG direct aan het college van B&W en is daarmee onafhankelijk ten opzichte van de rest van de gemeente en haar verwerkers.

Combineren, of niet?

Afhankelijk van de grote van de gemeente, kan bij kleine gemeenten de rol van FG in deeltijd uitgevoerd worden. Juist deze gemeente zijn (logischerwijs) geneigd deze functie(s) te combineren. Combineer deze functie dan niet met de CISO of PO-functie, maar kijk of het mogelijk is om dit te combineren over verschillende gemeenten in bijvoorbeeld een regionale opzet. Heeft de gemeente niet de juiste competenties in huis voor de rol van FG? Dan kun je de functie tot slot ook uitbesteden (inkopen). Daarnaast zou je als gemeente ook kunnen kijken naar een combinatie van de functie CISO en PO. Deze zijn qua vakgebieden wel goed te combineren, maar de vraag is wel (ook hier) of de grote hoeveelheid werk die deze functies met zich meebrengen, door 1 FTE opgepakt en uitgevoerd kan worden.

Welke manier je ook kiest, zorg ervoor dat je er op tijd aan begint. Omdat het een vrij nieuwe functie betreft is de vijver met ‘FG-vissen’ nog niet heel groot en je wilt uiteraard niet achter het net vissen. Wil je meer weten over de taakverdeling en positionering van deze rollen? Lees dan de nieuwe handreiking ‘Positionering van de FG’ van KING.

 

Rapport laakt beveiliging data Rotterdam

Rapport laakt beveiliging data Rotterdam

Posted on by in Nieuws with Reacties uitgeschakeld voor Rapport laakt beveiliging data Rotterdam

Kritisch rapport Rekenkamer toch gepubliceerd

De Rotterdamse Rekenkamer heeft de resultaten van een onderzoek naar de gebrekkige ict-beveiliging toch openbaar gemaakt. Eerder wilde de Rotterdamse gemeenteraad dat delen van het rapport niet naar buiten zouden komen en dreigde zelfs met een kort geding. Nadat de gegevens waren gelekt, heeft het college de Rekenkamer gevraagd het rapport toch te publiceren, maar in aangepaste vorm.

Volgens de Rekenkamer hapert er nog veel aan de beveiliging van de gemeentelijke ict-systemen. Gevoelige informatie, zoals persoonsgegevens, is bij de gemeente onvoldoende in veilige handen.

Hackers

In opdracht van de Rekenkamer gingen hackers gebouwen van de gemeente binnen en drongen daar door in computersystemen. Volgens de rapporteurs konden zij bij gevoelige informatie komen, zoals de agenda van burgemeester Aboutaleb. Daardoor had de fysieke veiligheid van de burgemeester in gevaar kunnen komen.

De ethische hackers lieten usb-sticks met spyware achter als lokmiddel. Die werden in enkele gevallen door gemeentemedewerkers gebruikt waardoor derden toegang tot de systemen kregen. Er werden tevens twee spear phishing-e-mails naar ambtenaren verstuurd. In één geval kwam geen reactie, maar de ontvanger van de andere mail opende een verdachte link. Veel hackers proberen op deze manier van buitenaf in systemen in te breken. De computerkrakers hadden ook de publieke dienstverlening kunnen verstoren, doordat bruggen en verkeerslichten op afstand zijn te bedienen. Bovendien hadden ze de uitbetaling van uitkeringen kunnen beïnvloeden.

Kort geding

Het college wilde niet dat details over de hackpogingen naar buiten zouden komen en vroeg de Rekenkamer passages uit het rapport te schrappen. Er werd zelfs gedreigd met een kort geding.

Omdat delen van het onderzoek op 6 april uitlekten, reageert het college toch op het nog niet gepubliceerde rapport. Wethouder Visser stelde hierbij dat de gemeenteraad de meeste conclusies en aanbevelingen van de Rekenkamer overneemt. De omstreden passages in het rapport gaan volgens hem over hackers die in opdracht van de Rekenkamer, en met toestemming van de gemeente, probeerden in te breken in de computersystemen van de gemeente.
‘Pogingen om van buitenaf in de systemen te komen, zijn niet gelukt. Wel zijn hackers die gebouwen van de gemeente zijn binnengekomen, er in geslaagd om in de systemen te komen’, vertelt verantwoordelijk wethouder Adriaan Visser aan de NOS.

Volgens de wethouder zijn de hackers wel gedetecteerd, maar konden ze toch bij vertrouwelijke informatie komen. Het college had gevraagd de gaten in de beveiliging te dichten, voordat de gegevens naar buiten zouden komen. De passages hierover in het rapport vormen volgens de raad een risico voor bestuurders en burgers. De formuleringen in het rapport over de veiligheid van Aboutaleb noemt Visser ten slotte ‘ondoordacht en onbezonnen’ en hadden volgens hem niet in het rapport mogen komen.

Rapport Rekenkamer Rotterdam

Uit het onderzoek van de Rekenkamer blijkt dat gevoelige informatie, zoals (bijzondere) persoonsgegevens, over het algemeen onvoldoende in veilige handen is bij de gemeente Rotterdam, ondanks dat de gemeente op papier wel adequaat beleid en organisatie voor de informatiebeveiliging heeft opgesteld. De gemeente schiet echter tekort in de uitvoering daarvan. Digitale informatiesystemen zijn onvoldoende beveiligd voor aanvallen van binnenuit, de fysieke beveiliging van meerdere kantoorlocaties schiet tekort en er is te weinig ‘social en security awareness’ bij medewerkers. Het niet volgen van de voorgeschreven pdca-cyclus en het feit dat de beveiligingsmaatregelen niet volgen uit systematische en actuele risicoanalyses, illustreren het tekort aan centrale sturing.

Door de tekortschietende informatiebeveiliging bestaan er reële risico’s op identiteitsfraude, fysieke onveiligheid van politiek-bestuurlijke ambtsdragers, verstoring van de openbare orde, verstoring van de publieke dienstverlening en misbruik van publieke middelen. De Rekenkamer constateert daarnaast dat er grote verschillen bestaan tussen de kwaliteit van informatiebeveiliging van afzonderlijke systemen. Ook hier ontbreekt het aan centrale sturing.

De Rekenkamer heeft onder meer aanbevolen in te zetten op een krachtige centrale sturing op informatiebeveiliging en alle in het onderzoek aangetoonde kwetsbaarheden in de beveiliging, te dichten.

Het volledige rapport is te vinden op de site van de Rekenkamer.

 

Bron: Security.nl, 7 april 2017

 

Implementatie ENSIA per 1 juli 2017 van start

Implementatie ENSIA per 1 juli 2017 van start

Posted on by in Nieuws with Reacties uitgeschakeld voor Implementatie ENSIA per 1 juli 2017 van start

De Stuurgroep ENSIA (Eenduidige Normatiek Single Information Audit) heeft op donderdag 23 maart jl. officieel ingestemd met de implementatie van ENSIA per 1 juli 2017. De ministeries van BZK, I&M, SZW en de organisaties RvIG, Logius, BKWI, VNG/KING en ICTU hebben de afgelopen periode hard gewerkt om de gestelde randvoorwaarden uit de evaluatierapporten van de pilot te realiseren.

Eén slimme verantwoording voor informatieveiligheid

De invoering van ENSIA betekent dat alle gemeenten vanaf juli 2017 werken met één verantwoordingstool voor informatieveiligheid. Met ENSIA heeft het gemeentebestuur meer inzicht in de stand van zaken van de informatieveiligheid, kan het beter sturen op informatieveiligheid en kan het er verantwoording over afleggen aan de gemeenteraad.

Voorheen waren er aparte audits en verantwoording voor Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet). Met ENSIA legt een gemeente in één keer slim verantwoording af over informatieveiligheid. De verantwoording sluit aan bij de gemeentelijke P&C-cyclus en is in lijn met de Baseline Informatieveiligheid Nederlandse Gemeenten (BIG). ENSIA is een initiatief van de VNG en de ministeries van BZK, I&M en SZW.

Informatie en contact

KING ondersteunt gemeenten bij het inrichten van het verantwoordingsproces en de implementatie van ENSIA. Meer informatie is te vinden op de website van KING. U kunt ook contact opnemen met KING via [email protected].

Voor vragen over de ENSIA-tool kunt u contact opnemen met ICTU via [email protected].

 

Bron: Kinggemeente.nl, 31 maart 2017

 

Key2Control aanwezig op het congres Digitale Agenda 2020

Key2Control aanwezig op het congres Digitale Agenda 2020

Posted on by in Events, Nieuws with Reacties uitgeschakeld voor Key2Control aanwezig op het congres Digitale Agenda 2020

Op 5 april vindt het congres Digitale Agenda 2020 plaats in De Fabrique in Maarssen.

Tijdens dit congres is er veel aandacht voor informatiebeveiliging en privacy. In het programma vindt u onder andere de volgende sessies:

  • Informatiebeveiliging collectief aanpakken door de IBD
  • Privacy in gemeentelijk perspectief door KING
  • Nieuwe tijden, nieuwe dreigingen door de Autoriteit Persoonsgegevens, Ministerie van BZK en de IBD
  • Veilig digitaal verkeer door het Forum Standaardisatie, de IBD en Gemeente ’s Hertogenbosch
  • ENSIA voor informatieveiligheid door KING, VNG en gemeenten
  • Weet wat u deelt! door KING en gemeente

Wij zullen samen met de Gemeente Stein de aanpak en de “lessons learned” van het opzetten, inrichten en borgen van een integrale informatieveiligheidsaanpak in de multidisciplinaire gemeentelijke organisatie presenteren.

Ook kunnen wij U informeren over het ENSIA verantwoordings proces.

Als u zich reeds heeft ingeschreven zien we u graag op 5 april op het congres Digitale Agenda 2020! Als u nog niet heeft ingeschreven dan kan dat via: https://www.da2020.nl/congres/

Rekenkamer detecteert risico’s privacy sociaal domein

Rekenkamer detecteert risico’s privacy sociaal domein

Posted on by in Nieuws with Reacties uitgeschakeld voor Rekenkamer detecteert risico’s privacy sociaal domein

Tussen de Arnhemse wijkteams en zorgpartners worden mails met persoonsgegevens onbeveiligd verstuurd. Dat is een van de risico’s voor gemeente en inwoners die de Arnhemse Rekenkamer heeft gedetecteerd in zijn onderzoek naar de privacy- en informatieveiligheid in het sociaal domein in de gemeente Arnhem.

Basisniveau

De Arnhemse Reken kamer is grosso modo positief over de wijze waarop de gemeente de informatiebeveiliging en privacy in het sociaal domein heeft ingericht. De gemeente Arnhem heeft – zeker in vergelijking tot andere gemeenten – op tijd privacy en informatieveiligheid een goede plek gegeven in kaders, bestuur, beleid en organisatie, zo concludeert de Rekenkamer in zijn onderzoek dat maandagavond in de raad is toegelicht. ‘Hierdoor is in een vroeg stadium het besef van het belang van privacy en informatieveiligheid ontwikkeld bij wijkteammedewerkers. Op het gebied van informatieveiligheid heeft het college een duidelijk beeld van noodzakelijke acties om tot een goed basisniveau van veiligheid te komen.’

Teveel informatie

Het onderzoek heeft echter ook risico’s voor gemeenten en inwoners naar boven gebracht, die volgens de Rekenkamer ‘een negatieve invloed kunnen hebben op de doeltreffendheid van het privacy- en informatieveiligheidsbeleid’. Zo gaan wijkteammedewerkers verschillend om met het verzamelen en delen van gegevens. ‘Volgens zorgpartners leidt dat tot momenten waarbij wijkteammedewerkers om teveel informatie vragen (bijvoorbeeld wanneer behandelplannen moeten worden verstuurd), maar ook tot situaties waarbij privacy teveel als belemmering wordt opgeworpen om informatie te delen’, aldus de Rekenkamer. Het risico daarvan is dat aan de ene de privacy van inwoners wordt geschaad terwijl aan de andere kant onvoldoende informatie is om tot de juiste zorg of ondersteuning te komen. Er is geen sprake van een stappenplan of afwegingsinstrument waardoor elke wijkteammedewerker op dezelfde manier beslist hoe en met wie gegevens te delen.

Onbeveiligde mails

Een ander risico zijn de onbeveiligde mails tussen wijkteammedewerkers en zorgverleners. Er is een veilig communicatiesysteem voorhanden, maar zorgpartners zien toch dat er regelmatig onbeveiligd mailverkeer met persoonsgegevens plaatsvindt tussen zorgverleners en wijkteammedewerkers. Het mailverkeer tussen de gemeente en de wijkteams is wel beveiligd.

Onvoldoende grip

Zorgelijk vindt de Rekenkamer het dat het bewustzijn over privacy en informatieveiligheid binnen de ambtelijke organisatie ‘nog geen gemeengoed’ is. Daarnaast weten inwoners vaak niet goed wat er met hun gegevens gebeurt. ‘Omdat de gemeente de ambitie heeft om inwoners zo veel mogelijk zicht op en regie over hun eigen gegevens te geven, zal actieve communicatie over privacy en informatieveiligheid richting inwoners juist belangrijker worden’, adviseert de Arnhemse Rekenkamer. Raadsleden kunnen niet beoordelen of de gemeente en de samenwerkende partijen, privacy en informatieveiligheid op orde hebben; zij geven aan onvoldoende grip op het thema te hebben.

Lange adem

In een reactie stelt het college van Arnhem onder meer dat het onbeveiligde mailverkeer op korte termijn moet en zal worden opgepakt. Het college benadrukt dat de voorzieningen voor beveiligd mailverkeer aanwezig zijn, maar in de praktijk onvoldoende worden gebruikt. Het verhogen van het privacybewustzijn (en informatieveiligheidsbewustzijn) in de ambtelijke organisatie ‘is een zaak van de lange adem, waar gestaag aan wordt gewerkt’, zo stelt het college verder.

 

Bron: Binnenlandsbestuur.nl, 21 maart 2017
‘Basisbeveiliging cybercrime gemeenten niet op orde’

‘Basisbeveiliging cybercrime gemeenten niet op orde’

Posted on by in Nieuws with Reacties uitgeschakeld voor ‘Basisbeveiliging cybercrime gemeenten niet op orde’

Gemeenten hebben hun basisbeveiliging tegen cybercrime niet op orde. Dat schrijven onderzoekers van het Rathenau Instituut in het  rapport  ‘Een nooit gelopen race – Over cyberdreigingen en versterking van weerbaarheid’ dat vandaag is verschenen.  Volgens het instituut moeten zowel de overheid als het bedrijfsleven meer maatregelen nemen tegen cyberdreigingen.

Wachtwoorden en back-ups

De onderzoekers pikken burgers, het MKB en lagere overheden zoals gemeenten eruit als het gaat om het ‘niet op orde hebben’ van de basisbeveiliging.  Er worden te weinig maatregelen genomen om bestaande dreigingen weg te nemen. ‘Basale beveiligingsmaatregelen, zoals het updaten van software, het gebruik van sterke wachtwoorden of het maken van back-ups van belangrijke bestanden, worden vaak niet genomen’, zo meldt het rapport. Daarnaast missen burgers, bedrijfsleven en overheid inzicht in de risico’s waaraan ze blootstaan en zijn ze niet op de hoogte van de mogelijkheden om daar iets aan te doen. ‘Risico’s blijven daardoor ongrijpbaar en het belang van cybersecurity krijgt onvoldoende prioriteit totdat het een keer echt misgaat.’

Overheid steeds vaker doelwit

Rijksoverheid en bedrijven met ‘hoogwaardige’ technologie zijn inmiddels structureel doelwit voor cybercriminelen. Het rapport beschrijft dat Nederland, één van de landen met de meest ICT-intensieve economieën ter wereld, een aantrekkelijk doelwit is voor cybercriminelen. De onderzoekers doen een aantal aanbevelingen, waaronder het bevorderen van digitale vaardigheden bij burgers met aandacht in het onderwijs en voorlichtingscampagnes. Tegelijkertijd moeten de verwachtingen niet te hoog worden.  De verantwoordelijkheid voor de beveiliging van slimme apparaten moet door andere partijen worden opgepakt.

Aanbevelingen voor de overheid

De overheid moet daarnaast een stuk weerbaarder worden tegen cybercrime.  De overheid neemt in Nederland ongeveer 30 procent van de beveiligingsproducten en -diensten af. Dit vraagt volgens de onderzoekers van de overheid dan ook een ambitieuzere rol. ‘De overheid dient een voorbeeldrol te vervullen door zich sterker te laten gelden als vernieuwer en ‘launching customer’. Dat vereist dat de overheid voldoende expertise op het gebied van cybersecurity in huis heeft. Bovendien vereist het een sterkere regie binnen de overheid. De verantwoordelijkheid voor cybersecurity is nu te veel versnipperd. Een sterkere regie maakt het mogelijk om binnen de diverse overheidsorganisaties het beveiligingsniveau te verhogen.’ Er wordt tevens opgeroepen tot een toets voor de bestaande aansprakelijkheidswetgeving. De vraag is volgens de onderzoekers of deze wel voldoende is voor ICT-producten en -diensten.

 

Bron: Viag.nl, maart 2015
Security in zorg loopt achter op banken en overheden

Security in zorg loopt achter op banken en overheden

Posted on by in Nieuws with Reacties uitgeschakeld voor Security in zorg loopt achter op banken en overheden

Zorg & ICT 2017-update!

De zorgsector loopt achter de feiten aan wat betreft het borgen van security en privacy. Banken en overheden zijn hier veel verder mee. Oorzaken zijn te weinig bewustwording bij zorgverleners en het werken met verschillende systemen die vaak ook verouderd zijn. Het gaat jaren duren voordat zorginstellingen op het gebied van dataprotectie en privacy hun zaakjes op orde hebben.

Tot deze opvallende conclusie komen Computable-experts en experts uit de markt tijdens het Computable-debat over it-beveiliging van patiëntgegevens dat vandaag plaatsvond op de beurs Zorg & ICT in Jaarbeurs Utrecht.

Maurice Drost, functioneel applicatiebeheerder EPD & ECD Consultancy, Bastiaan Bakker, directeur business development Motiv, Hans Reterink, managing consultant Berenschot, Herman van den Tempel, director healthcare Atos Nederland en legal consultant Ilham Ouajna bij Cure 4 gaven hun visie op it-onderdelen die in de zorg een rol spelen op het gebied van security en privacy. Computable-hoofdredacteur Sander Hulsman en journalist/schrijfster Maria Genova leiden de discussie waar zo’n tachtig belangstellenden op afkwamen.

Bewustwording ontbreekt

Zorginstellingen en -verleners zijn zich nog onvoldoende bewust van de gevaren van datalekken en cybercrime. Bakker: ‘De bescherming van de patiënt is na de digitalisering van de zorg achtergebleven. In 2016 waren er 1.600 meldingen van datalekken; zestig procent daarvan komt voort uit het onbewust lekken van data.’ Een it-dienstverlener uit het publiek illustreert dit met een anekdote over een chirurg die ’s ochtends op alle systemen inlogde, waarna álle medewerkers toegang hadden tot deze systemen. Ook het plakken van de bekende ‘gele briefjes’ met inloggegevens bij computers en algemene gemakzucht speelt een grote rol, zo ondervinden zowel de experts als de toehoorders in het publiek.

Geen IT-budget

Een andere veelgenoemde oorzaak voor datalekken en onvoldoende beschermde gegevens is (het gebrek aan) geld. De komst van de privacywet GDPR in mei 2018 zou volgens de experts een impuls moeten zijn om wel tot een volledige beveiliging van de it in zorginstellingen te komen, omdat de boetes voor datalekken vele malen hoger zijn dan de uitgaven aan it.

Een andere ontwikkeling die mogelijk het tij kan keren, wordt genoemd door Maurice Drost. Hij stelt dat ziekenhuizen gebruik zouden moeten maken van al bestaande en goedkope opensourcesecurity-oplossingen zoals de Google Authenticator. Een toehoorder uit het publiek, werkzaam bij de Rijksoverheid, wijst er op dat het ministerie van Volksgezondheid, Welzijn en Sport een infrastructuur moet creëren, onder andere met een beveiligde datacenter dat uitwisseling over een veilig netwerk tussen verschillende ziekenhuizen mogelijk moet maken. ‘Hierdoor is er binnen de Nederlandse zorg goedkoper in te kopen en gebruikt elke instelling dezelfde instrumenten die allemaal beveiligd zijn.’

Zorg & ICT 2017

Zorginstellingen moeten steeds meer vanuit de behoefte van de patiënt gaan denken. Met alle gevolgen van dien. Van sociale innovatie tot bedrijfsvoering en it. Op de vakbeurs Zorg & ICT 2017 staat dit jaar het thema ’De patiënt als partner’ centraal. Laat u zich vandaag of morgen 16 maart 2017 ook inspireren? Ga voor meer informatie en het volledige programma naar www.zorg-en-ict.nl.

 

Bron: Computable.nl, 15 maart 2017