Posts Under: Nieuws

Conflict AP en Privacy First om OV-chipkaart NS

Conflict AP en Privacy First om OV-chipkaart NS

Posted on by in Nieuws with Reacties uitgeschakeld voor Conflict AP en Privacy First om OV-chipkaart NS

De stichting Privacy First beschuldigt de Autoriteit Persoonsgegevens (AP) ervan niet op te treden tegen de NS. Discussiepunt is de ov-chipkaart en dan met name het voordeelurenabonnement, waarbij de NS reizigers volgens de stichting kan dwingen om extra te betalen als ze hun privacy willen behouden. Aanstaande maandag komt de zaak voor bij de Raad van State.

‘Drie jaar geleden schafte NS de papieren treinkaartjes af en verplichtte alle reizigers voortaan een OV-chipkaart te gebruiken. Het bleek dat reizigers die omwille van hun privacy voor een anonieme OV-chipkaart kozen, van NS geen voordeelurenkorting krijgen – ook niet als zij al vele jaren in het bezit zijn van een voordeelurenabonnement. Arnhemmer Michiel Jonker vroeg de AP om handhavend op te treden, wat de AP weigerde. Op 16 augustus 2016 gaf de Rechtbank Gelderland Jonker deels gelijk en gelaste dat de AP de zaak alsnog serieus moest onderzoeken, maar verplichtte de AP nog niet om handhavend op te treden. De AP en Jonker gingen beiden in hoger beroep bij de Raad van State’, stelt de stichting.

Discriminatie

Jonker ervaart het feit dat een reiziger met privacy in de voordeeluren meer moet betalen dan een reiziger zonder privacy, als een vorm van discriminatie. ‘Ik wil net als vroeger het openbaar vervoer kunnen gebruiken zonder dat een bedrijf of de overheid precies kan bijhouden waar ik op welk moment geweest ben. Daarvoor is de anonieme OV-chipkaart ook bedoeld. Maar die wordt op deze manier ontmoedigd. Er wordt een ongerechtvaardigd onderscheid gemaakt tussen mensen met privacy en mensen zonder privacy. Mensen die hun privacy willen houden, moeten meer betalen. Dat is discriminatie. NS probeert me er zo toe te dwingen mijn privé-reisgegevens voor commerciële doelen ter beschikking te stellen. Nederlandse wetten en Europese verdragen verbieden dat.’

Ook heeft Jonker bezwaar tegen de wijze waarop NS zijn persoonsgegevens heeft overgedragen aan Trans Link Systems (TLS). ‘NS zegt dat ik een contract met TLS heb, maar dat is onzin. Ik heb nooit zo’n contract afgesloten, en dat heeft geen enkele treinreiziger. NS heeft zijn algemene voorwaarden veranderd. Maar NS kan niet rechtmatig in zijn algemene voorwaarden opnemen dat ik opeens een contract over mijn persoonsgegevens afgesloten zou hebben met een derde. Je ziet hier hoe de zogenaamde privatisering van een publieke voorziening, het OV, leidt tot onrechtmatige praktijken.’

AP liet eerder steken vallen

Het is niet de eerste keer dat de Autoriteit Persoonsgegevens (AP) voor de rechter moet verschijnen en het verwijt krijgt dat ze onvoldoende handhavend optreedt. Eerdere zaken betreffen de verwerking van medische persoonsgegevens, een landelijke database met medische gegevens, een omstreden afvalpas in Arnhem en de verwerking van behandelgegevens in de geestelijke gezondheidszorg. Wellicht heeft een en ander te maken met het grote personeelstekort bij de privacywaakhond.

 

Bron: Computable.nl, 1 september 2017
Privacywaakhond AP heeft fors meer personeel nodig

Privacywaakhond AP heeft fors meer personeel nodig

Posted on by in Nieuws with Reacties uitgeschakeld voor Privacywaakhond AP heeft fors meer personeel nodig

De Autoriteit Persoonsgegevens (AP) heeft 2,5 tot 3,5 keer meer voltijdmedewerkers nodig om taken uit te kunnen voeren en te voldoen aan nieuwe bevoegdheden. Met name het toezichthouden en de controle op de naleving van regels stijgen enorm als 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) Europees van kracht is.

Vanaf dan moet er onder meer internationaal worden samengewerkt rondom de afhandeling van meldingen en klachten. Op grond van de AVG krijgen bedrijven en organisaties dan meer en zwaardere verplichtingen opgelegd rondom datagebruik en privacy. Dat betekent dat het aantal taken van de toezichthouder ook groeit. Zo legt de nieuwe wet bijvoorbeeld meer nadruk op de ‘accountability’ van bedrijven en organisaties.

Zij moeten met documenten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG, ook wel bekend als de GDPR, te voldoen. Ze zijn in een aantal gevallen bijvoorbeeld verplicht om een functionaris voor gegevensbescherming aan te stellen. De AP moet gaan controleren of die verplichtingen en het functioneren van het interne toezicht worden nageleefd.

De AP gaat ook meer internationaal samenwerken met de andere privacytoezichthouders. ‘Op het moment dat sprake is van grensoverschrijdende gegevensverwerkingen, en een mogelijke overtreding van de wet, dan is de toezichthouder van de EU-lidstaat waar de hoofdvestiging van het bedrijf is gevestigd, bevoegd om op te treden tegen de verantwoordelijke in kwestie’, licht de AP toe.

EU-land

De toezichthouder in het EU-land waar de hoofdvestiging van het bedrijf gevestigd is, krijgt dus de leiding. Voor de AP geldt dat dus voor bedrijven die grensoverschrijdende gegevensverwerkingen doen en hun hoofdvestiging in Nederland hebben. Dat betreft dus ook klachten van burgers uit andere EU-lidstaten die klagen over een organisatie die haar hoofdvestiging in Nederland heeft. De AP zal op grond van de AVG (GDPR) en de EU-Richtlijn over gegevensverwerking in de rechtshandhaving alle klachten van burgers in behandeling moeten nemen.

270 FTE

Een extern en onafhankelijk bureau becijferde voor het ministerie van Justitie, waaronder de AP valt, hoeveel personeel er extra nodig is om aan de taken en bevoegdheden te voldoen. In verschillende scenario’s (laag-midden-hoog) zijn de verwachte werkstromen voor de invoering van de nieuwe wet doorgevoerd. Het aantal fte’s varieert van minimaal 185 tot maximaal 270. Dat betekent een groei van bijna 2,5 tot 3,5 keer ten opzichte van het huidige omvang van het personeelsleden. Binnenkort start AP met de werving van nieuw personeel. Het zoekt onder meer handhavers, toezichthouders en ict’ers.

Tijdelijk directeur

Tijdelijk directeur Bas den Hollander moet de veranderingen binnen AP in goede banen leiden. Hij is per 15 augustus  2017 voor een jaar aangesteld. Hij werkte van 1998 tot en met 2012 in verschillende functies bij de gemeente Rotterdam. Tussen 2012 en 2016 was Den Hollander zakelijk directeur van de Kunsthal Rotterdam. Zijn laatste functie bij deze gemeente was directeur van de Dienst Sport en Recreatie.

Het college van de AP bestaat uit voorzitter Aleid Wolfsen en vice-voorzitter Wilbert Tomesen. De AP zal op grond van de AVG en de EU-Richtlijn over gegevensverwerking in de rechtshandhaving alle klachten van burgers in behandeling moeten nemen. Dat betreft dus ook klachten van burgers uit andere EU-lidstaten die klagen over een organisatie die een hoofdvestiging in Nederland heeft. Alle privacytoezichthouders in de EU hebben bevoegdheden om op te treden tegen overtreders van de wet. Ze kunnen tot maximaal twintig miljoen euro aan boetes opleggen. Dat is geen doel op zich, de AP benadrukt dat het gaat om het bevorderen van de naleving van de wet.

 

Bron: Computable.nl, 29 augustus 2017
Helder boek: Grip op de AVG

Helder boek: Grip op de AVG

Posted on by in Nieuws with Reacties uitgeschakeld voor Helder boek: Grip op de AVG

Iedere ondernemer, elke organisatie weet het: vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving van kracht. Persoonsgegevens moeten aantoonbaar beschermd worden, zo luidt de kern van de Algemene Verordening Gegevensbescherming (AVG). Dat klinkt simpel, maar in de praktijk betekent het een wagonlading aan eisen, begrippen en bepalingen. Het boek ‘Grip op de AVG’ maakt u wegwijs in de nieuwe regelgeving. De auteurs voeren u systematisch door de verschillende onderdelen van de wet zoals de rechten van betrokkenen, het aantoonbaarheidsprincipe en risico-gebaseerde maatregelen. Een praktisch stappenplan maakt de uitgave compleet.

Grip op de AVG is geschreven door Natalja Krijgsman, Koen Versmissen en Jeroen Terstegge van Privacy Management Partners. Auteurs met jarenlange relevante ervaring over het onderwerp privacy. Zij kijken achter de regels en eisen en ondersteunen u bij het opstellen van een maatoplossing.

Praktisch werkboek

Bij het boek hoort een praktisch werkboek, geschreven door Koen Versmissen en Gerrit Goud van Key2Control. U vindt in het werkboek onder meer een overzicht van de controlepunten waar veel organisaties in hun privacy management op sturen. U kunt deze punten overnemen en aanpassen voor uw eigen organisatie. Daarnaast biedt deze uitgave een vragenlijst die bij uitstek geschikt is om een nulmeting te doen en te ontdekken hoe uw organisatie momenteel met privacy omgaat. En wat er moet veranderen. De verschillen tussen de huidige en toekomstige eisen voor gegevensbescherming worden helder.

Bij aanschaf van het werkboek Grip op de AVG ontvangt u gratis de sjablonen en handreikingen in een bewerkbaar word-format. Kijk voor meer informatie op www.privacymanager.nu

Privacymanager

De PrivacyManager is een methodiek ontwikkeld door Key2Control en Privacy Management Partners en  biedt concrete instrumenten en diensten bij de inrichting van integraal en effectief privacymanagement. Aan de hand van een stappenplan ontstaan bewustzijn en overzicht. Met de PrivacyManager zet u zelf beleidsdocumenten om in concrete implementatieplannen waarbij de verschillende rollen in uitvoering, toezicht en controle duidelijk worden bepaald. Uitvoeringskwaliteit van de afgesproken processen is hiermee geborgd. U bent zelf volledig in control.

Voor meer informatie kunt u contact opnemen met Arie Hartog (0657599235) of Aart van Malenstein (0631913537) van Key2Control. Ook bereikbaar via email: [email protected]

Informatieveiligheid voor Raadsleden

Informatieveiligheid voor Raadsleden

Posted on by in Nieuws with Reacties uitgeschakeld voor Informatieveiligheid voor Raadsleden

 

 

Incidenten rond informatieveiligheid kunnen grote gevolgen hebben. Of dit nu komt door onzorgvuldige medewerkers of hackers met kwade bedoelingen. Wat gebeurt er bijvoorbeeld als gevoelige informatie van de gemeente op straat komt te liggen. Of de digitale dienstverlening aan bewoners niet meer mogelijk is? Naast financiële en technische gevolgen kunnen deze gebeurtenissen ook het imago van de gemeente beïnvloeden.

Zo komt er als gevolg van de decentralisaties een groeiende hoeveelheid privacygevoelige informatie bij gemeenten. Als deze gegevens onbedoeld op straat komen te liggen, dan kan dit ook het imago van de gemeente en van de bestuurlijk verantwoordelijken uiteraard beïnvloeden. Het kan zelfs leiden tot een verlies aan vertrouwen bij burgers. Burgers mogen immers van hun gemeente verwachten dat zij de zaken op orde heeft. Kortom, de continuïteit van de dienstverlening en het vertrouwen van burgers moeten centraal staan als het om informatieveiligheid gaat. Zeker nu de landelijke politiek digitale overheidsdienstverlening als speerpunt heeft gekozen.

Om aandacht te vragen voor informatieveiligheid heeft minister Plasterk in februari 2013 de Taskforce Bestuur en Informatieveiligheid Dienstverlening voor een periode van twee jaar in het leven geroepen. Het doel van de Taskforce BID is om het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders en topmanagement van alle overheidslagen. Zowel qua bewustwording als sturing. Dit vanuit het perspectief van Verplichtende Zelfregulering per overheidslaag.  Eind vorig jaar hebben gemeenten hiertoe al een belangrijke stap gezet. Zo is tijdens de Buitengewone Algemene Leden Vergadering (BALV) van de Vereniging van Nederlandse Gemeenten (VNG) de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeenten’ met een grote meerderheid van stemmen aangenomen. De Resolutie houdt onder meer in dat iedere gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), die is opgesteld door de Informatiebeveiligingsdienst voor gemeenten (IBD).

Toezicht op informatieveiligheid

Voor u als raadslid is het belangrijk zicht te hebben op hoe uw gemeente omgaat met informatieveiligheid en met de risico’s die zij loopt, zowel technisch als bestuurlijk. Is uw gemeente in control als het om informatieveiligheid gaat?

U hoeft zeker geen informatieveiligheidsspecialist te zijn om deze verantwoordelijkheid goed uit te kunnen voeren. Het gaat er immers niet om dat u als raadslid weet hoe de gemeentelijke organisatie informatieveiligheid tot in de details borgt, het gaat er vooral om dat u weet dat het wordt geborgd en dat de gemeente stuur zet op het onderwerp. Om u hierbij te helpen heeft de Taskforce BID een aantal vragen voor u samengesteld, waarmee u kunt controleren of uw gemeente stuur zet op informatieveiligheid.

Welke set van vragen kunt u aan uw college stellen?

1.     Hoe heeft het college de punten van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ opgepakt? Geldt de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als norm voor het basis beveiligingsniveau van onze gemeente?

In de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ is vastgelegd dat iedere gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de BIG. Deze norm helpt gemeenten om het informatiebeveiligingsbeleid te implementeren.  Als raadslid kunt u vragen of de gemeente een start heeft gemaakt met de punten van de resolutie, zoals de implementatie van de BIG en of de gemeente is aangesloten bij de Informatiebeveiligingsdienst voor gemeenten (IBD), een initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING).

Met een GAP-analyse kunnen gemeenten controleren of en in welke mate de maatregelen uit de tactische variant van de BIG zijn geïmplementeerd. Het resultaat van deze analyse geeft het verschil weer tussen het bestaande en het gewenste niveau. Dit is de input voor de vervolgstap; het maken van een realistische planning op basis van de algemene financiële uitgangspunten. Afhankelijk van de specifieke situatie, dient een evenwichtige afweging te worden gemaakt tussen de risico’s, de te nemen maatregelen en de daarvoor benodigde middelen. Raad en College geven richting door te kiezen voor een top-X van maatregelen. In het daaruit volgende informatiebeveiligingsplan voor gemeenten wordt dit allemaal vastgelegd.

2.     Hoe is het informatiebeveiligingsbeleid vormgegeven binnen uw gemeente? Wie zijn er als verantwoordelijken aangesteld en is er aandacht voor bewustwording?

Het college van Burgemeester en Wethouders (B&W) is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente en stelt het informatiebeleid vast. Als Raadslid wilt u in ieder geval weten  op welk managementniveau informatieveiligheid is belegd. Is er bijvoorbeeld een Chief Information Security Officer (CISO) in uw gemeente aangesteld? Daarnaast is het van belang dat iedereen in de organisatie het informatieveiligheid kent en zich bewust is van de risico’s in relatie tot informatieveiligheid.

3.      Welke risico’s accepteert het college voor de eigen gemeente en welke niet? Welke politiek-bestuurlijke en maatschappelijke gevolgen kan dit hebben in geval van een incident? Is de privacy van onze burgers gegarandeerd?

100% Veiligheid bestaat niet. Doel is dat iedereen in de organisatie het voor hen relevante beleid op gebied van informatieveiligheid kent en zich bewust is waar hij of zij een rol kan spelen bij het verkleinen van de risico’s in relatie tot informatieveiligheid. Desalniettemin blijft een aantal risico’s over, daar heeft de gemeente bewust voor gekozen. U wilt als raadslid echter wel zeker weten dat eventuele financiële en technische schade van deze risico’s bij een incident beperkt blijft en dat de privacy van burgers of de intregriteit van de gemeente nooit in het geding zijn.

4.     Functioneert de cyclus van informatieveiligheid binnen onze gemeente? Vindt er een jaarlijkse toetsing plaats om na te gaan of uw gemeente in control is op het gebied van informatieveiligheid via peer reviews, audits of self-assessment? Wat zijn de resultaten van deze toetsing? Wordt de cyclus jaarlijks bijgesteld  op basis van lessons learned?

Gemeenten hebben in de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ vastgelegd dat gemeenten zich moeten verantwoorden over de informatieveiligheidscyclus binnen de organisatie en daarbuiten. Dit houdt in dat informatieveiligheid bestuurlijk en organisatorisch geborgd is in de bestaande planning- en controlcyclus. Toetsing vindt jaarlijks plaats via self-assessments, peerreviews of audits. In de Resolutie is afgesproken dat gemeenten zich in het jaarverslag verantwoorden over het te voeren informatieveiligheidsbeleid. Als raadslid kunt u vragen of deze toetsing plaatsvindt, wat de resultaten zijn en wat de gemeente met deze resultaten doet.

5.     Hebben we binnen onze gemeente procedures opgesteld voor incidenten? Welke risico’s loopt de gemeente in geval van verstoring of cyberaanval, ook wanneer deze verstoring elders in de keten plaatsvindt? Hoeveel incidenten zijn er in de afgelopen periode (maand/half jaar) geweest? Melden wij die incidenten bij de IBD?

Het is van groot belang dat uw gemeente noodscenario’s opstelt voor incidenten met hoge impact. Dergelijk incidenten kunnen de dienstverlening in ernstige mate verstoren. Het is belangrijk deze risico’s inzichtelijk te maken even als de maatregelen die de gemeente treft om zich hiertegen te wapenen. Als Raadslid kunt u bijvoorbeeld vragen of uw gemeente de (informatie)beveiliging regelmatig toetst en de incidentprocedures periodiek oefent. Hier horen ook vragen bij als: Wanneer stelt het college van B&W de gemeenteraad op de hoogte? Hoe is de verantwoording aan de gemeenteraad over beheersing van een incident of crisis geregeld?

Bron: Raadslid.nu, 30 mei 2017
ict beveiliging grc
Politiek verplicht jaarlijks informeren over digitale veiligheid

Politiek verplicht jaarlijks informeren over digitale veiligheid

Posted on by in Nieuws with Reacties uitgeschakeld voor Politiek verplicht jaarlijks informeren over digitale veiligheid

 

Gemeenteraden moeten jaarlijks geïnformeerd worden over de informatieveiligheid van hun gemeente. Dit schrijft de VNG in een ledenbrief aan alle gemeenteraden. In de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’, is dit door gemeenten afgesproken. Er komt een verantwoordingsprocedure voor informatieveiligheid.

Vragenlijst informatieveiligheid voor raadsleden ontwikkeld

Colleges van burgemeester en wethouders moeten in de jaarverslagen aan de gemeenteraad voortaan jaarlijks verantwoording afleggen over hoe informatieveiligheid in hun gemeente ervoor staat. Het is volgens de VNG een belangrijke taak voor de gemeenteraad om de informatieveiligheid vervolgens te controleren. Er is voor raadsleden een set vragen ontwikkeld waarmee ze de informatieveiligheid in hun gemeente zelf kunnen testen. Deze gaan onder meer over de Baseline Informatiebeveiliging Nederlandse Gemeenten, maar ook over wie er verantwoordelijk is voor de digitale veiligheid, of er aan bewustzijn wordt gedacht, welke risico’s er geaccepteerd worden, wat er gedaan wordt aan toetsing en reviews en welke procedures er zijn bij incidenten.

Eerste stap van een nieuwe verantwoordingsprocedure

Na een pilot bij diverse gemeenten vindt KING op basis van de resultaten daarvan, dat de tijd rijp is voor een nieuwe verantwoordingsprocedure voor informatieveiligheid. Gemeenten werken daarom aan de hand van Eenduidige Normatiek Single Information Audit (ENSIA). De implementatie van ENSIA bij alle gemeenten is momenteel gaande. De nieuwe verantwoordingsprocedure begint met een zelfevaluatie van informatieveiligheid door gemeenten op basis van de ENSIA. De eerste stap is dat het college van B&W hier verantwoording over aflegt in het jaarverslag. ‘Het verantwoordingsproces sluit hierdoor aan op de planning- en controlcyclus. Het gemeentebestuur heeft zo meer overzicht over de informatieveiligheid van haar gemeente. Ook kan het bestuur beter sturen’, zo schrijft de VNG.

 

Bron: binnenlandsbestuur.nl, 30 mei 2017

Forse stijging aantal datalekken

Forse stijging aantal datalekken

Posted on by in Nieuws with Reacties uitgeschakeld voor Forse stijging aantal datalekken

 

Alleen al in het eerste kwartaal van 2017 zijn er 2300 datalekken bij de Autoriteit Persoonsgegevens gemeld. Terwijl het over heel 2016 om ‘slechts’ 5500 meldingen ging. 

Dat blijkt uit gegevens die de toezichthouder deze week heeft gepubliceerd.

De meeste meldingen kwamen uit de sector gezondheid en welzijn (27 procent), gevolgd door financiële dienstverlening (21 procent).

Gemeenten
Het openbaar bestuur is met 484 meldingen verantwoordelijk voor 20 procent. Hiervan kwamen 331 meldingen van gemeenten. Het ging vooral vaak om persoonsgegevens die aan de verkeerde ontvanger waren gestuurd of afgegeven (41%), om persoonsgegevens die per ongeluk waren gepubliceerd (13%), en om apparaten of papieren met persoonsgegevens die waren kwijtgeraakt of gestolen (10%).

In ruim 400 gevallen ging het om het lekken van naam-, adres- en woonplaatsgegevens, in (ruim) 250 gevallen ging het om BSN’s en om gegevens over geslacht, geboortedatum of leeftijd.

Waarschuwing
De AP startte in het eerste kwartaal in totaal 25 onderzoeken naar de beveiliging en naar mogelijke datalekken bij organisaties binnen het openbaar bestuur. In de meeste gevallen kwamen organisaties er vanaf met een waarschuwing die leidde tot beëindiging van de overtreding.

Bron: Gemeente.nl, 15 mei 2017
De CISO, Privacy Officer en FG; wie doet en mag wat?

De CISO, Privacy Officer en FG; wie doet en mag wat?

Posted on by in Nieuws with Reacties uitgeschakeld voor De CISO, Privacy Officer en FG; wie doet en mag wat?

 

Informatiebeveiliging Gemeenten De CISO, Privacy Officer en FG; wie doet en mag wat? – Informatiebeveiliging Gemeenten 

Als gemeente heb je een grote verantwoordelijkheid als het gaat om de omgang met, en beveiliging van persoonsgegevens. Hieruit volgen een verplichtingen op zowel informatiebeveiligings- als privacyvlak. Zo dien je te voldoen aan de Baseline Informatiebeveiliging Gemeenten (BIG), de Wet bescherming persoonsgegevens (Wbp) en als vervanging daarvan vanaf mei 2018 aan de Algemene Verordening Gegevensbescherming (AVG).

Activiteiten op dit vlak behoren dan ook goed te worden gecoördineerd door vertegenwoordigers uit verschillende disciplines binnen de gemeente. Er zijn diverse functies te onderscheiden. Zo spreken we over ‘de Chief Information Security Officer (CISO)’, de ‘Privacy Officer (PO)’ en over de ‘Functionaris Gegevensbescherming (FG)’. Maar wie is waar voor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar? Om duidelijkheid te scheppen over wat door welke functionaris wordt uitgevoerd, staan hieronder de functies uitgelegd.

Chief Information Security Officer (CISO)

De CISO is dé spin in het web als het gaat om de beveiliging van informatie binnen de gemeente. Hij is verantwoordelijk voor het implementeren van, en toezicht houden op het informatiebeveiligingsbeleid binnen de gemeente. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en moet daarbij voldoen aan de BIG; een set van organisatorische en technische beveiligingsmaatregelen die geïmplementeerd en beheerd dient te worden. Lees in deze blog meer over de invulling van deze rol.

Privacy Officer (PO)

Waar de CISO verantwoordelijk is voor het informatiebeveiligingsbeleid is de PO (ook wel juridisch adviseur privacy), die in dit geval geen FG is, verantwoordelijk voor het vormgeven en bewaken van het privacybeleid binnen de gemeente (indien dat er is). Daarnaast kan de PO ondersteunen bij het in kaart brengen van de risico’s door bijvoorbeeld een Privacy Impact Assessment (PIA) uit te voeren. Wanneer het privacybeleid is vastgesteld en de PIA’s zijn uitgevoerd kan er een implementatieplan opgesteld worden. Daarnaast speelt de PO ook een belangrijke rol op de werkvloer, zo heeft hij net als de CISO een adviserende rol richting de vakafdelingen en kan hij of zij vragen beantwoorden zoals: hoe moeten we deze gegevens delen? Aan welke regels dienen we ons te houden? Welke maatregelen moeten we de externe partij opleggen?

Functionaris Gegevensbescherming (FG)

Vanuit de huidige privacywetgeving (Wbp) is het voor organisaties optioneel een FG aan de stellen. Onder de komende Europese privacyverordening (AVG), die in mei 2018 van kracht wordt, zijn alle overheidsorganisaties straks verplicht een FG aan te stellen. De FG is verantwoordelijk voor het toezicht houden op de naleving van de privacywetten en -regels, het inventariseren en bijhouden van gegevensverwerkingen en het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie. Daarnaast kan de FG ondersteunen bij het ontwikkelen van interne regelingen, het adviseren over privacy op maat én het leveren van input bij het opstellen of aanpassen van gedragscodes. Lees in de nieuwe handreiking van KING meer over de invulling van deze rol.

Overlap in werk

Zoals je kunt zien heeft de functie van FG overlap met de functie van CISO en PO. Waarom deze functies dan niet combineren? Als we naar de functies kijken zien we dat als het om informatiebeveiliging gaat, implementatie en toezicht doorgaans bij dezelfde functionaris ligt, namelijk de CISO. Kijken we naar de functies van de PO en FG, dan zien we dat dit gescheiden is. Overigens wil ik opmerken dat de eindverantwoordelijkheid voor de uitvoering nimmer bij de CISO, PO of FG ligt, maar altijd in de lijn (integrale verantwoordelijkheid).

We kunnen dus constateren dat bij privacy de uitvoering, het advies en toezicht gescheiden is, en bij informatiebeveiliging dit niet het geval is. Is dit erg? Nee, informatiebeveiliging is als zodanig ook opgenomen in de privacywetgeving en valt daarmee dus onder toezicht van de FG. En toch dichten we de CISO toezichthoudende taken toe (zie ook de functiebeschrijving van de IBD). We hinken daar dus nog ergens op twee benen.

Eigen vlees keuren

Hoe dan ook is het belangrijk dat de positionering van de FG gewaarborgd blijft. KING adviseert daarom deze functies zo weinig mogelijk te combineren in verband met de risico’s die hier aan verbonden zijn. Zo moet de FG toezicht houden en indien nodig kunnen handhaven en is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden.

Kortom, het advies luidt om de functie van FG, ondanks de overlap, niet te combineren met de functie CISO of PO. De rol van FG vraagt behoorlijk wat competenties van iemand. Het is de vraag of de CISO of PO deze allemaal beheerst en daarnaast voldoende ruimte/tijd heeft om beide taken ook naar behoren uit te voeren. Dit laatste valt te betwijfelen. Daarnaast moet je de FG taken, zoals onafhankelijk toezicht, scheiden van adviserende en uitvoerende taken van de CISO en/of PO. Tot slot rapporteert de FG direct aan het college van B&W en is daarmee onafhankelijk ten opzichte van de rest van de gemeente en haar verwerkers.

Combineren, of niet?

Afhankelijk van de grote van de gemeente, kan bij kleine gemeenten de rol van FG in deeltijd uitgevoerd worden. Juist deze gemeente zijn (logischerwijs) geneigd deze functie(s) te combineren. Combineer deze functie dan niet met de CISO of PO-functie, maar kijk of het mogelijk is om dit te combineren over verschillende gemeenten in bijvoorbeeld een regionale opzet. Heeft de gemeente niet de juiste competenties in huis voor de rol van FG? Dan kun je de functie tot slot ook uitbesteden (inkopen). Daarnaast zou je als gemeente ook kunnen kijken naar een combinatie van de functie CISO en PO. Deze zijn qua vakgebieden wel goed te combineren, maar de vraag is wel (ook hier) of de grote hoeveelheid werk die deze functies met zich meebrengen, door 1 FTE opgepakt en uitgevoerd kan worden.

Welke manier je ook kiest, zorg ervoor dat je er op tijd aan begint. Omdat het een vrij nieuwe functie betreft is de vijver met ‘FG-vissen’ nog niet heel groot en je wilt uiteraard niet achter het net vissen. Wil je meer weten over de taakverdeling en positionering van deze rollen? Lees dan de nieuwe handreiking ‘Positionering van de FG’ van KING.

 

Rapport laakt beveiliging data Rotterdam

Rapport laakt beveiliging data Rotterdam

Posted on by in Nieuws with Reacties uitgeschakeld voor Rapport laakt beveiliging data Rotterdam

Kritisch rapport Rekenkamer toch gepubliceerd

De Rotterdamse Rekenkamer heeft de resultaten van een onderzoek naar de gebrekkige ict-beveiliging toch openbaar gemaakt. Eerder wilde de Rotterdamse gemeenteraad dat delen van het rapport niet naar buiten zouden komen en dreigde zelfs met een kort geding. Nadat de gegevens waren gelekt, heeft het college de Rekenkamer gevraagd het rapport toch te publiceren, maar in aangepaste vorm.

Volgens de Rekenkamer hapert er nog veel aan de beveiliging van de gemeentelijke ict-systemen. Gevoelige informatie, zoals persoonsgegevens, is bij de gemeente onvoldoende in veilige handen.

Hackers

In opdracht van de Rekenkamer gingen hackers gebouwen van de gemeente binnen en drongen daar door in computersystemen. Volgens de rapporteurs konden zij bij gevoelige informatie komen, zoals de agenda van burgemeester Aboutaleb. Daardoor had de fysieke veiligheid van de burgemeester in gevaar kunnen komen.

De ethische hackers lieten usb-sticks met spyware achter als lokmiddel. Die werden in enkele gevallen door gemeentemedewerkers gebruikt waardoor derden toegang tot de systemen kregen. Er werden tevens twee spear phishing-e-mails naar ambtenaren verstuurd. In één geval kwam geen reactie, maar de ontvanger van de andere mail opende een verdachte link. Veel hackers proberen op deze manier van buitenaf in systemen in te breken. De computerkrakers hadden ook de publieke dienstverlening kunnen verstoren, doordat bruggen en verkeerslichten op afstand zijn te bedienen. Bovendien hadden ze de uitbetaling van uitkeringen kunnen beïnvloeden.

Kort geding

Het college wilde niet dat details over de hackpogingen naar buiten zouden komen en vroeg de Rekenkamer passages uit het rapport te schrappen. Er werd zelfs gedreigd met een kort geding.

Omdat delen van het onderzoek op 6 april uitlekten, reageert het college toch op het nog niet gepubliceerde rapport. Wethouder Visser stelde hierbij dat de gemeenteraad de meeste conclusies en aanbevelingen van de Rekenkamer overneemt. De omstreden passages in het rapport gaan volgens hem over hackers die in opdracht van de Rekenkamer, en met toestemming van de gemeente, probeerden in te breken in de computersystemen van de gemeente.
‘Pogingen om van buitenaf in de systemen te komen, zijn niet gelukt. Wel zijn hackers die gebouwen van de gemeente zijn binnengekomen, er in geslaagd om in de systemen te komen’, vertelt verantwoordelijk wethouder Adriaan Visser aan de NOS.

Volgens de wethouder zijn de hackers wel gedetecteerd, maar konden ze toch bij vertrouwelijke informatie komen. Het college had gevraagd de gaten in de beveiliging te dichten, voordat de gegevens naar buiten zouden komen. De passages hierover in het rapport vormen volgens de raad een risico voor bestuurders en burgers. De formuleringen in het rapport over de veiligheid van Aboutaleb noemt Visser ten slotte ‘ondoordacht en onbezonnen’ en hadden volgens hem niet in het rapport mogen komen.

Rapport Rekenkamer Rotterdam

Uit het onderzoek van de Rekenkamer blijkt dat gevoelige informatie, zoals (bijzondere) persoonsgegevens, over het algemeen onvoldoende in veilige handen is bij de gemeente Rotterdam, ondanks dat de gemeente op papier wel adequaat beleid en organisatie voor de informatiebeveiliging heeft opgesteld. De gemeente schiet echter tekort in de uitvoering daarvan. Digitale informatiesystemen zijn onvoldoende beveiligd voor aanvallen van binnenuit, de fysieke beveiliging van meerdere kantoorlocaties schiet tekort en er is te weinig ‘social en security awareness’ bij medewerkers. Het niet volgen van de voorgeschreven pdca-cyclus en het feit dat de beveiligingsmaatregelen niet volgen uit systematische en actuele risicoanalyses, illustreren het tekort aan centrale sturing.

Door de tekortschietende informatiebeveiliging bestaan er reële risico’s op identiteitsfraude, fysieke onveiligheid van politiek-bestuurlijke ambtsdragers, verstoring van de openbare orde, verstoring van de publieke dienstverlening en misbruik van publieke middelen. De Rekenkamer constateert daarnaast dat er grote verschillen bestaan tussen de kwaliteit van informatiebeveiliging van afzonderlijke systemen. Ook hier ontbreekt het aan centrale sturing.

De Rekenkamer heeft onder meer aanbevolen in te zetten op een krachtige centrale sturing op informatiebeveiliging en alle in het onderzoek aangetoonde kwetsbaarheden in de beveiliging, te dichten.

Het volledige rapport is te vinden op de site van de Rekenkamer.

 

Bron: Security.nl, 7 april 2017

 

Implementatie ENSIA per 1 juli 2017 van start

Implementatie ENSIA per 1 juli 2017 van start

Posted on by in Nieuws with Reacties uitgeschakeld voor Implementatie ENSIA per 1 juli 2017 van start

De Stuurgroep ENSIA (Eenduidige Normatiek Single Information Audit) heeft op donderdag 23 maart jl. officieel ingestemd met de implementatie van ENSIA per 1 juli 2017. De ministeries van BZK, I&M, SZW en de organisaties RvIG, Logius, BKWI, VNG/KING en ICTU hebben de afgelopen periode hard gewerkt om de gestelde randvoorwaarden uit de evaluatierapporten van de pilot te realiseren.

Eén slimme verantwoording voor informatieveiligheid

De invoering van ENSIA betekent dat alle gemeenten vanaf juli 2017 werken met één verantwoordingstool voor informatieveiligheid. Met ENSIA heeft het gemeentebestuur meer inzicht in de stand van zaken van de informatieveiligheid, kan het beter sturen op informatieveiligheid en kan het er verantwoording over afleggen aan de gemeenteraad.

Voorheen waren er aparte audits en verantwoording voor Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet). Met ENSIA legt een gemeente in één keer slim verantwoording af over informatieveiligheid. De verantwoording sluit aan bij de gemeentelijke P&C-cyclus en is in lijn met de Baseline Informatieveiligheid Nederlandse Gemeenten (BIG). ENSIA is een initiatief van de VNG en de ministeries van BZK, I&M en SZW.

Informatie en contact

KING ondersteunt gemeenten bij het inrichten van het verantwoordingsproces en de implementatie van ENSIA. Meer informatie is te vinden op de website van KING. U kunt ook contact opnemen met KING via [email protected].

Voor vragen over de ENSIA-tool kunt u contact opnemen met ICTU via [email protected].

 

Bron: Kinggemeente.nl, 31 maart 2017

 

Key2Control aanwezig op het congres Digitale Agenda 2020

Key2Control aanwezig op het congres Digitale Agenda 2020

Posted on by in Events, Nieuws with Reacties uitgeschakeld voor Key2Control aanwezig op het congres Digitale Agenda 2020

Op 5 april vindt het congres Digitale Agenda 2020 plaats in De Fabrique in Maarssen.

Tijdens dit congres is er veel aandacht voor informatiebeveiliging en privacy. In het programma vindt u onder andere de volgende sessies:

  • Informatiebeveiliging collectief aanpakken door de IBD
  • Privacy in gemeentelijk perspectief door KING
  • Nieuwe tijden, nieuwe dreigingen door de Autoriteit Persoonsgegevens, Ministerie van BZK en de IBD
  • Veilig digitaal verkeer door het Forum Standaardisatie, de IBD en Gemeente ’s Hertogenbosch
  • ENSIA voor informatieveiligheid door KING, VNG en gemeenten
  • Weet wat u deelt! door KING en gemeente

Wij zullen samen met de Gemeente Stein de aanpak en de “lessons learned” van het opzetten, inrichten en borgen van een integrale informatieveiligheidsaanpak in de multidisciplinaire gemeentelijke organisatie presenteren.

Ook kunnen wij U informeren over het ENSIA verantwoordings proces.

Als u zich reeds heeft ingeschreven zien we u graag op 5 april op het congres Digitale Agenda 2020! Als u nog niet heeft ingeschreven dan kan dat via: https://www.da2020.nl/congres/