Posts Under: Nieuws

IT gemeente gaat burger meer geld kosten

IT gemeente gaat burger meer geld kosten

Posted on by in Nieuws with Reacties uitgeschakeld voor IT gemeente gaat burger meer geld kosten

De uitgaven die gemeenten aan IT besteden, stijgen gemiddeld per inwoner 7 euro.

De ICT-benchmark gemeenten van M&I Partners laat een trendbreuk zien. De afgelopen jaren lagen de kosten vrij stabiel tussen de 72 en 74 euro per inwoner.
Maar daar kwam in 2016 een einde aan. Meer uitgaven aan personeel en advies rond privacy en informatiebeveiliging zijn de belangrijkste redenen die Partners signaleert in de benchmark voor de kostenstijging.

Bron: AGConnect.nl, 1 november 2017.
Noodplan voor Nederlandse kennis cybersecurity

Noodplan voor Nederlandse kennis cybersecurity

Posted on by in Nieuws with Reacties uitgeschakeld voor Noodplan voor Nederlandse kennis cybersecurity

 

Terwijl overheden van buurlanden dit jaar flink geïnvesteerd hebben in de academische capaciteit op gebied van cybersecurity,
blijft Nederland flink achter. Drie hoogleraren waarschuwen voor een ‘braindrain’ naar omliggende landen en publiceerden een noodplan
om de kennispositie van Nederland te redden.

Budgetten voor onderzoek steeds kleiner

De hoogleraren Herbert Bos, Michel van Eeten, Bart Jacobs zagen Duitsland afgelopen jaar een centrum voor cybersecurity opzetten waar
jaarlijks voor 50 miljoen aan vaste financiering wordt uitgegeven. Ze beschrijven in het noodplan hun verbazing over een gebrek aan Nederlandse
investeringen. ‘Wat doet Nederland? Het korte antwoord: nagenoeg niets. Al sinds 2014 is er geen nationale cybersecurity call for proposals
van NWO meer geweest. De afgelopen jaren is de investering in cybersecurity onderzoek steeds verder teruggelopen, tot ongeveer 1 miljoen euro
per jaar.’ De hoogleraren zien in het buitenland diverse van deze initiatieven. Deze zorgen mogelijk dat er in Nederland een ‘braindrain’ ontstaat,
omdat er in andere landen nieuw hoogopgeleid personeel nodig is, dat geworven wordt onder medewerkers van Nederlandse universiteiten.

Kennispositie strategisch belangrijk

Van de in de miljoenennota uitgetrokken 26 miljoen gaat er niets naar de academische wereld, en hoeveel van de extra 66 miljoen van het
regeerakkoord er naar onderzoek gaat is nog niet bekend. Een goede eigen kennispositie is volgens de hoogleraren van strategisch belang,
de capaciteit om zelf nieuwe generatief cybersecurity-experts op te leiden is nodig om een autonome belangenafweging te maken.

6 miljoen per jaar nodig

De hoogleraren doen in hun noodplan enkele voorstellen om de kennispositie van Nederland op gebied van cybersecurity te behouden.
Om deze uit te kunnen voeren is een fonds van 60 miljoen euro nodig voor een periode van 10 jaar. De voorstellen behelzen onder meer
een competitie van promotietrajecten en postdocs ten behoeve van onderzoekers in tijdelijke dienst, een gerichte ondersteuning
van vaste staf, waaronder assistent hoogleraren, om sterke onderzoeksgroepen te bouwen en de vorming van een ‘pool’ van cybersecurity experts,
om academische en operationele kennis te laten circuleren tussen kennisinstellingen, overheid en bedrijfsleven.

Bron: Binnenlandsbestuur.nl, 30 oktober 2017
Aantal datalekken in openbaar bestuur verdubbelt

Aantal datalekken in openbaar bestuur verdubbelt

Posted on by in Nieuws with Reacties uitgeschakeld voor Aantal datalekken in openbaar bestuur verdubbelt

 

Het aantal datalekken in het openbaar bestuur dreigt dit jaar te verdubbelen. In de eerste zes maanden van 2017 werden al 940 nieuwe gevallen gemeld, tegenover 825 datalekken in heel 2016.

Kosten 4,6 miljoen 

Dat blijkt uit cijfers van de Autoriteit Persoonsgegevens waar de overheden sinds januari 2016 verplicht zijn elk datalek te melden. Uit aanvullend onderzoek van Binnenlands Bestuur blijkt dat gemeenten gemiddeld 32,1 uur aan het melden en verwerken van een lek besteden. Dat resulteert op jaarbasis in een totale kostenpost voor de overheid van 4,6 miljoen euro.

Verkeerde ontvanger

Het meest voorkomende datalek bestaat uit persoonsgegevens die per ongeluk aan een verkeerde ontvanger zijn verstuurd (41 procent). Andere datalekken betreffen persoonsgegevens die per abuis zijn gepubliceerd (13 procent) en kwijtgeraakte of gestolen apparaten of papieren (10 procent). Zo’n 5 procent van de datalekken bestaat uit geslaagde hackpogingen via  ransomware of phishing.

Werklast verschilt sterk

Het aantal uren dat gemeenten in een datalek steken loopt sterk uiteen. Waar sommige in een halve dag klaar waren, kostte het onder meer Nijmegen, Delft en Helmond meerdere weken om een datalek af te handelen. Een mail met één verkeerde bijlage bezorgde de gemeente Enschede zelfs tweehonderd uur werk.

Maatregelen

Na de constatering van een datalek moeten ambtenaren advies geven aan de verantwoordelijke manager. Ook moeten de betrokkenen worden geïnformeerd. Vaak wordt er ook nog extern advies ingewonnen en worden er maatregelen genomen die datalekken in de toekomst moeten voorkomen, zoals bewustwordingscampagnes en encryptie (het coderen en decoderen van gegevens).

Lees het hele verhaal deze week in BB18 (inlog).

 

Bronvermelding:

binnenlandsbestuur.nl, 3 oktober 2017
Gevoelige gegevens 1800 kwetsbare kinderen op straat

Gevoelige gegevens 1800 kwetsbare kinderen op straat

Posted on by in Nieuws with Reacties uitgeschakeld voor Gevoelige gegevens 1800 kwetsbare kinderen op straat

Gevoelige gegevens van bijna 1800 kwetsbare kinderen zijn op straat beland. Het gaat om gedetailleerde informatie, zoals huisadressen en roostertijden van leerlingen in het speciaal onderwijs, blijkt uit onderzoek van RTL Nieuws. De gegevens zijn door 21 gemeenten ten onrechte openbaar gemaakt tijdens de aanbesteding van speciaal leerlingenvervoer. Ouders zijn boos.  Gemeenten zijn verplicht het vervoer van leerlingen in het speciaal onderwijs openbaar aan te besteden. Om chauffeurs een indicatie te geven van de afstand die ze moeten afleggen, verstrekken gemeenten rittenlijsten. Die zijn door iedereen in te zien via de aanbestedingswebsite Tenderned.

Ziekte of beperking

Veel gemeenten anonimiseren de gegevens van leerlingen, maar bij 21 gemeenten gebeurde dat niet. Daardoor werd het mogelijk om de huisadressen, geboortedata, schoollocaties en roostertijden van kwetsbare kinderen in te zien. In sommige gevallen is via het type school de ziekte of beperking van een leerling te achterhalen. Zo valt af te leiden of het gaat om een kind met autisme of een spraakbeperking. Ook notities over rolstoelgebruik vallen onder de openbare documenten.

‘Heel triest’

“Ik vind het heel triest dat dit soort gegevens openbaar zijn”, zegt Peter Berlemon uit Rhenen, de vader van één van de betrokken kinderen. “Ik was hier niet van op de hoogte.” Een moeder die anoniem wil blijven, zegt: “Ik wil absoluut niet dat sommige mensen weten naar welke school mijn zoontje van 4 gaat. Als mensen hier verkeerd mee willen, kunnen ze deze gegevens gebruiken. Ik schrik hiervan.”

Volgens de Autoriteit Persoonsgegevens hebben de gemeenten meer gegevens openbaar gemaakt dan zou moeten. “Wij twijfelen over de noodzakelijkheid van de publicatie van deze persoonsgegevens.” De toezichthouder heeft contact met de betrokken gemeenten opgenomen en gevraagd de bewuste documenten aan te passen of te verwijderen.

Te weinig oog voor privacy

De meeste gemeenten laten in een reactie aan RTL Nieuws weten dat ze geschrokken zijn dat privacygevoelige informatie openbaar is geweest. Ze erkennen dat er te weinig oog was voor de privacy van de leerlingen. Deze week worden alle ouders per brief op de hoogte gebracht. De Rijksdienst voor Ondernemend Nederland is verantwoordelijk voor de website Tenderned en laat weten dat de verantwoordelijkheid voor de verspreiding van de gegevens bij de gemeenten ligt.

 

Bron: RTLNieuws.nl, 8 september 2017
Conflict AP en Privacy First om OV-chipkaart NS

Conflict AP en Privacy First om OV-chipkaart NS

Posted on by in Nieuws with Reacties uitgeschakeld voor Conflict AP en Privacy First om OV-chipkaart NS

De stichting Privacy First beschuldigt de Autoriteit Persoonsgegevens (AP) ervan niet op te treden tegen de NS. Discussiepunt is de ov-chipkaart en dan met name het voordeelurenabonnement, waarbij de NS reizigers volgens de stichting kan dwingen om extra te betalen als ze hun privacy willen behouden. Aanstaande maandag komt de zaak voor bij de Raad van State.

‘Drie jaar geleden schafte NS de papieren treinkaartjes af en verplichtte alle reizigers voortaan een OV-chipkaart te gebruiken. Het bleek dat reizigers die omwille van hun privacy voor een anonieme OV-chipkaart kozen, van NS geen voordeelurenkorting krijgen – ook niet als zij al vele jaren in het bezit zijn van een voordeelurenabonnement. Arnhemmer Michiel Jonker vroeg de AP om handhavend op te treden, wat de AP weigerde. Op 16 augustus 2016 gaf de Rechtbank Gelderland Jonker deels gelijk en gelaste dat de AP de zaak alsnog serieus moest onderzoeken, maar verplichtte de AP nog niet om handhavend op te treden. De AP en Jonker gingen beiden in hoger beroep bij de Raad van State’, stelt de stichting.

Discriminatie

Jonker ervaart het feit dat een reiziger met privacy in de voordeeluren meer moet betalen dan een reiziger zonder privacy, als een vorm van discriminatie. ‘Ik wil net als vroeger het openbaar vervoer kunnen gebruiken zonder dat een bedrijf of de overheid precies kan bijhouden waar ik op welk moment geweest ben. Daarvoor is de anonieme OV-chipkaart ook bedoeld. Maar die wordt op deze manier ontmoedigd. Er wordt een ongerechtvaardigd onderscheid gemaakt tussen mensen met privacy en mensen zonder privacy. Mensen die hun privacy willen houden, moeten meer betalen. Dat is discriminatie. NS probeert me er zo toe te dwingen mijn privé-reisgegevens voor commerciële doelen ter beschikking te stellen. Nederlandse wetten en Europese verdragen verbieden dat.’

Ook heeft Jonker bezwaar tegen de wijze waarop NS zijn persoonsgegevens heeft overgedragen aan Trans Link Systems (TLS). ‘NS zegt dat ik een contract met TLS heb, maar dat is onzin. Ik heb nooit zo’n contract afgesloten, en dat heeft geen enkele treinreiziger. NS heeft zijn algemene voorwaarden veranderd. Maar NS kan niet rechtmatig in zijn algemene voorwaarden opnemen dat ik opeens een contract over mijn persoonsgegevens afgesloten zou hebben met een derde. Je ziet hier hoe de zogenaamde privatisering van een publieke voorziening, het OV, leidt tot onrechtmatige praktijken.’

AP liet eerder steken vallen

Het is niet de eerste keer dat de Autoriteit Persoonsgegevens (AP) voor de rechter moet verschijnen en het verwijt krijgt dat ze onvoldoende handhavend optreedt. Eerdere zaken betreffen de verwerking van medische persoonsgegevens, een landelijke database met medische gegevens, een omstreden afvalpas in Arnhem en de verwerking van behandelgegevens in de geestelijke gezondheidszorg. Wellicht heeft een en ander te maken met het grote personeelstekort bij de privacywaakhond.

 

Bron: Computable.nl, 1 september 2017
Privacywaakhond AP heeft fors meer personeel nodig

Privacywaakhond AP heeft fors meer personeel nodig

Posted on by in Nieuws with Reacties uitgeschakeld voor Privacywaakhond AP heeft fors meer personeel nodig

De Autoriteit Persoonsgegevens (AP) heeft 2,5 tot 3,5 keer meer voltijdmedewerkers nodig om taken uit te kunnen voeren en te voldoen aan nieuwe bevoegdheden. Met name het toezichthouden en de controle op de naleving van regels stijgen enorm als 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) Europees van kracht is.

Vanaf dan moet er onder meer internationaal worden samengewerkt rondom de afhandeling van meldingen en klachten. Op grond van de AVG krijgen bedrijven en organisaties dan meer en zwaardere verplichtingen opgelegd rondom datagebruik en privacy. Dat betekent dat het aantal taken van de toezichthouder ook groeit. Zo legt de nieuwe wet bijvoorbeeld meer nadruk op de ‘accountability’ van bedrijven en organisaties.

Zij moeten met documenten kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG, ook wel bekend als de GDPR, te voldoen. Ze zijn in een aantal gevallen bijvoorbeeld verplicht om een functionaris voor gegevensbescherming aan te stellen. De AP moet gaan controleren of die verplichtingen en het functioneren van het interne toezicht worden nageleefd.

De AP gaat ook meer internationaal samenwerken met de andere privacytoezichthouders. ‘Op het moment dat sprake is van grensoverschrijdende gegevensverwerkingen, en een mogelijke overtreding van de wet, dan is de toezichthouder van de EU-lidstaat waar de hoofdvestiging van het bedrijf is gevestigd, bevoegd om op te treden tegen de verantwoordelijke in kwestie’, licht de AP toe.

EU-land

De toezichthouder in het EU-land waar de hoofdvestiging van het bedrijf gevestigd is, krijgt dus de leiding. Voor de AP geldt dat dus voor bedrijven die grensoverschrijdende gegevensverwerkingen doen en hun hoofdvestiging in Nederland hebben. Dat betreft dus ook klachten van burgers uit andere EU-lidstaten die klagen over een organisatie die haar hoofdvestiging in Nederland heeft. De AP zal op grond van de AVG (GDPR) en de EU-Richtlijn over gegevensverwerking in de rechtshandhaving alle klachten van burgers in behandeling moeten nemen.

270 FTE

Een extern en onafhankelijk bureau becijferde voor het ministerie van Justitie, waaronder de AP valt, hoeveel personeel er extra nodig is om aan de taken en bevoegdheden te voldoen. In verschillende scenario’s (laag-midden-hoog) zijn de verwachte werkstromen voor de invoering van de nieuwe wet doorgevoerd. Het aantal fte’s varieert van minimaal 185 tot maximaal 270. Dat betekent een groei van bijna 2,5 tot 3,5 keer ten opzichte van het huidige omvang van het personeelsleden. Binnenkort start AP met de werving van nieuw personeel. Het zoekt onder meer handhavers, toezichthouders en ict’ers.

Tijdelijk directeur

Tijdelijk directeur Bas den Hollander moet de veranderingen binnen AP in goede banen leiden. Hij is per 15 augustus  2017 voor een jaar aangesteld. Hij werkte van 1998 tot en met 2012 in verschillende functies bij de gemeente Rotterdam. Tussen 2012 en 2016 was Den Hollander zakelijk directeur van de Kunsthal Rotterdam. Zijn laatste functie bij deze gemeente was directeur van de Dienst Sport en Recreatie.

Het college van de AP bestaat uit voorzitter Aleid Wolfsen en vice-voorzitter Wilbert Tomesen. De AP zal op grond van de AVG en de EU-Richtlijn over gegevensverwerking in de rechtshandhaving alle klachten van burgers in behandeling moeten nemen. Dat betreft dus ook klachten van burgers uit andere EU-lidstaten die klagen over een organisatie die een hoofdvestiging in Nederland heeft. Alle privacytoezichthouders in de EU hebben bevoegdheden om op te treden tegen overtreders van de wet. Ze kunnen tot maximaal twintig miljoen euro aan boetes opleggen. Dat is geen doel op zich, de AP benadrukt dat het gaat om het bevorderen van de naleving van de wet.

 

Bron: Computable.nl, 29 augustus 2017
Helder boek: Grip op de AVG

Helder boek: Grip op de AVG

Posted on by in Nieuws with Reacties uitgeschakeld voor Helder boek: Grip op de AVG

Iedere ondernemer, elke organisatie weet het: vanaf 25 mei 2018 wordt de nieuwe Europese privacywetgeving van kracht. Persoonsgegevens moeten aantoonbaar beschermd worden, zo luidt de kern van de Algemene Verordening Gegevensbescherming (AVG). Dat klinkt simpel, maar in de praktijk betekent het een wagonlading aan eisen, begrippen en bepalingen. Het boek ‘Grip op de AVG’ maakt u wegwijs in de nieuwe regelgeving. De auteurs voeren u systematisch door de verschillende onderdelen van de wet zoals de rechten van betrokkenen, het aantoonbaarheidsprincipe en risico-gebaseerde maatregelen. Een praktisch stappenplan maakt de uitgave compleet.

Grip op de AVG is geschreven door Natalja Krijgsman, Koen Versmissen en Jeroen Terstegge van Privacy Management Partners. Auteurs met jarenlange relevante ervaring over het onderwerp privacy. Zij kijken achter de regels en eisen en ondersteunen u bij het opstellen van een maatoplossing.

Praktisch werkboek

Bij het boek hoort een praktisch werkboek, geschreven door Koen Versmissen en Gerrit Goud van Key2Control. U vindt in het werkboek onder meer een overzicht van de controlepunten waar veel organisaties in hun privacy management op sturen. U kunt deze punten overnemen en aanpassen voor uw eigen organisatie. Daarnaast biedt deze uitgave een vragenlijst die bij uitstek geschikt is om een nulmeting te doen en te ontdekken hoe uw organisatie momenteel met privacy omgaat. En wat er moet veranderen. De verschillen tussen de huidige en toekomstige eisen voor gegevensbescherming worden helder.

Bij aanschaf van het werkboek Grip op de AVG ontvangt u gratis de sjablonen en handreikingen in een bewerkbaar word-format. Kijk voor meer informatie op www.privacymanager.nu

Privacymanager

De PrivacyManager is een methodiek ontwikkeld door Key2Control en Privacy Management Partners en  biedt concrete instrumenten en diensten bij de inrichting van integraal en effectief privacymanagement. Aan de hand van een stappenplan ontstaan bewustzijn en overzicht. Met de PrivacyManager zet u zelf beleidsdocumenten om in concrete implementatieplannen waarbij de verschillende rollen in uitvoering, toezicht en controle duidelijk worden bepaald. Uitvoeringskwaliteit van de afgesproken processen is hiermee geborgd. U bent zelf volledig in control.

Voor meer informatie kunt u contact opnemen met Arie Hartog (0657599235) of Aart van Malenstein (0631913537) van Key2Control. Ook bereikbaar via email: [email protected]

Informatieveiligheid voor Raadsleden

Informatieveiligheid voor Raadsleden

Posted on by in Nieuws with Reacties uitgeschakeld voor Informatieveiligheid voor Raadsleden

 

 

Incidenten rond informatieveiligheid kunnen grote gevolgen hebben. Of dit nu komt door onzorgvuldige medewerkers of hackers met kwade bedoelingen. Wat gebeurt er bijvoorbeeld als gevoelige informatie van de gemeente op straat komt te liggen. Of de digitale dienstverlening aan bewoners niet meer mogelijk is? Naast financiële en technische gevolgen kunnen deze gebeurtenissen ook het imago van de gemeente beïnvloeden.

Zo komt er als gevolg van de decentralisaties een groeiende hoeveelheid privacygevoelige informatie bij gemeenten. Als deze gegevens onbedoeld op straat komen te liggen, dan kan dit ook het imago van de gemeente en van de bestuurlijk verantwoordelijken uiteraard beïnvloeden. Het kan zelfs leiden tot een verlies aan vertrouwen bij burgers. Burgers mogen immers van hun gemeente verwachten dat zij de zaken op orde heeft. Kortom, de continuïteit van de dienstverlening en het vertrouwen van burgers moeten centraal staan als het om informatieveiligheid gaat. Zeker nu de landelijke politiek digitale overheidsdienstverlening als speerpunt heeft gekozen.

Om aandacht te vragen voor informatieveiligheid heeft minister Plasterk in februari 2013 de Taskforce Bestuur en Informatieveiligheid Dienstverlening voor een periode van twee jaar in het leven geroepen. Het doel van de Taskforce BID is om het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders en topmanagement van alle overheidslagen. Zowel qua bewustwording als sturing. Dit vanuit het perspectief van Verplichtende Zelfregulering per overheidslaag.  Eind vorig jaar hebben gemeenten hiertoe al een belangrijke stap gezet. Zo is tijdens de Buitengewone Algemene Leden Vergadering (BALV) van de Vereniging van Nederlandse Gemeenten (VNG) de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeenten’ met een grote meerderheid van stemmen aangenomen. De Resolutie houdt onder meer in dat iedere gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), die is opgesteld door de Informatiebeveiligingsdienst voor gemeenten (IBD).

Toezicht op informatieveiligheid

Voor u als raadslid is het belangrijk zicht te hebben op hoe uw gemeente omgaat met informatieveiligheid en met de risico’s die zij loopt, zowel technisch als bestuurlijk. Is uw gemeente in control als het om informatieveiligheid gaat?

U hoeft zeker geen informatieveiligheidsspecialist te zijn om deze verantwoordelijkheid goed uit te kunnen voeren. Het gaat er immers niet om dat u als raadslid weet hoe de gemeentelijke organisatie informatieveiligheid tot in de details borgt, het gaat er vooral om dat u weet dat het wordt geborgd en dat de gemeente stuur zet op het onderwerp. Om u hierbij te helpen heeft de Taskforce BID een aantal vragen voor u samengesteld, waarmee u kunt controleren of uw gemeente stuur zet op informatieveiligheid.

Welke set van vragen kunt u aan uw college stellen?

1. Hoe heeft het college de punten van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ opgepakt? Geldt de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als norm voor het basis beveiligingsniveau van onze gemeente?

In de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ is vastgelegd dat iedere gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de BIG. Deze norm helpt gemeenten om het informatiebeveiligingsbeleid te implementeren.  Als raadslid kunt u vragen of de gemeente een start heeft gemaakt met de punten van de resolutie, zoals de implementatie van de BIG en of de gemeente is aangesloten bij de Informatiebeveiligingsdienst voor gemeenten (IBD), een initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING).

Met een GAP-analyse kunnen gemeenten controleren of en in welke mate de maatregelen uit de tactische variant van de BIG zijn geïmplementeerd. Het resultaat van deze analyse geeft het verschil weer tussen het bestaande en het gewenste niveau. Dit is de input voor de vervolgstap; het maken van een realistische planning op basis van de algemene financiële uitgangspunten. Afhankelijk van de specifieke situatie, dient een evenwichtige afweging te worden gemaakt tussen de risico’s, de te nemen maatregelen en de daarvoor benodigde middelen. Raad en College geven richting door te kiezen voor een top-X van maatregelen. In het daaruit volgende informatiebeveiligingsplan voor gemeenten wordt dit allemaal vastgelegd.

2. Hoe is het informatiebeveiligingsbeleid vormgegeven binnen uw gemeente? Wie zijn er als verantwoordelijken aangesteld en is er aandacht voor bewustwording?

Het college van Burgemeester en Wethouders (B&W) is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente en stelt het informatiebeleid vast. Als Raadslid wilt u in ieder geval weten  op welk managementniveau informatieveiligheid is belegd. Is er bijvoorbeeld een Chief Information Security Officer (CISO) in uw gemeente aangesteld? Daarnaast is het van belang dat iedereen in de organisatie het informatieveiligheid kent en zich bewust is van de risico’s in relatie tot informatieveiligheid.

3. Welke risico’s accepteert het college voor de eigen gemeente en welke niet? Welke politiek-bestuurlijke en maatschappelijke gevolgen kan dit hebben in geval van een incident? Is de privacy van onze burgers gegarandeerd?

100% Veiligheid bestaat niet. Doel is dat iedereen in de organisatie het voor hen relevante beleid op gebied van informatieveiligheid kent en zich bewust is waar hij of zij een rol kan spelen bij het verkleinen van de risico’s in relatie tot informatieveiligheid. Desalniettemin blijft een aantal risico’s over, daar heeft de gemeente bewust voor gekozen. U wilt als raadslid echter wel zeker weten dat eventuele financiële en technische schade van deze risico’s bij een incident beperkt blijft en dat de privacy van burgers of de intregriteit van de gemeente nooit in het geding zijn.

4. Functioneert de cyclus van informatieveiligheid binnen onze gemeente? Vindt er een jaarlijkse toetsing plaats om na te gaan of uw gemeente in control is op het gebied van informatieveiligheid via peer reviews, audits of self-assessment? Wat zijn de resultaten van deze toetsing? Wordt de cyclus jaarlijks bijgesteld  op basis van lessons learned?

Gemeenten hebben in de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ vastgelegd dat gemeenten zich moeten verantwoorden over de informatieveiligheidscyclus binnen de organisatie en daarbuiten. Dit houdt in dat informatieveiligheid bestuurlijk en organisatorisch geborgd is in de bestaande planning- en controlcyclus. Toetsing vindt jaarlijks plaats via self-assessments, peerreviews of audits. In de Resolutie is afgesproken dat gemeenten zich in het jaarverslag verantwoorden over het te voeren informatieveiligheidsbeleid. Als raadslid kunt u vragen of deze toetsing plaatsvindt, wat de resultaten zijn en wat de gemeente met deze resultaten doet.

5. Hebben we binnen onze gemeente procedures opgesteld voor incidenten? Welke risico’s loopt de gemeente in geval van verstoring of cyberaanval, ook wanneer deze verstoring elders in de keten plaatsvindt? Hoeveel incidenten zijn er in de afgelopen periode (maand/half jaar) geweest? Melden wij die incidenten bij de IBD?

Het is van groot belang dat uw gemeente noodscenario’s opstelt voor incidenten met hoge impact. Dergelijk incidenten kunnen de dienstverlening in ernstige mate verstoren. Het is belangrijk deze risico’s inzichtelijk te maken even als de maatregelen die de gemeente treft om zich hiertegen te wapenen. Als Raadslid kunt u bijvoorbeeld vragen of uw gemeente de (informatie)beveiliging regelmatig toetst en de incidentprocedures periodiek oefent. Hier horen ook vragen bij als: Wanneer stelt het college van B&W de gemeenteraad op de hoogte? Hoe is de verantwoording aan de gemeenteraad over beheersing van een incident of crisis geregeld?

Bron: Raadslid.nu, 30 mei 2017
ict beveiliging grc
Politiek verplicht jaarlijks informeren over digitale veiligheid

Politiek verplicht jaarlijks informeren over digitale veiligheid

Posted on by in Nieuws with Reacties uitgeschakeld voor Politiek verplicht jaarlijks informeren over digitale veiligheid

 

Gemeenteraden moeten jaarlijks geïnformeerd worden over de informatieveiligheid van hun gemeente. Dit schrijft de VNG in een ledenbrief aan alle gemeenteraden. In de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’, is dit door gemeenten afgesproken. Er komt een verantwoordingsprocedure voor informatieveiligheid.

Vragenlijst informatieveiligheid voor raadsleden ontwikkeld

Colleges van burgemeester en wethouders moeten in de jaarverslagen aan de gemeenteraad voortaan jaarlijks verantwoording afleggen over hoe informatieveiligheid in hun gemeente ervoor staat. Het is volgens de VNG een belangrijke taak voor de gemeenteraad om de informatieveiligheid vervolgens te controleren. Er is voor raadsleden een set vragen ontwikkeld waarmee ze de informatieveiligheid in hun gemeente zelf kunnen testen. Deze gaan onder meer over de Baseline Informatiebeveiliging Nederlandse Gemeenten, maar ook over wie er verantwoordelijk is voor de digitale veiligheid, of er aan bewustzijn wordt gedacht, welke risico’s er geaccepteerd worden, wat er gedaan wordt aan toetsing en reviews en welke procedures er zijn bij incidenten.

Eerste stap van een nieuwe verantwoordingsprocedure

Na een pilot bij diverse gemeenten vindt KING op basis van de resultaten daarvan, dat de tijd rijp is voor een nieuwe verantwoordingsprocedure voor informatieveiligheid. Gemeenten werken daarom aan de hand van Eenduidige Normatiek Single Information Audit (ENSIA). De implementatie van ENSIA bij alle gemeenten is momenteel gaande. De nieuwe verantwoordingsprocedure begint met een zelfevaluatie van informatieveiligheid door gemeenten op basis van de ENSIA. De eerste stap is dat het college van B&W hier verantwoording over aflegt in het jaarverslag. ‘Het verantwoordingsproces sluit hierdoor aan op de planning- en controlcyclus. Het gemeentebestuur heeft zo meer overzicht over de informatieveiligheid van haar gemeente. Ook kan het bestuur beter sturen’, zo schrijft de VNG.

 

Bron: binnenlandsbestuur.nl, 30 mei 2017

Forse stijging aantal datalekken

Forse stijging aantal datalekken

Posted on by in Nieuws with Reacties uitgeschakeld voor Forse stijging aantal datalekken

 

Alleen al in het eerste kwartaal van 2017 zijn er 2300 datalekken bij de Autoriteit Persoonsgegevens gemeld. Terwijl het over heel 2016 om ‘slechts’ 5500 meldingen ging. 

Dat blijkt uit gegevens die de toezichthouder deze week heeft gepubliceerd.

De meeste meldingen kwamen uit de sector gezondheid en welzijn (27 procent), gevolgd door financiële dienstverlening (21 procent).

Gemeenten
Het openbaar bestuur is met 484 meldingen verantwoordelijk voor 20 procent. Hiervan kwamen 331 meldingen van gemeenten. Het ging vooral vaak om persoonsgegevens die aan de verkeerde ontvanger waren gestuurd of afgegeven (41%), om persoonsgegevens die per ongeluk waren gepubliceerd (13%), en om apparaten of papieren met persoonsgegevens die waren kwijtgeraakt of gestolen (10%).

In ruim 400 gevallen ging het om het lekken van naam-, adres- en woonplaatsgegevens, in (ruim) 250 gevallen ging het om BSN’s en om gegevens over geslacht, geboortedatum of leeftijd.

Waarschuwing
De AP startte in het eerste kwartaal in totaal 25 onderzoeken naar de beveiliging en naar mogelijke datalekken bij organisaties binnen het openbaar bestuur. In de meeste gevallen kwamen organisaties er vanaf met een waarschuwing die leidde tot beëindiging van de overtreding.

Bron: Gemeente.nl, 15 mei 2017