De gereedschapskist voor gemeenten bij de implementatie van ENSIA en AVG

Er is veel te doen over informatieveiligheid bij gemeenten. De één bagatelliseert het, de ander is juist panisch wanneer een groen vinkje mist in een scanlijstje. De lancering van ENSIA en de nieuwe privacywetgeving (AVG) brengen een hoop veranderingen met zich mee. Waar dien je op voorbereid te zijn?

Iedereen weet dat een veilige omgang met privacy en informatieveiligheid niet alleen te maken heeft met techniek. Het zijn de werkprocessen, continuïteitsmaatregelen en natuurlijk de mensen in de organisatie die tellen. Wie en wat gaat er allemaal in de beveiligingsgereedschapskist?

Betrouwbare informatie is de ruggengraat van je organisatie. Besluiten (college) en dienstverlening worden gedaan op basis van de beschikbare informatie. Dus is het van cruciaal belang dat de informatie juist, tijdig, actueel en beschikbaar is. Daarom zijn opgeleide en gecertificeerde medewerkers van groot belang. Zij:

• helpen om de risico’s te beperken;
• moeten zorgen voor een juiste implementatie van de BIG;
• detecteren welke technische risico’s de systemen hebben;
• zijn zich bewust dat er phishingmails binnenkomen;
• zijn op de hoogte van de afspraken t.a.v. privacy met toeleveranciers

Kortom: zij hebben de gereedschappen in handen om de organisatie in control te houden.

Vanaf de zomer is het mogelijk om inzicht te krijgen waar je organisatie staat. De Eenduidige Normatiek Single Information Audit (ENSIA) staat op het punt van lancering. Hiermee wordt getoetst wat de stand van zaken is t.a.v. het normenkader van de BIG. Met de uitkomsten van deze audit krijgt het gemeentebestuur meer inzicht en kan daarmee verantwoording afleggen aan de raad.

Waarschijnlijk maak je gebruik van tools voor de implementatie van de BIG en daarmee gereed te zijn voor ENSIA. Circa 65% van de Nederlandse gemeenten gebruikt het ISMS Gemeenten van BMC en Inergy, uitgeleverd in Scienta. Maar naast de combinatie van de juiste documenten, procedures en slimme software om in control te komen en te blijven, zijn er verschillende aanbieders van hulpmiddelen om de BIG te implementeren.

Na de implementatie van BIG ben je een flink eind op weg om te voldoen aan de nieuwe
privacywetgeving: de Algemene Verordening Gegevensbescherming. Jouw organisatie heeft tot 25 mei 2018 de tijd om volledig aan deze nieuwe wetgeving te voldoen. Het is goed om nog even stil te staan bij het feit dat een aantal zaken gaat veranderen:

• Je bent verplicht om een Functionaris Gegevensbescherming (FG) aan te wijzen. Deze functionaris is verantwoordelijk voor het naleven van de AVG.
• Transparantie is opgenomen als een apart beginsel.
• Je moet actief beleid voeren en maatregelen treffen waaruit blijkt dat je de AVG naleeft.

Bovenstaande veranderingen zorgen ervoor dat ook alle processen waarbij persoonsgegevens zijn gemoeid tegen het licht gehouden moeten worden. Naast formats, documenten, richtlijnen en best practices op het gebied van informatieveiligheid moet je dit ook op gebied van privacy inrichten. De ideale gereedschapskist hiervoor is een PISMS (Privacy en Information Security Management System).

Er is inmiddels een update geweest voor Privacy. De basis hiervoor is een internationale ‘best-practice’. Het doel hiervan is dat de organisatie eenvoudig kan voldoen aan haar verantwoordelijkheden ten aanzien van privacywetgeving. Door de verbinding van de twee handboeken krijg je een integrale oplossing voor zowel:

• de bescherming en beveiliging van persoonsgegevens;
• het voldoen aan de formele eisen van informatieveiligheid.

Uniek in het handboek is de governancestructuur waarmee de FG een instrument krijgt om beheer te voeren volgens wereldwijd gebruikte standaarden.

Scienta werkt samen met Inergy en BMC om gemeenten zo goed mogelijk te ondersteunen bij het vastleggen en verbeteren van gemeentelijke informatiebeveiliging. Hoe dat er in de praktijk uit ziet? Stef Nicolasen, CISO bij de gemeente Woerden en Ronald Driehuis, auditor bij Inergy, vertellen over hun visie op informatiebeveiliging met Scienta.