Er is veel te doen over informatieveiligheid bij gemeenten. De één bagatelliseert het, de ander is juist panisch wanneer een groen vinkje mist in een scanlijstje. De lancering van ENSIA en de nieuwe privacywetgeving (AVG) brengen een hoop veranderingen met zich mee. Waar dient u op voorbereid te zijn?

Iedereen weet dat een veilige omgang met privacy en informatieveiligheid niet alleen te maken heeft met techniek. Het zijn de werkprocessen, continuïteitsmaatregelen en natuurlijk de mensen in de organisatie die tellen. Wie en wat gaat er allemaal in uw beveiligingsgereedschapskist?

De rol van gecertificeerde medewerkers

Betrouwbare informatie is de ruggengraat van uw organisatie. Besluiten (college) en dienstverlening worden gedaan op basis van de beschikbare informatie. Dus is het van cruciaal belang dat de informatie juist, tijdig, actueel en beschikbaar is. Daarom zijn opgeleide en gecertificeerde medewerkers van groot belang. Zij:

  • helpen om de risico’s te beperken;
  • moeten zorgen voor een juiste implementatie van de BIG;
  • detecteren welke technische risico’s de systemen hebben;
  • zijn zich bewust dat er phishingmails binnenkomen;
  • zijn op de hoogte van de afspraken t.a.v. privacy met toeleveranciers

Kortom: zij hebben de gereedschappen in handen om uw organisatie in control te houden.

Weten waar u staat met de introductie van ENSIA

Vanaf de zomer is het mogelijk om inzicht te krijgen waar uw organisatie staat. De Eenduidige Normatiek Single Information Audit (ENSIA) staat op het punt van lancering. Hiermee wordt getoetst wat de stand van zaken is t.a.v. het normenkader van de BIG. Met de uitkomsten van deze audit krijgt het gemeentebestuur meer inzicht en kan daarmee verantwoording afleggen aan de raad.

Waarschijnlijk maakt u gebruik van tools voor de implementatie van de BIG en daarmee gereed te zijn voor ENSIA. Circa 65% van de Nederlandse gemeenten gebruikt het ISMS Gemeenten van BMC en SafeHarbour, uitgeleverd in Scienta. Maar naast de  combinatie van de juiste documenten, procedures en slimme software om in control te komen en te blijven, zijn er verschillende aanbieders van hulpmiddelen om de BIG te implementeren.

De verplichtingen van de AVG

Na de implementatie van BIG bent u een flink eind op weg om te voldoen aan de nieuwe
privacywetgeving: de Algemene Verordening Gegevensbescherming. Uw organisatie heeft tot 25 mei 2018 de tijd om volledig aan deze nieuwe wetgeving te voldoen. Het is goed om nog even stil te staan bij het feit dat een aantal zaken gaat veranderen:

  • U bent verplicht om een Functionaris Gegevensbescherming (FG) aan te wijzen. Deze functionaris is verantwoordelijk voor het naleven van de AVG.
  • Transparantie is opgenomen als een apart beginsel.
  • U moet actief beleid voeren en maatregelen treffen waaruit blijkt dat u de AVG naleeft.

De P wordt toegevoegd aan het ISMS: PISMS zorgt voor orde en duidelijkheid

Bovenstaande veranderingen zorgen ervoor dat ook alle processen waarbij persoonsgegevens zijn gemoeid tegen het licht gehouden moeten worden. Naast formats, documenten, richtlijnen en best practices op het gebied van informatieveiligheid moet u dit ook op gebied van privacy inrichten. De ideale gereedschapskist hiervoor is een PISMS (Privacy en Information Security Management System).

Er is inmiddels een update geweest voor Privacy. De basis hiervoor is een internationale ‘best-practice’. Het doel hiervan is dat de organisatie eenvoudig kan voldoen aan haar verantwoordelijkheden ten aanzien van privacywetgeving. Door de verbinding van de twee handboeken krijgt u een integrale oplossing voor zowel:

  • de bescherming en beveiliging van persoonsgegevens;
  • het voldoen aan de formele eisen van informatieveiligheid.

Uniek in het handboek is de governancestructuur waarmee de FG een instrument krijgt om beheer te voeren volgens wereldwijd gebruikte standaarden.

In de praktijk

Scienta werkt samen met SafeHarbour en BMC om gemeenten zo goed mogelijk te ondersteunen bij het vastleggen en verbeteren van gemeentelijke informatiebeveiliging. Hoe dat er in de praktijk uit ziet? Stef Nicolasen, CISO bij de gemeente Woerden en Ronald Driehuis, auditor bij SafeHarbour, vertellen over hun visie op informatiebeveiliging met Scienta.

 

 

Lees meer over het handboek Privacy

Deze blog is geschreven door Daan Koot en eerder gepubliceerd op de website van SafeHarbour.