Tip 94

Sta als bestuurder voor informatieveilig­heid

informatieveiligheid

Toon als bestuurder leiderschap als het gaat om informatieveiligheid. Persoonlijke gegevens zijn je toevertrouwd door burgers en bedrijven. Je bent er verantwoordelijk voor. Werk binnen de organisatie continu aan bewustwording van de waarde van privacygevoelige data waarmee wordt gewerkt. En aan het besef hoeveel schade het toe kan brengen aan burgers, maar ook aan de overheid zelf, als data op straat komt te liggen. Want de meeste lekken ontstaan door menselijke fouten. Zet het onderwerp hoog op de agenda en laat zien dat het je menens is.

Voorbeelden

Draagvlak van management

Draagvlak van het management is heel belangrijk. Het ligt in feite in de rol van de manager besloten dat hij of zij aandacht besteedt aan de bewustwording rond informatieveiligheid. Misschien is dat bij uitvoerende organisaties anders, maar onze ervaring is dat beleidsmanagers nog onvoldoende bewust zijn van wat informatiebeveiliging inhoudt. Het is daarom belangrijk om óók het kennisniveau bij managers te vergroten. Gelukkig zien we dat er steeds meer aandacht voor is. Ik merk bijvoorbeeld dat er door managers vlak voor de zomervakantie tips worden gegeven via de mail en intranet. Bijvoorbeeld over het meenemen van de mobiele telefoon op vakantie.

Annet van Veen

Annet van Veen

Adviseur, Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Meer tips van Annet

Informatieveiligheid begint met bewustwording van de waarde van de data

Maak mensen bewust van de waarde van data. Ik denk dat dat nog weleens onderschat wordt. Er wordt tegenwoordig zo veel data verzameld en opgeslagen en bewerkt zonder dat mensen zich realiseren wat de waarde daarvan is. Aan puur data heb je niet zoveel. Maar zodra je daar informatie van maakt, door samen te voegen en verbanden te leggen, wordt dat goud in handen van mensen die daar echt goede dingen mee kunnen doen. Maar het wordt natuurlijk ook goud in handen van mensen die daar slechte dingen mee willen doen. Je zag wat er onlangs gebeurde, in Engeland bij ziekenhuizen, en nu ook bij ons bij een aantal grote bedrijven, op het moment dat onze informatiestromen verstoord worden. Dat brengt een enorme ontwrichting. Dus informatieveiligheid, het beschermen en zorgdragen voor continuïteit van informatiestromen is van eminent belang voor de hele maatschappij. Dan heb ik het niet alleen over de overheid, maar daar is het natuurlijk ook van belang. Als alle data waar wij over beschikken, persoonsgegevens en privacygevoelige informatie, op straat komt te liggen dan raakt men het vertrouwen in gemeenten, in de overheid kwijt. Hoe kan je als overheid nog functioneren als de maatschappij het vertrouwen in jou kwijt is? Er is toch al weinig vertrouwen in overheid en bestuurders. Als dit er dan ook nog bij komt, dan zijn de rapen gaar.

Rein Zijlstra

Rein Zijlstra

Wethouder gemeente Zeewolde Meer tips van Rein

Veiligheid kan je niet outsourcen

Een heel belangrijke tip voor bestuurders: je kunt veiligheid niet outsourcen. Je blijft altijd zelf verantwoordelijk. Zelfs als je de IT afneemt van een externe partij, blijf jij nog steeds zelf verantwoordelijk voor informatiebeveiliging. Jij moet je verantwoorden naar de burger.

Joab de Lang

Joab de Lang

Concern Information Security Officer, Gemeente Rotterdam Meer tips van Joab

Bestuurder moet voorbeeldgedrag laten zien

Bestuurders moeten het goede voorbeeld geven. Het is echter aan de ambtelijke organisatie om goed te adviseren wat dat voorbeeldgedrag is. Bestuurders zijn net mensen. Als je die laag weet te overtuigen dat veilig gedrag het beste is, dan doe je goed werk als Chief Information Security Officer (CISO). Informatiebeveiliging is in de beleving van bestuurders vaak iets heel technisch. Maar het gaat over veel meer: de beschikbaarheid, integriteit en over de vertrouwelijkheid van bedrijfsinformatie. Informatiebeveiliging moet echt in het DNA van de organisatie zitten en bestuurders hebben daarin een voorbeeldfunctie.

Kees Hintzbergen

Kees Hintzbergen

Adviseur Informatiebeveiliging Informatiebeveiligingsdienst voor gemeenten (IBD) Meer tips van Kees

Intern bewustwordingsprogramma

Als wethouder kan ik zeker wat doen aan de bewustwording rond informatieveiligheid. Binnen onze gemeente proberen we dat door voorlichting. We gaan over niet al te lange tijd weer beginnen met een bewustwordingprogramma, intern voor de medewerkers. Veel gemeentes zijn daarmee bezig. Om te zorgen dat alle medewerkers zich ervan bewust zijn waar ze mee werken. Bewust zijn van de waarde van de data waar ze over beschikken. Maar ook bewust van het feit dat als die data op straat komt te liggen, dat we dan grote problemen krijgen als overheid. Met onze afnemers, gebruikers, burgers.

Rein Zijlstra

Rein Zijlstra

Wethouder gemeente Zeewolde Meer tips van Rein

ENSIA helpt bij verantwoording informatieveiligheid

Medio 2017 zijn alle gemeenten gaan werken met één zelfevaluatietool voor informatieveiligheid: ENSIA. “Dat vermindert de werkdruk en het helpt gemeenten om ‘in control’ te zijn”, stelt Franc Weerwind, burgemeester van Almere en voorzitter van de commissie Dienstverlening en Informatiebeleid VNG. “In 2013 hebben gemeenten een VNG-resolutie aangenomen waarin staat dat informatieveiligheid een randvoorwaarde is voor de professionele gemeente. Daar moet het natuurlijk niet bij blijven”, zegt VNG-bestuurder Weerwind. “Gemeenten moeten hun informatieveiligheid effectief en efficiënt blijven inrichten en zorgen dat dit onderwerp hoog op de bestuurlijke en ambtelijke agenda staat.” (…) “Het maakt mij gelukkig dat alle gemeenten zijn aangesloten. Informatieveiligheid wordt steeds meer bestuurlijk gedragen. Dat bewustwordingsproces is het allerbelangrijkste.”
Lees verder op iBestuur.

Start met besef dat gegevens zijn toevertrouwd

Het begint met het besef dat de gegevens waar allerlei overheden over kunnen beschikken, hen zijn toevertrouwd. Vaak door de mensen over wie het gaat zelf. In het woordje ‘toevertrouwd’ zit besloten dat mensen er op vertrouwen – en erop mogen vertrouwen – dat er op een zorgvuldige wijze met hun gegevens wordt omgegaan. Als je dat als uitgangspunt neemt, is het vaak niet zo heel erg moeilijk om te voldoen aan de soms ingewikkelde wettelijke vereisten.

Gerrit-Jan Zwenne

Gerrit-Jan Zwenne

Partner Brinkhof, Professor Leiden University Meer tips van Gerrit-Jan

Cybersecurity hoort op de bestuurlijke agenda

“Er is een groeiend bewustzijn bij bestuurders dat zij verantwoordelijk zijn voor cybersecurity, maar we zijn er nog lang niet”, zegt Elly van den Heuvel, secretaris van de Cyber Security Raad. Cyberdreigingen nemen rap toe. Daar is nog veel te winnen, schetst Van den Heuvel: “Op bestuurlijk niveau is vaak niet genoeg aandacht voor dit onderwerp. Terwijl informatieveiligheid van cruciaal belang is voor het functioneren van organisaties, zowel voor bedrijven als de overheid. De overheid beheert veel gevoelige gegevens van burgers, denk aan informatie over inkomens. Burgers moeten erop aankunnen dat die informatie bij de overheid in veilige handen is.” Digicommissaris Bas Eenhoorn: “Heb je als bestuurder voldoende kennis van dit onderwerp, of sta je straks te stotteren op de persconferentie na de hack?”
Lees verder op iBestuur

Wat heeft het programma iBewustzijn opgleverd?

“iBewustzijn is een thema dat in alle lagen van organisaties onder de aandacht moet blijven. Van bestuurs- tot medewerkersniveau”, zegt Janine Jongepier. Zij is directieteamlid Regie en Kaderstelling Digitale Overheid, directie Informatiesamenleving en Overheid bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. “Die aandacht zal steeds in golfbewegingen terugkomen, mede ingegeven door wettelijke eisen of nieuwe dreigingen. Maar het is inmiddels wel een blijvend thema op de agenda’s van overheden en commerciële organisaties. Het programma iBewustzijn heeft daar de afgelopen vier jaar zeker aan bijgedragen.”

Lees verder op de website van ICTU.

Onderzoek

De Autoriteit Persoonsgegevens (AP) publiceert in 2017 elk kwartaal een totaaloverzicht van alle gemelde datalekken. De resultaten van het 1e kwartaal voor de sector openbaar bestuur:

(Bron: Autoriteit Persoonsgegevens, PDF – 189 Kb)

aantal 484 meldingen
vooral meldingen 331 over gemeenten
Type datalekken 40% Verkeerde ontvanger pers. gegevens

Conclusie

Datalekken zijn een serieus probleem, vooral bij gemeenten.