Sta als bestuurder voor informatieveiligheid
Toon als bestuurder leiderschap als het gaat om informatieveiligheid. Persoonlijke gegevens zijn je toevertrouwd door burgers en bedrijven. Je bent er verantwoordelijk voor. Werk binnen de organisatie continu aan bewustwording van de waarde van privacygevoelige data waarmee wordt gewerkt. En aan het besef hoeveel schade het toe kan brengen aan burgers, maar ook aan de overheid zelf, als data op straat komt te liggen. Want de meeste lekken ontstaan door menselijke fouten. Zet het onderwerp hoog op de agenda en laat zien dat het je menens is.
Voorbeelden
Draagvlak van management
Draagvlak van het management is heel belangrijk. Het ligt in feite in de rol van de manager besloten dat hij of zij aandacht besteedt aan de bewustwording rond informatieveiligheid. Misschien is dat bij uitvoerende organisaties anders, maar onze ervaring is dat beleidsmanagers nog onvoldoende bewust zijn van wat informatiebeveiliging inhoudt. Het is daarom belangrijk om óók het kennisniveau bij managers te vergroten. Gelukkig zien we dat er steeds meer aandacht voor is. Ik merk bijvoorbeeld dat er door managers vlak voor de zomervakantie tips worden gegeven via de mail en intranet. Bijvoorbeeld over het meenemen van de mobiele telefoon op vakantie.
Informatieveiligheid begint met bewustwording van de waarde van de data
Maak mensen bewust van de waarde van data. Ik denk dat dat nog weleens onderschat wordt. Er wordt tegenwoordig zo veel data verzameld en opgeslagen en bewerkt zonder dat mensen zich realiseren wat de waarde daarvan is. Aan puur data heb je niet zoveel. Maar zodra je daar informatie van maakt, door samen te voegen en verbanden te leggen, wordt dat goud in handen van mensen die daar echt goede dingen mee kunnen doen. Maar het wordt natuurlijk ook goud in handen van mensen die daar slechte dingen mee willen doen. Je zag wat er onlangs gebeurde, in Engeland bij ziekenhuizen, en nu ook bij ons bij een aantal grote bedrijven, op het moment dat onze informatiestromen verstoord worden. Dat brengt een enorme ontwrichting. Dus informatieveiligheid, het beschermen en zorgdragen voor continuïteit van informatiestromen is van eminent belang voor de hele maatschappij. Dan heb ik het niet alleen over de overheid, maar daar is het natuurlijk ook van belang. Als alle data waar wij over beschikken, persoonsgegevens en privacygevoelige informatie, op straat komt te liggen dan raakt men het vertrouwen in gemeenten, in de overheid kwijt. Hoe kan je als overheid nog functioneren als de maatschappij het vertrouwen in jou kwijt is? Er is toch al weinig vertrouwen in overheid en bestuurders. Als dit er dan ook nog bij komt, dan zijn de rapen gaar.
Veiligheid kan je niet outsourcen
Een heel belangrijke tip voor bestuurders: je kunt veiligheid niet outsourcen. Je blijft altijd zelf verantwoordelijk. Zelfs als je de IT afneemt van een externe partij, blijf jij nog steeds zelf verantwoordelijk voor informatiebeveiliging. Jij moet je verantwoorden naar de burger.
Bestuurder moet voorbeeldgedrag laten zien
Bestuurders moeten het goede voorbeeld geven. Het is echter aan de ambtelijke organisatie om goed te adviseren wat dat voorbeeldgedrag is. Bestuurders zijn net mensen. Als je die laag weet te overtuigen dat veilig gedrag het beste is, dan doe je goed werk als Chief Information Security Officer (CISO). Informatiebeveiliging is in de beleving van bestuurders vaak iets heel technisch. Maar het gaat over veel meer: de beschikbaarheid, integriteit en over de vertrouwelijkheid van bedrijfsinformatie. Informatiebeveiliging moet echt in het DNA van de organisatie zitten en bestuurders hebben daarin een voorbeeldfunctie.
Intern bewustwordingsprogramma
Als wethouder kan ik zeker wat doen aan de bewustwording rond informatieveiligheid. Binnen onze gemeente proberen we dat door voorlichting. We gaan over niet al te lange tijd weer beginnen met een bewustwordingprogramma, intern voor de medewerkers. Veel gemeentes zijn daarmee bezig. Om te zorgen dat alle medewerkers zich ervan bewust zijn waar ze mee werken. Bewust zijn van de waarde van de data waar ze over beschikken. Maar ook bewust van het feit dat als die data op straat komt te liggen, dat we dan grote problemen krijgen als overheid. Met onze afnemers, gebruikers, burgers.
ENSIA helpt bij verantwoording informatieveiligheid
Medio 2017 zijn alle gemeenten gaan werken met één zelfevaluatietool voor informatieveiligheid: ENSIA. “Dat vermindert de werkdruk en het helpt gemeenten om ‘in control’ te zijn”, stelt Franc Weerwind, burgemeester van Almere en voorzitter van de commissie Dienstverlening en Informatiebeleid VNG. “In 2013 hebben gemeenten een VNG-resolutie aangenomen waarin staat dat informatieveiligheid een randvoorwaarde is voor de professionele gemeente. Daar moet het natuurlijk niet bij blijven”, zegt VNG-bestuurder Weerwind. “Gemeenten moeten hun informatieveiligheid effectief en efficiënt blijven inrichten en zorgen dat dit onderwerp hoog op de bestuurlijke en ambtelijke agenda staat.” (…) “Het maakt mij gelukkig dat alle gemeenten zijn aangesloten. Informatieveiligheid wordt steeds meer bestuurlijk gedragen. Dat bewustwordingsproces is het allerbelangrijkste.”
Lees verder op iBestuur.
Start met besef dat gegevens zijn toevertrouwd
Het begint met het besef dat de gegevens waar allerlei overheden over kunnen beschikken, hen zijn toevertrouwd. Vaak door de mensen over wie het gaat zelf. In het woordje ‘toevertrouwd’ zit besloten dat mensen er op vertrouwen – en erop mogen vertrouwen – dat er op een zorgvuldige wijze met hun gegevens wordt omgegaan. Als je dat als uitgangspunt neemt, is het vaak niet zo heel erg moeilijk om te voldoen aan de soms ingewikkelde wettelijke vereisten.
Cybersecurity hoort op de bestuurlijke agenda
“Er is een groeiend bewustzijn bij bestuurders dat zij verantwoordelijk zijn voor cybersecurity, maar we zijn er nog lang niet”, zegt Elly van den Heuvel, secretaris van de Cyber Security Raad. Cyberdreigingen nemen rap toe. Daar is nog veel te winnen, schetst Van den Heuvel: “Op bestuurlijk niveau is vaak niet genoeg aandacht voor dit onderwerp. Terwijl informatieveiligheid van cruciaal belang is voor het functioneren van organisaties, zowel voor bedrijven als de overheid. De overheid beheert veel gevoelige gegevens van burgers, denk aan informatie over inkomens. Burgers moeten erop aankunnen dat die informatie bij de overheid in veilige handen is.” Digicommissaris Bas Eenhoorn: “Heb je als bestuurder voldoende kennis van dit onderwerp, of sta je straks te stotteren op de persconferentie na de hack?”
Lees verder op iBestuur
Wat heeft het programma iBewustzijn opgleverd?
“iBewustzijn is een thema dat in alle lagen van organisaties onder de aandacht moet blijven. Van bestuurs- tot medewerkersniveau”, zegt Janine Jongepier. Zij is directieteamlid Regie en Kaderstelling Digitale Overheid, directie Informatiesamenleving en Overheid bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. “Die aandacht zal steeds in golfbewegingen terugkomen, mede ingegeven door wettelijke eisen of nieuwe dreigingen. Maar het is inmiddels wel een blijvend thema op de agenda’s van overheden en commerciële organisaties. Het programma iBewustzijn heeft daar de afgelopen vier jaar zeker aan bijgedragen.”
Lees verder op de website van ICTU.
Onderzoek
De Autoriteit Persoonsgegevens (AP) publiceert in 2017 elk kwartaal een totaaloverzicht van alle gemelde datalekken. De resultaten van het 1e kwartaal voor de sector openbaar bestuur:
(Bron: Autoriteit Persoonsgegevens, PDF – 189 Kb)
Conclusie
Datalekken zijn een serieus probleem, vooral bij gemeenten.
Links
-
ENSIA, meer overzicht in gemeentelijke informatieveiligheid
Slim en transparant verantwoording afleggen over informatieveiligheid in gemeenten. Sinds 1 juli 2017 is de vragenlijst voor de zelfevaluatie beschikbaar, en gaan gemeenten daadwerkelijk aan de slag. Hoe werkt zo’n zelfevaluatie en wat komt er bij kijken?
-
Slimme Steden
Tegenlicht uitzending met aandacht voor privacy en verantwoordelijkheden van bestuurders. Met Aral Balkan (Cyborg rights activist) en Ger Baron (CTO Amsterdam)
-
Verwerkt u persoonsgegevens?
Dan is het uw verantwoordelijkheid om dit in overeenstemming met de Wet bescherming persoonsgegevens te doen. De Autoriteit Persoonsgegevens houdt hier toezicht op.
-
Bewustwordingscampagnes
De Informatie Beveiligings Dienst (IBD) biedt een overzicht van bewustwordingscampagnes van gemeenten, gericht op gemeenten en gericht op inwoners en bedrijven. Het overzicht bevat campagnes met een niet-commercieel karakter.
-
Privacybeleid
Een datalek zette in april 2016 de gemeente Amersfoort op scherp. Sindsdien investeert de gemeente flink in het op orde krijgen van haar privacybeleid. https://platformoverheid.nl/artikel/aan-de-slag-met-privacy lees meer over ENSIA
-
Handleiding voor bestuurders
DeCyber Security Raad (CSR) heeft een praktische handreiking voor bestuurders ontwikkeld met checklists.
-
Auroriteit Persoonsgegevens
Datalekken zijn een serieus probleem, vooral bij gemeenten.