Gemeente.nu

Nieuws voor gemeenten

Dé Bouwstenen voor een succesvolle Privacy strategie

door

Informatie is een strategisch bedrijfsmiddel waar bedrijfsvoering voor een belangrijke mate op gestoeld is. Het is tegelijk een belangrijke risicofactor voor het functioneren ervan. Fraude ligt op de loer, maar ook een menselijke ‘druk op de verkeerde knop’ kan ernstige gevolgen hebben.

Hoge boetes, ontevreden medewerkers en burgers als informatie fout wordt behandeld of aangeboden. De meldplicht datalekken die vanaf 1 januari 2016 wordt ingevoerd maakt dat we nog zorgvuldiger moeten handelen en omgaan met informatiestromen. Privacygevoelige informatie was al beschemd onder de Wet Bescherming Persoonsgegevens, de meldplicht maakt het nog strikter.

Verschillende organisaties zijn de laatste tijd al in het nieuws omtrent databeveiliging. Gemeenten worden gewaarschuwd voor Suwinet beveiliging en jaarrekeningen via een accountant liggen onder een vergrootglas.

Hoe zet je informatieveiligheid en privacy blijvend op de agenda, hoe krijg je het in het dna van de organisatie? In 16 stappen naar een succesvolle implementatie van informatiebeveiliging.

  • Mens als sterkste schakel De grootste winst zit in gedrag en bewustzijn. Stel dit centraal bij het verdere beleid. Maak ze informatiewijs. Het is een kerncompetentie;
  • Alle partijen gelden, ga het gesprek aanHRM, facilitaire zaken, marketing bestuur zijn naast de meer voor de hand liggende afdelingen als ICT en Juridische Zaken even belangrijk in deze. Organiseer een regiegroep, met maandelijks overleg.
  • Integrale aanpak loont Alle aspecten van informatieveiligheid gelden. Niet enkel IT-veiligheid. Let ook op fysieke veiligheid, gedrag en bewustzijn. Ontwikkel een bedrijfscultuur die informatieveiligheid waarborgt
  • Concretiseer Informatie en veiligheid zijn abstracte begrippen, tezamen dus in het kwadraat. Concretiseer derhalve, voorkom ‘vage’ begrippen. In duidelijke begrijpelijke taal voorbeelden die aansluiten bij de organisatie. Communicatie is net zo belangrijk als technische maatregelen.
  • Specifieke rollen De functionaris Gegevensbescherming is onder de Europese Wetgeving een specifieke rol. Denk na over toegevoegde rollen, denk aan een functionaris Informatieveiligheid bijvoorbeeld. Deze hebben een spilfunctie en zijn daarom hiërarchisch duidelijk in de organisatie geplaatst.
  • Normering Wat zijn de doelen met het veiligheidsbeleid, naast wet- en regelgeving. En hoe verhouden deze zich tot elkaar. Leg dit vast in een normerend document. En laat dat regelmatig toetsen en beoordelen
  • Nulmeting Laat een nulmeting uitvoeren, intern of extern. Hiervoor zijn standaarden als ISO 27001-audit of een Privacy Impact Assessment. Herhaal deze periodiek.
  • Informatie inventarisatie Welke informatie moet beveiligd zijn? Klantgegevens (volgens de WBP zelfs aanvullend) maar denk ook aan HRM systemen en andere administratieve vormen van opslag. Zie informatie als alle aanwezig, of opgeslagen, data.
  • Classificeer Bijvoorbeeld op basis van beschikbaarheid, integriteit en vertrouwelijkheid. Verlies de continuïteit van de organisatie niet uit het oog.

Welke maatregelen moet u als organisatie nemen door nieuwe privacywetgevingen?
Voor overheidsinstanties, gemeenten en andere organisaties verandert er veel op het gebied van privacy en informatieveiligheid. De nieuwe regelgeving heeft grote invloed op uw bedrijfsvoering bij de omgang met persoonsgegevens.

Gratis Whitepaper: hoe krijgt u informatieveiligheid en privacy in het DNA van uw organisatie? 16 bouwstenen voor een succesvolle strategieDownload hier het Gratis Whitepaper

  • Veiligheidsmatrix: Leg de veiligheidsmaatregelen vast in een matrix. Op basis hiervan kan de organisatie bepalen hoe veiligheidsmaatregelen efficiënt worden ingezet.
  • Prioriseer Bijvoorbeeld in een ranking van risico’s : kans maal impact is de score
  • Registreer Voorkom anekdotisch beleid, maar registreer incidenten. Hiermee inventariseer je sneller de risico’s.
  • Anatomie van een lek Verkrijg inzicht in onderliggende verbanden. Vaak schuilen de risico’s juist in deze samenhang
  • Samenwerking Hoe handelen andere organisaties? Kun je informatie delen. Transparantie is een wapen in de veiligheid
  • Juridische onderbouwing De organisatie blijft verantwoordelijk voor alle informatie en de veiligheid. Wet- en regelgeving zijn daarin slechts leidraden
  • Lange adem Het is al eerder aangegeven. Maar regelmatige checks en updates van de scenario’s rondom de beveiliging zijn van wezenlijk belang. Wetgeving verandert, techniek ontwikkelt voort en kwaadwillende gaan daarin mee.

Seminar Privacy in de praktijk Nieuwe privacywetgeving vertaald naar uw organisatie 26 november 2015, Van der Valk Veenendaal

Tagged With: , Filed Under: Cybersecurity, Digitalisering

Reader Interactions

GERELATEERD

Amsterdam vraagt hulp ethische hackers

De gemeente Amsterdam roept ethische hackers op zwakke plekken in het gemeentelijke informatiesysteem op te sporen en te melden. De stad opent hiervoor een online meldpunt. De hoofdstad schakelt de hulp in van ethische hackers om de digitale weerbaarheid van de stad te verhogen. De vorm van computervredebreuk waarop de gemeente hier doelt is ‘hacken... lees verder

Provincie Gelderland gaat gemeenten hacken

Gelderland organiseert een cyberchallenge waarbij gemeenten in de provincie worden gehackt. Zo krijgen de Gelderse gemeenten een nulmeting van hun cyberveiligheid en worden bedreigingen in kaart gebracht. Meerdere gemeenten in het land, zoals Den Haag en Amersfoort, zijn bezig met projecten om de cybersecurity te verbeteren. Het aantal cyberincidenten neemt helaas steeds meer toe. Reden... lees verder

cyberaanvallen nemen toe

Gemeenten aan de bak met toegenomen dreiging cyberaanvallen

Van ransomware-aanvallen met datadiefstal tot eenvoudige softwarelekken. De cyberveiligheid van gemeenten staat onder druk. In Amsterdam moeten softwareleveranciers aantonen dat hun ICT veilig is. Een verplichte e-learning voor alle ambtenaren moet de bewustwording vergroten. De Informatiebeveiligingsdienst (IBD), cybersecurity-onderdeel van de Vereniging Nederlandse Gemeenten (VNG), moest volgens het jaaroverzicht bij 276 ICT-incidenten ondersteuning bieden. In 2020... lees verder

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *