Sinds 1 januari van dit jaar geldt de Wet Meldplicht Datalekken. Op het moment dat privacygevoelige gegevens per ongeluk toegankelijk zijn voor onbevoegden, bestaat de verplichting om zo’n ‘datalek’ te melden. Als persoonsgegevens op straat belanden ligt misbruik door kwaadwillende figuren direct op de loer. Het doel van de meldplicht is van tweeërlei aard. Ten eerste is dat het voorkomen van nieuwe datalekken. Daarnaast beoogt de meldplicht, in geval er toch een lek ontstaat, de gevolgen voor betrokkenen zo veel mogelijk te beperken. Als een gemeente niet voldoet aan de meldplicht, riskeert zij een boete die kan oplopen tot maximaal € 820.000,-. Ook de Europese Privacy Verordening die aanstaande is bevat een vergelijkbare meldplicht datalekken. De sancties in deze verordening, die rechtstreekse werking gaat hebben, zijn echter nog vele malen hoger (maximaal € 100.000.000).
Het onderwerp is een hot item in de (landelijke) media. Er zijn meerdere nieuwsberichten gewijd aan problemen met informatieveiligheid bij gemeenten. De vraag die hardop wordt gesteld is in hoeverre de gemeentelijke software systemen eigenlijk wel ‘waterdicht’ zijn. Hoewel deze vraag voor de hand ligt, raakt hij niet tot de kern van de uitdaging waar alle gemeenten op dit moment voor staan. Natuurlijk moeten de ICT systemen goed beveiligd zijn. Hiermee is echter het thema Datalekken en informatieveiligheid niet afgesloten! Informatieveiligheid gaat bovendien verder dan alleen de eerdergenoemde meldplicht.
Bewustzijn
Zoals de titel van deze blog al doet vermoeden zit informatieveiligheid niet alleen in ICT systemen, maar zit het vooral tussen de oren: het gaat om bewustzijn en bewustwording. Het gebrek aan zogenaamd e-bewustzijn zorgt er namelijk voor dat uw organisatie kwetsbaar is, ook al zijn de software systemen nog zo geavanceerd. Dit werd onlangs pijnlijk duidelijk toen bij Gemeente Medemblik een datalek werd ontdekt. Het verklaart tevens waarom, ondanks vele investeringen in de ICT infrastructuur, raadsleden van gemeente Rotterdam nog steeds het gevoel hebben dat zij ‘het lek van Nederland’ zijn.
Samengevat is het van belang om zowel de ‘harde’ als de ‘zachte’ kant van de organisatie te bekijken. Het in kaart brengen van de huidige ICT situatie moet gepaard gaan met een duidelijke afbakening van verantwoordelijkheden binnen de organisatie, de rol van de Chief Information Security Officer (CISO) en de andere relevante spelers binnen de P&C cyclus. De zogenaamde ‘soft controls’ zijn van het grootst mogelijke belang om te borgen dat uw organisatie ook in de toekomst gevrijwaard blijft van vervelende nieuwsberichten en — vooral — de inwoners gevrijwaard blijven van mogelijke fraude met hun persoonsgegevens. Deze soft controls bevatten houding- en gedragsaspecten van alle medewerkers. Awareness, aanspreekbaarheid en bedrijfscultuur zijn hierbij belangrijke kernwoorden.
Als u informatieveiligheid een belangrijk thema vindt en wil weten hoe uw organisatie scoort op dit onderwerp, neemt u dan contact op met VeloA. Wij kunnen u bijstaan in de vorm van een quick scan van de organisatie, of door middel van een allesomvattende risico analyse waarbij concrete beleidsaanbevelingen worden gedaan. Beide zijn gebaseerd op de uitgangspunten van de Baseline Informatieveiligheid Gemeenten (BIG) en meer specifiek op de Informatiebeveligingsdienst (IBD). Hierbij is oog voor zowel het technische ICT aspect áls voor de menselijke component!
