gdpr

Inhoud Gemeenten hebben in 2021 een aantal complexe uitdagingen: de energietransitie, uitvoering wet WMO betreffende het sociaal domein, de financiële gevolgen van de coronacrisis, ondersteuning van de Tweede Kamer verkiezingen en het blijven aanjagen van de woningbouw. Om deze uitdagingen aan te kunnen hebben zij inzicht nodig in de financiën die hiervoor benodigd zijn.   ENSIA Gemeenten leggen nu al verantwoording af in de ‘Eenduidige Normatiek Single Information Audit’ (ENSIA). Hierin legt de gemeente verantwoording af aan de gemeenteraad en de toezichthouder op basis van de eindsituatie van Informatiebeveiliging opgeleverd van het afgelopen jaar. Tevens moeten de gemeenten vanaf dit jaar ook binnen de rechtmatigheidsverantwoording aangeven dat zij de financiële baten goed en rechtmatig hebben aangewend. Deze rechtmatigheidsverantwoording past in de ontwikkeling naar meer eigenaarschap van gemeenten voor het 'in control' zijn.    In Control Statement Gemeenten die 'zich willen verbeteren en pro-actief willen sturen', doen dit met behulp van een In Control Statement. Hiermee verklaren het bestuur en management dat de interne beheersings- en controlesystemen van een gemeente adequaat en effectief zijn.  Niet elke gemeente kan dit of is hier al op ingericht en ook hebben niet alle gemeenten informatie over de diverse domeinen een aandachtsgebieden integraal beschikbaar. Vaak zijn er standalone toepassingen of losse excel bestanden waarmee de gemeenten tracht een beeld te vormen over de te verantwoorden onderdelen.     Management Control Framework Om gemeenten hierbij te ondersteunen heeft Cruxer het Management Control Framework (MCF) ontwikkeld waarmee de gemeentelijke organisatie ondersteund wordt door middel van handvatten en beheersingsmaatregelen, waarmee zij blijvend kunnen voldoen aan de wettelijke bepalingen om de integriteit, voortdurende beschikbaarheid en beveiliging van de geautomatiseerde gegevensverwerking te waarborgen zoals o.a. aangegeven in de Baseline Informatiebeveiliging Overheid (BIO). Tevens zijn relaties mogelijk naar de GDPR – Algemene verordening gegevensbescherming (AVG)​, het Norea Volwassenheidsmodel Informatiebeveiliging 2019, de RODIN (Referentiekader opbouw digitaal informatiebeheer 2107) en de ENSIA.   Integraal beeld Het MCF geeft de gemeente een integraal beeld van de opzet en bestaan van de interne beheersing en ondersteunt ook de werking in de dagelijkse activiteiten hiervan. Gemeenten hebben hierdoor de mogelijkheid om gericht bij te sturen waardoor de gehele PDCA-cycle wordt ondersteund. Omdat het MCF ook de relaties legt met de bedrijfs- en werkprocessen en de inrichting hiervan binnen de organisatie is onderbouwing van het In Control Statement voor de gemeente mogelijk. Het MCF biedt niet alleen ondersteuning aan de CISO van de gemeente maar ook aan de verantwoordelijken binnen de control functie. Vanwege de mogelijkheid relaties te leggen naar procesmanagement en applicatiemanagement is ondersteuning van de informatievoorziening mogelijk. Als een gemeente gebruik wil maken van het MCF dan wordt gestart met het digitaliseren van de aanwezige eigen risk-managementcycle gekoppeld aan de eigen bedrijfs- en werkprocessen. Dit wordt aangevuld en verbeterd waarna via workflows de maatregelen worden getoetst en onderbouwd met evidence. Interne rapportages en dashboards geven de gemeente het benodigde inzicht voor het opstellen van de In Control Statement.   Uitgebreide informatie over Management Control Framework is te vinden in deze flyer.   Neem voor meer informatie contact op met: René van der Reijden, rene@cruxer.nl Eric van Mierlo, eric@cruxer.nl   Deze blogpost is geschreven door onze partner Cruxer.  

Inhoud   Het is alweer ruim 20 jaar geleden dat de voorloper van de Code voor Informatiebeveiliging (CvI) werd geboren. Zover ik weet ontstond ze uit een vrijage van Shell met het Britse Ministry of the Interior als een antwoord op de uit de hand lopende automatisering. Tot dan toe was er vanzelfsprekende controle door de geslotenheid van de gebruikte systemen. Client-server brak met de regels en zorgde voor onduidelijke grenzen aan je systeem. Je moest met veel meer verschillende factoren rekening gaan houden. Bovendien was er een heel nieuwe groep IT’ers die zich met dataverwerking ging bezighouden die de oude beveiligingsparadigma’s niet had geleerd. Het antwoord op deze ontwikkelingen was een ‘best practice’. Zo’n verzameling handreikingen was handig als checklist en verschafte je als nieuweling gelijk een soort opleiding in de strijd voor de veiligheid.   Best practice Gaandeweg werd duidelijk dat het eenmalig afwerken van een lijst maar beperkt soelaas biedt. Continue beheersing is nodig, met een kwaliteits-‘proces’. De PDCA-toevoeging was geboren en kreeg later een ISO-jasje. Certificeren doen we nu al jaren op basis van die PDCA waarbij de best practice er is om vanuit de risico’s uit te kiezen, niet om blind uit te voeren.   Baseline Er is al jaren óók een beweging die daar dwars tegenin gaat, die zogenaamde ‘baselines’baart. Baselines zijn maatregelsets die een basisniveau aan beveiliging moeten opleveren en direct duidelijkheid geven over wat er moet worden gedaan. Een soort bevroren best practices, dus. Bijzondere systemen en processen die meer beveiliging behoeven krijgen extra maatwerkmaatregelen. Dat klink toch goed? Ja, best goed, maar er zijn nadelen, flinke nadelen. Om te beginnen bedenkt iedereen sector zijn eigen baseline, als uitdrukking van de eigenheid. Het heeft in dat geval niets met de inhoud te maken, maar is een poging de eigenheid als verleider te gebruiken om de boel in beweging te krijgen. Zo is er één voor de rijksoverheid (de BIR), voor de gemeenten (de BIG), de waterschappen (ja, de BIWA), voor woningbouwcoöperaties (de BIC) en een voor de Provincies (nee, niet de BIP, maar de Interprovinciale Baseline Informatiebeveiliging, de IBI). En ik mis er vast nog wel een paar. De centrale gedachte is dat binnen sectoren de organisaties risico’s en cultuur delen en daarom een eigen baseline verdienen. Mijn waarneming is dat de verschillen tússen sectoren vaak kleiner zijn dan tussen organisatie bínnen een sector.   Volwassenheid Al die baselines zijn (soms losjes) gebaseerd op de CvI (of nazaten daarvan) en vertonen nogal verschillende niveaus van volwassenheid. Vaak zie je het ontstaansproces erin weerspiegeld: iedere deelnemer in de werkgroep zijn zin of alleen dat waar we het over eens kunnen worden. De BIWA onderscheidt zo’n 280 maatregelen, de IBI 1.906. Dan is er het vraagstuk van het onderhoud. Goedwillende groepen mensen (zoals in elke vereniging getrokken door een paar bevlogen types) bouwen onvermoeibaar een versie 1. De eerst update wil dan ook nog wel lukken, maar dan is de energie er wel uit. Hoe moet het daarna verder, wie pakt het dan op?   Kwaliteitsproces Heb je je baseline al weten te beleggen bij alle uitvoerders in je organisatie, dan komt de vraag hoe je het kwaliteitsproces aan de gang houdt. Het ‘project’ is immers voltooid. Een kwaliteits-‘proces’ biedt een prima antwoord met zijn cyclische benadering, maar dát zit in zo’n baseline nou net niet mee verpakt.. Dan is er ook nog de afstemming met je leveranciers: ga je al die maatregelen stuk voor stuk met ze doornemen? We zijn in een wereld beland waarin we elkaar ISO-certificaten toesturen, of ISAE-rapporten. XL-sheets vol met sector-eigen maatregelen opsturen naar jecloud-suppliers is geen zeker succesrijke strategie. Dat levert een ingewikkeld gesprek of een heel hoge rekening op, geen directe bijdrage aan de veiligheid.   Beoordeling En last but not least is er de vraag van de beoordeling van het resultaat: krijgt iedere sectorale baseline een eigen beoordeling en certificaat? Dat levert allemaal oordelen van heel verschillende vorm en inhoud op, waarmee het slecht communiceren is naar je doelgroep of toezichthouder. We werken ondertussen steeds meer in ketens waar dat wél nodig is. Ik ken ondertussen een paar sectoren waar de baseline niet echt het verschil heeft gemaakt. De baseline heeft eerder geleid tot vragen als: moeten we dat allemaal wel toepassen? En in welke volgorde? Kan het niet wat minder? Dan worden er analyses en grootse plannen (documenten) tegenaan gegooid, wat al snel leidt tot stroperigheid. Na verloop van tijd (soms jaren) is de energie weg en een kans voor meer veiligheid verkeken.   ISO27001 Ondertussen wint de ISO27001 sterk aan reputatie en toepassing in de volle breedte. De certificaten verschaffen klanten en toezichthouders een genormeerd, uniform en dus te vertrouwen oordeel over hoe je organisatie -doorlopend- met informatiebeveiliging bezig is. De ISO-norm wordt ook inhoudelijk steeds volwassener, ook al is er kritiek mogelijk. Bijvoorbeeld dat deze internationale norm ruimte voor verschillende volwassenheidsniveaus toelaat. Het is immers primair een hulpmiddel voor toepassing door organisaties die aan veiligheid willen werken. Aanvullende transparantie over de volwassenheid van de maatregel-implementaties kan dat probleem verhelpen.   Aanvullen staat vrij Een verwijt dat ook gemaakt wordt is dat de IT-ontwikkelingen (met name bij cloudtoepassingen) sneller gaan dan deze best practice. Dat is waar, maar niets weerhoudt je ervan om een andere of aanvullende best practice te gebruiken om die tekortkoming te repareren, zoals de CloudControlsMatrix of de ENISA-checklist. Kortom de ISO27001 is het beste instrument voor interne en externe doelen. Dus wég met de baseline en húp met de ISO27001. Werk aan een volwassen beheersing op basis van je eigen risicobeoordeling, organisatiestijl en -cultuur en vraag dat ook van je leveranciers.    Er is hoop! Aan het begin van de zomer is bekend geworden dat in overheidsland (onder aanvoering van BZK) gewerkt gaat worden aan de BIO, de Baseline Informatiebeveiliging Overheid.. maar pas nádat eerst een update van de BIR is gedaan. Wordt de BIO nóg een baseline zult u zeggen, of is het doel opruimen van de wildgroei en streven naar uniformiteit? Het lijkt erop dat mijn bede -een beetje- verhoord wordt en de ISO27001+2 écht de kern gaan vormen. Er zal een ‘dun laagje’ omheen geschreven worden, verschillend per overheidslaag.. Maar of het PDCA-denken écht de kern wordt? We zullen zien, waar het toe leidt, hoopgevend is het zeker. Hoop hebben we ook nodig, want werken met baselines…. brrrrrr! Wég met de baseline!Door: André Beerten. Staat informatiebeveiliging ook bij uw organisatie hoog op de agenda? Bekijk hier hoe u eenvoudig grip krijgt op de beschikbaarheid, integriteit en vertrouwelijkheid van informatiestromen

Inhoud Terwijl veel organisaties momenteel nog bezig zijn met de Meldplicht Datalekken, die 1 Januari 2016 van start is gegaan, komt er alweer een nieuwe wet om de hoek kijken. In mei 2018 gaat de nieuwe Europese privacywetgeving in Nederland van kracht. Het niet naleven van deze wetgeving kan hoge sancties tot gevolg hebben.   Verwerking persoonsgegevens General Data Protection Regulation (GDPR) geldt voor alle organisaties die persoonsgegevens verwerken. Het ziet er naar uit dat de Europese wetgeving doorwerkt in de Nederlandse ‘Meldplicht Datalekken’ en de ‘Wet Bescherming Persoonsgegevens’.  Bij deze wetgeving gaat het niet alleen om bescherming van digitale gegevens, maar ook gegevens op papier. Opvallend is dat deze wetgeving veel middelgrote bedrijven raakt en ook verschillende lagen binnen een organisatie. De boetes liggen in de Europese privacywetgeving een stuk hoger. Dit kan zelfs 4% van de jaarlijkse wereldwijde omzet bedragen. Daarnaast kan geconcludeerd worden dat er inhoudelijk voor Nederland weinig gaat veranderen. Door de ‘Meldplicht Datalekken’ is Nederland goed voorbereid op de Europese wetgeving.    Interne organisatie Uit onderzoek blijkt dat 70% van alle beveiligingsincidenten worden veroorzaak vanuit de eigen interne organisatie. Dit komt doordat medewerkers niet bewust zijn van bepaalde richtlijnen, procedures en instructies die binnen de organisatie gevolgd moeten worden. Hierdoor worden risico’s vaak niet tijdig onderkent, door gebrek aan kennis en ervaring. Dit blijkt ook uit de uitzending van Zembla op 30 november 2016 waarin wordt ontdekt dat privacygevoelige informatie van particulieren maar ook zeer vertrouwelijke informatie over organisaties (als terrorismebestrijdingsorganisatie Europool) voor het grijpen ligt. In deze uitzending komt duidelijk naar voren dat vrijwel iedere organisatie te hacken is. Volgens de Europese Commissie zijn het aantal cyberincidenten vorig jaar gestegen met 38%. Zelfs 80% van alle Europese bedrijven heeft wel eens problemen met cybercriminaliteit ondervonden. Dit geeft aan dat de situatie zorgelijk is.    Webwinkels en digitale beveiliging Wanneer je als handelsorganisatie beschikt over vertrouwelijke bedrijfsinformatie evenals persoonlijke klantinformatie, zoals NAW-, bestel- en betalingsgegevens speelt informatiebeveiliging een grote rol. Uit onderzoek naar de veiligheid van webwinkels (consumentenbond, 2015) is gebleken dat tweederde van de top 100 webwinkels hun digitale beveiliging niet op orde heeft. In 38% van de onderzochte webwinkels ging het om een ernstige veiligheidslek, waarmee gegevens zoals e-mailadressen, bestelinformatie of wachtwoorden van consumenten werd bemachtigd.  Daarnaast hebben vele organisaties kennis over de klant op het gebied van koopgedrag en smaakvoorkeuren. Denk bijvoorbeeld aan de informatie die retailers bezitten door middel van een bonus- of klantenkaart over de smaakvoorkeuren en het koopgedrag van een klant.   Onveilige kanalen Ook maken medewerkers gebruik van redelijk onveilige kanalen als internet en e-mail. Dergelijke kanalen zijn zeer gevoelig voor digitale criminaliteit als phishing, hacking, et cetera. Medewerkers behoren beschermd te worden tegen deze digitale dreigingen van buitenaf. Wanneer gevoelige informatie zoals persoonsgegevens niet goed beveiligd zijn, kan dat leiden tot datalekken. Of een identiteitshack, waarbij iemands naam, profielfoto en andere persoonlijke informatie gekopieerd en misbruikt op internet. Dit kan ernstige gevolgen hebben. Het doel van de wetgeving is ervoor te zorgen dat ondernemers zorgvuldiger omgaan met deze persoonsgegevens en dat de beveiliging hiervan op orde is om uiteindelijk te voorkomen dat privacygevoelige informatie op straat belandt. Naast de enorme boetes die je kunt ontvangen bij het niet naleven van deze wetgeving, kan een datalek grote schade aanrichten aan het imago of reputatie van organisaties. De kosten om deze schade te herstellen kunnen daarbij aanzienlijk oplopen.   Veilig omgaan met informatie Maar hoe zorgt u er voor dat alle mensen in de organisatie weten hoe zij omgaan met het beveiligen van hun informatie? Met het Information Security Management System (ISMS) framework van Mavim kunnen processen, procedures, risico’s en wet- en regelgeving in kaart worden gebracht. Aan de hand van de gedefinieerde risico’s en bijhorende maatregelen wordt inzicht gegeven in de mate van risicobeheersing. Beveiligingsrisico’s kunnen eenvoudig geïdentificeerd worden. Het ISMS framework zorgt ervoor aantoonbaar in control te zijn conform het GDPR, ‘Meldplicht Datalekken’ en de ‘Wet Bescherming Persoonsgegevens’. het zorgt tevens voor kostenbesparingen als gevolg van verbeterde operationele controle en verliesbeheersing. 2018 lijkt misschien nog ver weg, maar het implementeren van informatiebeveiliging binnen uw organisatie is een zorgvuldig proces dat de nodige tijd vergt. Begin dus op tijd! Meld je dan nu aan voor de webinar ‘Expert College Informatiebeveiliging’ dat 17 januari 2017 vindt plaats. Of download de factsheet over het ‘ISMS framework’. Auteur: Annick van der NapWordt het voor uw organisatie ook de hoogste tijd om privacygevoelige informatie zorgvuldig te borgen en beveiligen? Zie hier welke stappen u kunt ondernemen in een eerste stap naar privacy compliancy. Benieuwd hoe u de risico’s van datalekken op uw eigen organisatie projecteert? Deze online sessie geeft u handvatten hoe u risico’s in kaart kunt brengen en welke vervolgstappen u kunt nemen.

Inhoud De brede regelgeving van de Europese Commissie over de algemene bescherming van persoonsgegevens (GDPR) zal een sterke impact hebben op bedrijven binnen en buiten Europa. Vanaf 2018 moet elke organisatie die persoonlijke informatie over Europese burgers verzamelt, gebruikt of deelt, kunnen aantonen dat zij voldoet aan deze inmiddels fel omstreden regelgeving. Hieronder vallen ook de gebruikte technieken binnen het model en de infrastructuur van de organisatie, waarmee men de persoonlijke gegevens afschermt voor de buitenwereld. Het beschermen van persoonsgegevens moet op alle niveaus geïntegreerd zijn binnen de organisatiestructuur van de onderneming.    De beveiliging van een enorme hoeveelheid data In de Cloud wereld, die 24 uur per dag en zeven dagen per week doorgaat, zien gebruikers hun persoonlijke informatie als een levend systeem. Wat de meeste gebruikers echter niet beseffen is dat hun persoonlijke data intensief wordt gekopieerd, getest en beoordeeld door de organisaties die deze data in beheer hebben. Op deze wijze beoordelen ondernemers de persoonlijke gegevens op integriteit en volledigheid. Een dergelijk integriteitsproces biedt de ondernemers de mogelijkheid om bepaalde gegevens, zoals de financiële status, de woonomstandigheden, de burgerlijke staat en het surfgedrag van de gebruikers, te rangschikken. Hierna worden deze gerangschikte gegevens intern gebruikt en vaak aangeboden en benaderd door derden. Zo kunnen kleinere ondernemingen, bijvoorbeeld op basis van een abonnement, gebruik maken van persoonsgegevens door simpel op de site van de aanbieder in te loggen met een gebruikersnaam en een wachtwoord.   Veranderingen in de interne organisatie De nieuwe regelgeving van de Europese Commissie zal dit patroon aanzienlijk doen veranderen. In de nabije toekomst zal elke software-ontwikkelaar zich terdege bewust moeten zijn van zijn verantwoordelijkheden als databasebeheerder. Een probleem hierbij is dat dit concept of denkpatroon voor veel software-ontwikkelaars geheel onbekend is. Vaak ontwikkelen zij applicaties op basis van innovaties en creativiteit waarbij de beveiliging van de gegevens ondergeschikt is. Alhoewel er bij ondernemers enige verantwoordelijkheid bestaat als het gaat om het beheren en het beveiligen van persoonlijke informatie, zal de nieuwe regelgeving deze ondernemers werkelijk aansprakelijk stellen als het gaat om het beveiligen van persoonsgegevens. Ondernemers worden hierdoor gedwongen om flink te investeren in opleiding, training en technologie zodat zij kunnen voldoen aan de eisen en de regelgeving van de Europese commissie. Voor veel bedrijven zal dit betekenen dat zij hun organisatiestructuur volledig moeten aanpassen zodat zij een data-first model kunnen hanteren.   Investering in technologie Op dit moment wordt geschat dat ongeveer 90 procent van de persoonsgegevens wordt bewaard in kopieën. De eerste stap, in het naleven van de regelgeving van de Europese commissie, is het inventariseren van zowel de productieve als de niet-productieve omgeving zodat men weet waar deze data zich bevindt. De stap die hierop volgt is de aanschaf van de technologie die de mogelijkheid biedt om de verspreide data te lokaliseren en te beveiligen. Dit zal tot een noodzakelijke investering leiden in technologieën waarmee men de bestaande gegevens en de latere kopieën kan afschermen en pseudonimiseren. In het geval van een inbreuk op deze persoonlijke data zullen deze investeringskosten echter verbleken ten opzichte van de mogelijke boete van vier procent van de totale omzet van de onderneming.   Conclusie Gezien de steeds toenemende kansen en de ernst van de inbreuk op persoonlijke gegevens is het van groot belang dat ondernemingen duidelijk aangeven dat zij de regelgeving van de Europese commissie naleven en zij zeer zorgvuldig met de persoonlijke gegevens omgaan. Hiervoor zullen deze bedrijven binnen hun totale organisatiestructuur een databeveiligingsstrategie moeten implementeren waarmee men de persoonlijke gegevens maximaal beveiligt zodat het risico voor hun gebruikers minimaal is. Door te pleiten voor de invoering van deze voorzorgsmaatregelen stuurt de Europese commissie aan op een waarborg dat de persoonlijke gegevens beveiligd zijn of onbruikbaar worden gemaakt indien cybercriminelen succesvol inbreuk maken op de bedrijfssystemen. Met deze regelgeving worden ondernemingen beter beschermd tegen de financiële gevolgen en het reputatieverlies als er inbreuk op de persoonlijke gegevens plaatsvindt. De Europese commissie verwacht als tegenprestatie echter wel dat de zakelijke markt gaat investeren in het beschermen van bedrijfsdata en persoonlijke gegevens van de gebruikers.Bron: bitMIND

Inhoud Na vier jaar onderhandelen is er in Europa een nieuwe dataprotectie overeenkomst. In Straatsburg hebben de lidstaten van de EU hun goedkeuring gegeven aan wetgeving voor de verwerking van privégegevens en richtlijnen voor de handhaving van die wet op justitieel niveau. Sinds 1 januari geldt in Nederland de meldplicht datalekken. Daarmee loopt Nederland tamelijk voorop in Europa. Deze week is de Europese variant goedgekeurd door het Europees parlement. De overige Europese lidstaten krijgen nu nog twee jaar de tijd om hun wet- en regelgeving in lijn te brengen met de Europese wetteksten. Voor consumenten betekent de regulering: Het recht om vergeten te worden. Het recht om je gegevens naar een andere dienstverlener over te zetten. Het recht te weten of je gegevens gehackt zijn. Voor organisaties etekent de regulering: De plicht om nadrukkelijk toestemming te vragen van betrokken personen voor het verwerken van privégegevens. De plicht om privacybeleid helder en begrijpelijk uit te leggen. Strenge handhaving en boetes tot 4 procent van de totale internationale jaaromzet bij overtreding. Met name dat laatste is een verschil met de regelgeving die Nederland inmiddels zelf al heeft opgesteld (in Nederland geldt vanaf 1 januari 2016 een boete van maximaal 820.000 euro tegemoet zien voor iedere keer dat een organisatie in gebreke blijft bij de bescherming van privacygevoelige gegevens). Maar de grootste winst zit in het feit dat er nu eindelijk zicht is op een uniform Europees databeschermingsbeleid.Uniform "Door de General Data Protection Regulation wordt goede uniforme databescherming nu een realiteit in de hele EU”, zegt Jan Philipp Albrecht van de Deense Groenen, die deze wetgeving door het Europees Parlement wist te loodsen. “Burgers kunnen nu zelf beslissen welke persoonlijke informatie ze willen delen en voor bedrijven komt er nu ook eindelijk duidelijkheid. Deze nieuwe wet zorgt voor vertrouwen, juridische eenduidigheid en eerlijke concurrentie.”Encryptie Volgens Pieter Lacroix, Managing Director Sophos Nederland, betekent deze wetgeving opnieuw werk aan de winkel voor veel organisaties. Voor zover dat nog niet gebeurd is onder druk van de meldplicht datalekken, zullen bedrijven nu snel moeten nagaan wat de impact van deze regels zal zijn voor hun Europese business. Zijn advies: "Wacht niet tot alle lidstaten hun wetgeving hebben aangepast, maar maak van databescherming een bestuurstaak. Laat je adviseren waar nodig, en zorg dat alle data die in je bedrijf omgaat proactief beschermd wordt, door encryptie toe te passen en alle beveiligingsoplossingen in de organisatie voortdurend up-to-date te houden. En houd er rekening mee dat deze wetgeving geldt voor alle bedrijven die gegevens bewaren over Europese burgers, ongeacht of zo’n bedrijf zelf een Europese basis heeft of niet."  Bron: biplatform.nl

Inhoud De Meldplicht Datalekken, die per 1 januari 2016 inging, is voor veel Nederlandse organisaties een moeilijk dossier. Een privacy officer kan helpen orde op zaken te stellen. De komst van de Meldplicht Datalekken was al lang duidelijk. Toch werden pas begin december de puntjes op de i gezet, toen het College Bescherming Persoonsgegevens (CBP) zijn richtsnoeren na een consultatieronde formaliseerde tot het Beleidskader Meldplicht Datalekken. Enkele weken daarvoor gaf Udo Oelen, hoofd toezicht private sector van het CBP, al tips over maatregelen die organisaties moeten nemen om te voldoen aan hun meldplicht.   Beveilig de persoonsgegevens binnen de organisatie. Zog voor goed incidentenbeheer. Bepaal duidelijk wie in de organisatie datalekken zal beoordelen en eventueel melden bij het CBP. Dat voorkomt dat men “als een kip zonder kop” gaat rondrennen als de nood aan de man is. Denk na over hoe betrokkenen geïnformeerd moeten worden bij een lek. Wat moeten ze weten? Hoe minimaliseert het bedrijf de gevolgen? Denk na over hoe om te gaan met signalen van de buitenwereld over mogelijke datalekken. Hoe reageert het bedrijf in de media? Hoe zorgt het bedrijf voor responsible disclosure? Maak en controleer afspraken met de partijen die voor de organisatie gegevens bewerken. Wees er zeker van dat deze partijen tijdig laten weten dat er een lek bij hen is en controleer of zij dat melden bij het CBP. In die afspraken moet follow-up na het afhandelen van het lek geregeld zijn.   Privacy officer aanstellen De persoon uit de derde tip van Oelen die beoordeelt of sprake is van een datalek en dat dan meldt, is in steeds meer organisaties de privacy officer. Vooral grote organisaties hebben al privacy officers in dienst, met de komst van de meldplicht stellen steeds meer bedrijven iemand met deze functie aan. Rachel Marbus vervult die rol bij de NS. Zij gaf tijdens het Privacy Congres praktische aanwijzingen voor het privacyproof maken van een organisatie. "Voordat een bedrijf bekijkt of het kan voldoen aan de wet, moet het bepalen welk bedrijf het wil zijn; wat zijn de privacywaarden? Het zou zo kunnen zijn dat het bedrijf makkelijk kan voldoen aan de wet, maar dat dit tegen de eigen waarden in gaat." NS heeft het al snel zwaar in de publieke opinie, vindt Marbus. Als er maar iets misgaat, wordt dat snel breed uitgemeten in de media. "De koppen zijn heel snel negatief over de NS. Positieve zaken als een prijs die we wonnen voor ons privacybeleid zijn vervolgens bijna nergens te lezen." Waarmee ze maar wil zeggen dat een bedrijf goed moet realiseren hoe het publiek denkt over het bedrijf in combinatie met privacy. "Houd de eigen waarden op het gebied van ethiek en privacy goed in het oog. NS is in dit opzicht zeer risicomijdend. We blijven ruim binnen de regels van de wet. En na de problemen rond de aanbesteding in Limburg is zelfs sprake van een zerotolerancebeleid. Voor mij is dat makkelijk. Nee zeggen, is nu geen enkel probleem. Al mist NS daardoor wel kansen en innovaties." De NS bestaat uit verschillende zelfstandig opererende bedrijfsonderdelen. De directie van de NS Groep NV is de verantwoordelijke voor de Wet bescherming persoonsgegevens. Elk bedrijfsonderdeel heeft één of meer information security officers (ISO's). Er is bovendien een chief information security officer (CISO). Marbus is de privacy officer die namens de directie zorgt voor privacy compliancy en werkt daarbij nauw samen met de CISO. Zij is bovendien het enige aanspreekpunt voor het CBP. Dat voorkomt misverstanden. "Er wordt vanuit de NS 'maar met één stem met het CBP gesproken. Daarnaast is het voor mij erg makkelijk dat privacy compliancy bij de directie is ondergebracht. Mijn adviezen zijn bindend."   Voorwaarden voor goed beleid Marbus heeft een duidelijk beeld van wat belangrijk is voor een privacy officer om goed te kunnen functioneren. Een privacy officer moet: Het lef én het mandaat hebben om nee te zeggen "Dat mandaat is essentieel. De privacy officer kan een olifantshuid hebben en een rechte rug, maar zonder dat mandaat is deze functie een farce. Dan is jouw nee geen nee en betekent Jouw stem níets." Creativiteit en flexibiliteit hebben "Nadat de privacy officer nee heeft gezegd moet de privacy officer in staat zijn alsnog mee te denken naar een ja als iets op een andere manier gedaan kan worden." Ogen en oren in het bedrijf hebben "De privacy officer kan dit niet alleen doen. Zorg voor privacy ambassadeurs in de organisatie. Dat zijn de ISO's, maar weet ook wie de mensen zijn op de werkvloer die hierbij goed kunnen helpen." Regelmatig audits doen 'Audits leggen bloot wat mis kan gaan en ze bieden een goedkeurend stempel dat de privacy officer bij onderhandelingen een sterkere positie geeft." Een privacy spreekuur houden  "Een keer per maand mag iedereen bij mij binnenlopen met een vraag over prívacy. Ik krijg machinisten binnen, mensen met heel wilde plannen die nog niet op papier staan. Daardoor kan ik al vroeg met ze meedenken. Dat helpt nieuwe producten privacy vriendelijk te maken." Marbus waarschuwt dat ondernemingen binnen de grenzen van de wet moeten blijven. "Want het CBP zit er bovenop, zeker bij grote organisaties." Toch is het CBP geen boeman, zegt ze. “Ze consulteren betrokken partijen, organiseren rondetafelgesprekken, schuiven aan bij expertgroepen. Ze willen horen welke problemen wij als grote bedrijven hebben en ze willen horen wat wij van het CBP vinden. Ze denken mee na incidenten zodat het probleem goed opgelost kan worden."Auteur: Tanja de Vrede, Automatiseringsgids

Inhoud Vaak wordt een privacy statement pas achteraf toegevoegd aan een nieuw IT-systeem of een beoogde verwerking van persoonsgegevens. Regelgeving en actievere toezichtsorganen vereisen een proactieve aanpak van privacy compliance: privacy by design.   De regelgeving rond persoonsgegevens beschermt de rechten van individuele personen ten aanzien van het verzamelen, gebruiken en verstrekken van persoonsgegevens. Dit valt allemaal onder de noemer ‘verwerking van persoonsgegevens’. In de praktijk wordt dit vaak gezien als het sluitstuk van een proces waarbij persoonsgegevens worden verwerkt. Dat kan van alles zijn: een nieuwe commerciële actie, het aanbieden van een klanten- of voordeelkaart of het centraliseren van werknemersgegevens binnen een multinational. Vaak wordt pas achteraf een privacystatement opgesteld, waarin wordt opgenomen voor welke doeleinden persoonsgegevens worden verwerkt, welke gegevens het betreft en aan wie die gegevens ter beschikking worden gesteld. Daarin wordt vaak (en logischerwijs) alleen de verwerking van persoonsgegevens beschreven zoals die in het proces is geïmplementeerd. Er is weinig ruimte voor aanpassing van dat proces om beter aansluiting te vinden bij (de geest van) de regelgeving rond bescherming van persoonsgegevens. Bovendien heeft de betrokkene (degene van wie de persoonsgegevens worden verwerkt) vaak geen keuze: hij of zij moet instemmen met de voorwaarden, anders kan geen gebruikgemaakt worden van bijvoorbeeld de klantenkaart.   Toekomstige regelgeving Toekomstige privacyregelgeving vereist echter een geheel andere aanpak. De voorgestelde nieuwe EU-privacyverordening gaat uit van het principe van privacy by design. De bescherming van persoonsgegevens moet daarbij al bij het ontwikkelen van een nieuw IT-systeem of een nieuw product waarbij persoonsgegevens worden verwerkt, in ogenschouw worden genomen. Dit dwingt organisaties (bedrijven, overheden en andere instellingen) om privacystandaarden en controlemechanismen voor betrokkenen in te bouwen in de kern van het nieuwe systeem of proces. Al bij de analyse van de wijze waarop een nieuw systeem wordt opgezet en ingericht, moet de bescherming van persoonsgegevens een belangrijke rol spelen. Daarbij kan worden gedacht aan dataminimalisatie (zo min mogelijk persoonsgegevens verzamelen), pseudonimisering of anonimisering van persoonsgegevens, het scheiden van persoonsgegevens in verschillende bestanden en het sneller verwijderen van (delen van) verzamelde persoonsgegevens gedurende het verwerkingsproces.   Hoe privacy by design implementeren? Het implementeren van privacy by design begint bij het creëren van bewustwording en kennis van privacyregelgeving bij IT-ontwikkelaars en marketing- en business development-teams binnen organisaties. Op die manier kan de bescherming van persoonsgegevens vanaf de start worden meegenomen bij het opzetten van het systeem of product. Dataminimalisatie en bescherming van verzamelde persoonsgegevens vormen dan een integraal onderdeel van het systeem of product en zijn standaard ingeschakeld. Betrokkenen hoeven geen actie te ondernemen om de bescherming van persoonsgegevens te activeren.   Voordelen van privacy by design De voordelen van privacy by design worden in toenemende mate erkend. Recentelijk hebben privacytoezichthouders van over de hele wereld opgeroepen om privacy by design toe te passen bij big data-verwerkingen. Privacy by design kan daarnaast kostenvoordelen meebrengen, doordat minder gegevens worden verwerkt en niet achteraf aanpassingen hoeven te worden gedaan aan een al ontwikkeld systeem of product. Ook vermindert privacy by design het risico op datalekken (verlies of ongeautoriseerde toegang tot persoonsgegevens). Dat levert ook voordelen op vanuit het oogpunt van reputatiemanagement. Een organisatie die robuuste privacycompliance-processen implementeert, zal waarschijnlijk het vertrouwen in de organisatie en producten bij zowel toezichthouders als het publiek zien groeien.   Waarom privacy by design omarmen? Overheden en privacytoezichthouders van over de hele wereld hebben steeds meer aandacht voor de bescherming van persoonsgegevens. Dit is vaak gedreven door de wens om consumenten beter te beschermen. Ook de opkomst van big data en het internet der dingenleveren een bijdrage. Zeker binnen de EU is er grote aandacht voor de versterking van de bescherming van persoonsgegevens. Het huidige concept van de EU-privacyverordening benoemt expliciet privacy by design als een van de belangrijkste manieren om persoonsgegevens te beschermen en daarbij te voldoen aan de eisen van de verordening.   Dreigende reputatieschade De beoogde sanctie op niet-nakoming van de verordening zijn fors: een boete bedraagt maximaal honderd miljoen euro, of vijf procent van de wereldwijde omzet (de hoogste van beide). Daarnaast kan een onderzoek (al dan niet gevolgd door een boete) leiden tot reputatieschade. Privacytoezichthouders worden steeds actiever en werken bovendien steeds meer samen. Recentelijk hebben toezichthouders uit de EU bijvoorbeeld een gecoördineerde cookie sweep gehouden, waarbij websites zijn gecontroleerd op compliance met de cookiewetgeving. Ook vanuit de politiek is er meer aandacht voor de bescherming van persoonsgegevens.   Vertrouwen consument vergroten Organisaties doen er goed aan om te anticiperen op de aanstaande wijzigingen in de regelgeving op het gebied van de bescherming van persoonsgegevens. Door privacy by design te omarmen, kunnen bedrijven niet alleen sancties voorkomen, zij kunnen ook het vertrouwen van de consument vergroten door hier open en transparant over te communiceren.Auteurs: Marc Elshof & Barry BreedijkHoe goed zijn uw persoonsgegevens beschermd? En wat zijn volgens u de belangrijkste risico's en grootste gevaren van een gebrekkige persoonsbescherming?

Inhoud Nederlandse gemeenten moeten aan de slag met het risicobewustzijn van ambtenaren en bestuurders rond informatiebeveiliging, zegt BDO Accountants & Adviseurs in het rapport Informatiebeveiliging Nederlandse gemeenten 2016. Bij de beveiliging van digitale informatie volgen de meeste gemeenten de letter van de wet, maar daar is dan ook alles mee gezegd. De meeste risico’s schuilen in de menselijke factor. Nederlandse gemeenten hebben overigens betrekkelijk vaak een veiligheidsfunctionaris in dienst, maar deze heeft vaak niet de juiste papieren. De uitkomsten zijn volgens de opstellers van het rapport zorgwekkend nu gemeenten steeds meer taken van de landelijke overheid overnemen. Steeds meer gevoelige gegevens van burgers worden daardoor bij gemeenten opgeslagen. Ook groeit het aantal samenwerkingen waarbinnen persoonsgegevens en privacygevoelige data onderling worden uitgewisseld. Denk aan medische dossiers die gemeenten en zorginstellingen met elkaar delen.   Ketenpartners “Het is de vraag hoe ver je daar als gemeente mee wilt gaan, want je neemt een risico”, zegt Frank van der Lee, partner en specialist op het gebied van de publieke sector bij BDO en een van de samenstellers van het rapport. “Gemeenten zouden er ook voor kunnen kiezen kaders op te stellen en daarbinnen zorginstellingen of andere ketenpartners, zoals woningcorporaties, te vertrouwen. Dan hoeft dit soort gevoelige data minder vaak gedeeld te worden.” Gemeenten moeten beseffen dat informatiebeveiliging verder gaat dan de IT-afdeling. “De medewerker die een usb-stick naar huis neemt en onderweg verliest, is haast een klassiek voorbeeld geworden,” zegt Robert van Vianen, partner en specialist cybersecurity bij BDO. “De meeste datalekken zijn het gevolg van menselijk handelen. Informatiebeveiliging is een mensenkwestie, geen systeemkwestie. Dat besef ontbreekt in veel gevallen. De meeste gemeenten beperken de databeveiliging tot maatregelen die de IT-afdeling neemt.”   Datalekken bij driekwart gemeenten Uit een peiling van BDO blijkt dat driekwart van de Nederlandse gemeenten de afgelopen twee jaar minimaal één keer te maken heeft gehad met een datalek. Bij 42% ging dit om privacygevoelige informatie. Zo’n 14% kwam daarachter via de media. In het kader van de Meldplicht Datalekken raadt BDO gemeenten aan een vaste commissie aan te stellen die snel kan bepalen of de Autoriteit Persoonsgegevens ingelicht moet worden bij een datalek. Zo worden boetes voorkomen en worden burgers tijdig op de hoogte gesteld. Nederlandse gemeenten hebben volgens Van Vianen nog veel werk op het gebied van databeheer te verzetten. “Velen kennen de nieuwe en aankomende wetgeving niet goed genoeg, laten data wegsijpelen en nemen nog onvoldoende maatregelen. In een gemeenteraad zal het ook niet snel gaan over het vrijmaken van budget voor een informatiebeveiligingsprogramma om het bewustzijn te vergroten. Databeheer wordt teveel gezien als een ambtelijke aangelegenheid, en dan ook nog eens beperkt tot de IT-afdeling.”Bron: IT ExecutiveWeten hoe u deze risico’s rond informatiebeveiliging nu op uw eigen organisatie projecteert? Deze online sessie geeft u handvatten hoe u risico’s in kaart kunt brengen en welke vervolgstappen u kunt nemen. Van risico analyse tot awareness.

Inhoud Bedrijven hebben steeds vaker te maken met cyberdreiging, bedrijfsspionage en -sabotage. Security-teams zijn zich hiervan bewust en richten zich op het beperken van de impact door er bijvoorbeeld voor te zorgen dat de aanvallers het beoogde doel niet bereiken. Maar hoe kan een security-team nog succesvol zijn in een tijdperk waarin cyberaanvallen aan de orde van de dag zijn? Is het mogelijk om daar een plan voor te ontwikkelen of blijven we achter de feiten aanlopen? Welke tools en technologie zijn beschikbaar die nodig zijn om succes te boeken? En hoe kan de beveiliging verbeteren en daadwerkelijk waarde leveren voor het bedrijf? RSA, de security-divisie van EMC, heeft een rapport gepubliceerd dat inzicht geeft in de grote verschuiving in de wereld van informatiebeveiliging. De Security for Business Innovation Council (SBIC) pleit enerzijds voor drie belangrijke focusgebieden waarop bedrijven moeten focussen. Daarnaast bevat het rapport een reeks aanbevelingen voor sterkere bescherming tegen dreiging wat tevens ten goede komt aan de productiviteit van de organisatie. Security-specialisten De SBIC bestaat uit een groep security-specialisten van de duizend grootste bedrijven ter wereld. Deze bespreken belangrijke security-vraagstukken en onderzoeken hoe het gebruik van informatiebeveiliging ingezet kan worden om bedreigingen aan te pakken en innovatie te stimuleren. Om de beveiliging te versterken, benoemt het SBIC drie strategische gebieden waarin bedrijven moeten investeren: weerstand tegen cyberdreigingen, optimalisatie gebruikerservaring en cloud-security. Het SBIC concludeert dat nieuwe technologieën niet snel genoeg worden ontwikkeld en geïmplementeerd. Security-teams zijn nog te veel gericht op het beperken van de impact in plaats van te focussen op nieuwe technologie om makkelijker aanvallen te detecteren en te reageren. Gebaseerd op dit advies geeft het council drie concrete aanbevelingen om bedrijven te helpen nieuwe technologieën succesvol toe te passen en de investeringen in security te maximaliseren:1. Kijk ten minste drie jaar vooruit Door het gebruik van SWOT-analyses, afgestemd met IT en de business, en accountants erbij te betrekken, creëert u een Big Data-strategie voor de hele organisatie. Hierdoor kunnen organisaties plannen maken en bepalen welke security-maatregelen genomen moeten worden om bescherming te bieden tegen een dynamisch cyberlandschap.2. Het bereiken van een groter geheel door integratie De investering in security-technologie betaalt zich vaak pas echt uit bij het aansluiten en consolideren van informatie uit verschillende toepassingen. Technologieën die nu beschikbaar zijn, maken het makkelijker om systemen te integreren zoals data analyse, security intelligence en GRC-platformen.3. Meer waarde realiseren door vastgelegde ontwikkelingen Security-teams die bekend zijn met de valkuilen van veranderingen in technologie, financiële tekortkomingen en het falen van nieuwe producten, adviseren duidelijk afgesproken benaderingen bij de implementatie van nieuwe technologie om proactief de risico’s te kunnen beheren.Bron: DatacenteredHoe succesvol is uw security-team in dit tijdperk waarin cyberaanvallen aan de orde van de dag zijn en welke concrete aanbevelingen heeft u?

Inhoud De Europese Privacywetgeving, in Nederland officieel bekend als de Algemene Verordening Gegevensbescherming (AVG), is op 14 april goedgekeurd door het Europees Parlement. Maar wat betekent het precies voor Nederlandse woningcorporaties? CorporatieGids.nl ging in gesprek met Rani Honcoop, Juriste en Business Consultant bij Audittrail, over wat corporaties moeten doen om te voldoen aan deze wet. “Wanneer corporaties tot dusver weinig aandacht hebben geschonken aan de bescherming van persoonsgegevens, staat hen een flinke klus te wachten.” “Tot 13 april was de Europese richtlijn uit 1995 nog van kracht,” begint Rani. “Die is in 2001 omgezet naar de Wet bescherming persoonsgegevens (Wbp). Maar deze richtlijn was toe aan vervanging, vanwege bijvoorbeeld snelle technologische veranderingen, het bevorderen van uniforme gegevensbeschermingsregels binnen de EU en het versterken van rechten van individuen. Dat moet gebeuren met de Algemene Verordening Gegevensbescherming, ook wel de General Data Protection Regulation (GDPR) in het Engels.”    Twee jaar Rani geeft aan dat de wet in de lente van 2016 in werking zal treden, twintig dagen na publicatie in het Staatsblad (datum publicatie nog onbekend). Corporaties hebben vervolgens twee jaar om de regels te implementeren. “Dat klinkt lang, maar wanneer corporaties nog niet veel tijd aan de bescherming van persoonsgegevens hebben besteed, kan dat erg veel werk zijn. De Algemene Verordening Gegevensbescherming komt op veel punten overeen met de aangepaste Wet bescherming persoonsgegevens die op 1 januari 2016 in werking trad. Maar dat betekent niet dat een corporatie stil kan zitten. Nieuwe regels gaan bijvoorbeeld over hoe bedrijfsprocessen worden ingericht, hoe deze processen omgaan met persoonsgegevens en wat de rechten van betrokkenen zijn.” “In de praktijk betekent dat onder andere de documentatie over de verwerking van persoonsgegevens verplicht is. Ook moeten corporaties privacyaspecten meenemen bij de ontwikkeling van nieuwe diensten, processen of systemen, krijgen betrokkenen de mogelijkheid een digitale kopie van hun persoonsgegevens aan te vragen en wordt de onafhankelijkheid van nationale toezichthouders vergroot. De aanstelling van een Data Protection Officer (de Engelse benaming voor de Functionaris voor de Gegevensbescherming) is voor corporaties geen verplichting. Desalniettemin raad ik corporaties wel sterk aan om een Privacy Officer aan te stellen vanwege de maatschappelijke en wettelijke veranderingen van dit onderwerp: privacy wordt nu eenmaal belangrijker gevonden dan voorheen.”   Meer inzicht en controle Door de nieuwe wetgeving moeten corporaties meer inzicht en controle krijgen over de persoonsgegevens binnen hun organisatie. “Het aanstellen van een Privacy Officer levert een bijdrage aan het overkoepelende toezicht van de privacyaspecten en het privacybeleid. Hiermee zal privacy een onderdeel worden van de organisatiecultuur.”   Hoge boetes Wanneer corporaties de eerdergenoemde regels niet op de juiste manier naleven, kan hen grote boetes worden opgelegd. De boetes van de Algemene Verordening Gegevensbescherming kunnen oplopen tot twintig miljoen euro, of vier procent van de wereldwijde jaaromzet. Hoger dan de 8,2 miljoen euro boete bij het niet naleven van de Wet bescherming persoonsgegevens. “Toch zal in geval van overtreding vaak eerst een bindende aanwijzing worden gegeven, voordat er wordt overgegaan tot het opleggen van een boete. De overtreder krijgt dan de mogelijkheid om binnen een gestelde termijn hieraan te voldoen.”   Grote inhaalslag Het niet naleven van de nieuwe Europese Privacywet is volgens Rani vooral iets dat onbewust gebeurt. “Bewerkersovereenkomsten en recht op inzage zijn voorbeelden van regels die al sinds 2001 geïmplementeerd hadden moeten worden. We krijgen vaak de vraag van klanten of dit iets nieuws is. Het is niet een kwestie van niet willen, maar een kwestie van niet weten. Omdat er nu veel aandacht is voor privacy gaan er bij corporaties belletjes rinkelen. Maar omdat dit al in 2001 had gemoeten, hebben corporaties een grote inhaalslag in een korte periode voor de boeg. Daarnaast zijn financiële middelen beperkt, en met de eerdergenoemde boetes in het achterhoofd is dit voor corporaties het omslagpunt om te investeren in privacy.” Autoriteit Persoonsgegevens (AP), toezichthouder van zowel de Wbp als de AVG, heeft daarnaast met haar agenda voor 2016 bekendgemaakt extra te letten op de beveiliging van persoonsgegevens. Volgens Rani betekent dit dat ernstige datalekken aanleiding kunnen zijn voor een extra controle. “Hierdoor kan een corporatie in een negatief daglicht komen te staan. Aan de andere kant; een incident betekent niet altijd dat een corporatie fout heeft gehandeld of nalatig is geweest. Er moet sprake zijn van een adequate beveiliging, en vanwege die open definitie is de inrichting een lastige opgave. Wat heeft mijn organisatie op dit moment nodig, en welke maatregelen dienen wij te implementeren?”   Ondersteuning Rani vertelt dat Audittrail corporaties helpt om zich voor te bereiden op de nieuwe wet. “Bijvoorbeeld met een nulmeting op de organisatie. Deze toont de stand van zaken met betrekking tot privacy, en laat zien hoe een corporatie zichzelf kan verbeteren. Indien de eerste stappen al zijn gezet, kunnen wij door middel van ons Privacy Update Pakket bepaalde privacyonderwerpen adviseren. Denk hierbij aan het opstellen van een doelbestemmingenlijst en het trainen of ondersteunen van de Privacy Officer. Zo kan een corporatie zich optimaal voorbereiden op de nabije komst van de AVG.”In samenwerking met Mavim heeft Audittrail het ISMS framework ontwikkeld. Lees hier meer over de voordelen van het ISMS framework of download de factsheet.