GRC

Inhoud Organisaties zijn de laatste jaren en masse bezig geweest met het aanpakken van privacy en informatiebeveiliging. Maar waar het verbeteren van deze thema’s tijdens een project vaak wel lukt, is het borgen van de aanpassingen in de organisatie lastiger. Hoe zorg je ervoor dat ook na het traject privacy en informatiebeveiliging de aandacht krijgen die ze verdienen? Om organisaties daarbij te helpen kwam Audittrail met het Compliance Management Framework en wij spraken daarover met Business Developer Ralph Drijver. Het antwoord op de vraag ‘hoe je moet omgaan met thema’s als privacy en informatiebeveiliging’ is een lastige voor organisaties, ziet Ralph in de praktijk: “We horen vaak dat er van alles geprobeerd is maar dat thema’s niet lijken te landen bij medewerkers. En dat is wel te verklaren. Organisaties hebben privacy en informatiebeveiliging opgepakt als project met een beperkte groep mensen. Er is veel tijd en moeite gedaan om de basis op orde te krijgen, en daarna is overgegaan tot de orde van de dag. Een projectmatige aanpak leidt echter tot beperkte zichtbaarheid en betrokkenheid, en draagt niet bij aan een organisatie die volwassener of professioneler te werk gaat. De grote uitdaging is dan ook; hoe kun je de transformatie maken van projectmatig naar programmatisch werken en hiermee het eigenaarschap en verantwoordelijkheid van de thema’s beleggen bij die mensen die deze ook horen te dragen.”   Grote administratie Een bijkomstigheid bij de wens om te voldoen aan privacywetten en informatiebeveiligingskaders is een grotere administratie. Ralph: “In bijvoorbeeld een verwerkingsregister ben je verplicht vast te leggen wat je doet met de data binnen jouw processen, wie iets mag doen met welke gegevens, welke applicatie toegang heeft tot welke data, etc. Feitelijk ieder onderdeel in de organisatie wordt geraakt en heeft verantwoordelijkheden. Hoe borg je dit in mensen, rollen, processen of systemen zonder de controle te verliezen? In de praktijk betekent dit dat het bijhouden en actueel houden van informatie tijd kost op verschillende niveaus en binnen verschillende bedrijfsonderdelen, het voorbereiden van een audit heel veel tijd kost wanneer de basisinformatie niet in orde is en de audit zelf ook veel tijd in beslag neemt omdat er teveel onduidelijkheden of omdat informatie niet direct voorhanden is. Dat zijn uiteindelijk allemaal verborgen kosten.”   Koers en ambitie Bij het nemen van de volgende stap rond het onder controle krijgen van compliance én dit naar een volgend niveau te tillen, is allereerst een goede koers en ambitie essentieel. Ralph: “Het begint allemaal bij het management. Zodra vanaf bovenaf een koers wordt bepaald én een ambitie wordt geformuleerd voor de komende drie tot vijf jaar, kun je compliance management verder inrichten en daar de juiste tools voor kiezen.”   Handvatten aanreiken “Daarnaast is het belangrijk dat organisaties de handvatten aangereikt krijgen om met de geleerde lessen uit een project aan de slag te gaan. Nu wordt vaak nog bij het einde van een project een USB-stick, OneDrive-folder of ordners met papier achtergelaten waarmee de klant verder kan gaan. Alleen gebeurt dit vaak niet. Dat kun je ook wel kapitaalvernietiging noemen. Consultancybedrijven zullen zich daarom moeten onderscheiden door het toepassen van duurzame en toekomstbestendige levering bij klanten.”   Compliance Management Framework Om organisaties wel een handvat te geven, levert Audittrail het Compliance Management Framework (CMF). “Dit is een best practice instrument om alle losse en relevante informatie omtrent informatiebeveiliging en privacy op een pragmatische en gestructureerde wijze vast te leggen in een database. Zo worden resultaten van het ‘normale’ inhoudelijke advieswerk geborgd in software voor de organisatie. Daardoor wordt onder andere consistentie afgedwongen en eenmalig gebruikte informatie vastgelegd waardoor het binnen de gehele GRC-organisatie te gebruiken is. De eerder beschreven onduidelijkheden en verlies van tijd worden hiermee voorkomen en de organisatie verlaagt de druk op de vele control- en auditmomenten.”   Visie en besluit bij elkaar brengen Omdat binnen het CMF alle informatieonderdelen met elkaar worden verbonden en geanalyseerd, hebben organisaties meer transparantie, inzicht en kansen voor impact en verandermanagement. “Zo kunnen bijvoorbeeld de juiste keuzes op het goede moment genomen worden en worden besluiten beter beargumenteerd. Op die manier is het CMF een instrument dat organisaties in staat stelt visie en besluit beter bij elkaar te brengen. Daarbij is informatie binnen het systeem real-time en direct beschikbaar en te bestuderen vanuit ieder gewenst perspectief of vanuit iedere rol met zijn of haar belangen. Zo kan de organisatie zich richten op continue verbetering.”   Snel inzicht bieden Volgens Ralph kunnen organisaties met het CMF hun PDCA-cyclus ondersteunen. “Neem bijvoorbeeld de registratie en vastlegging van incidenten. Hiervoor heb je beleid nodig (P), de incidenten vinden plaats, worden gemeld, vastgelegd en er kan op geanticipeerd worden door het verantwoordelijke team (D). De uitkomsten bepalen of er aanpassingen gedaan dienen te worden binnen applicaties, autorisaties, verwerkingsregister of een ander onderdeel (C), en daar kan vervolgens naar gehandeld worden (A). Hiervoor is impactmanagement en informatieanalyse nodig, anders kun je niet anticiperen. En dat is precies de kern van het CMF, dat snel inzicht biedt waardoor duidelijke keuzes gemaakt kunnen worden.”   Compliance écht beleggen Het CMF helpt middels de toename aan transparantie eigenaarschap in de lijnorganisatie te beleggen, gaat Ralph verder. “Proceseigenaren en uitvoerende onderdelen van een organisatie willen bezig zijn met klanten. Logisch, want klanten zijn leuk en daarom heeft men de rol gekozen en het bedrijf om te mogen werken. Alles wat erbij komt – zoals privacy en informatiebeveiliging – is afleiding. Dat leidt tot weerstand bij medewerkers. Wanneer eenvoudige informatie duidelijk en makkelijk vindbaar is voor deze personen, zie je het begrip en transparantie toenemen. Mensen zien het dan niet langer als het ‘lastige’ extraatje van die compliance-mensen, maar als iets dat groter en belangrijker is. En dat helpt pas echt om compliance in de organisatie te beleggen.”   Blinde vlekken “De functionaliteiten van het CMF zijn ongelimiteerd als het gaat om rapporten,” sluit Ralph af. “De standaarden zijn ruim gevuld met veel soorten en typen rapportages, templates die minimaal weergeven wát je moet hebben vastgelegd vanuit de wetgeving of norm waar je als organisatie moet of wilt voldoen. De rapportages worden verder gevisualiseerd middels Power-BI. Als iets niet is ingevuld, dan is de informatie niet beschikbaar en moet het worden behandeld. Zo zie je direct wat er nog moet gebeuren en welke informatie mist. Het systeem maakt ‘blinde vlekken’ meedogenloos duidelijk en visueel. Als je compliant wilt zijn is het dus noodzakelijk om deze vlekken aan te vullen of op te nemen in het risicomanagementplan als geaccepteerd risico.”   Audittrail is een audit- en adviesorganisatie op het gebied van security, privacy, GRC en kwaliteit en partner van Mavim. Met zijn team van bevlogen vakspecialisten voeren zij adviesopdrachten, audits uit bij woningcorporaties, zorginstellingen, gemeenten en overheden. Ook verzorgt Audittrail al jaren diverse privacy en securitytrainingen op maat. Wil je contact met Audittrail? Neem dan contact op via koffie@audittrail.nl of 071 – 747 17 17.   Interview is afgenomen door Johan van den Beld van vdBeld Communicatie.   Bron: Audittrail  

Inhoud Meten is weten. Het is een belangrijk onderdeel van iedere verbetercyclus. De Check in Plan Do Check Act, de M uit SMART. Het komt om de hoek kijken bij het opstellen van een stuk bij het jaarverslag, het aanvragen van een budget, het opstellen van een plan van aanpak en de evaluatie van een project. Maar hoe weet je wat je moet meten als het op zaken als privacy of informatiebeveiliging aankomt? In deze blog gaat Audittrail in op het meten van compliance en hoe zij tot deze aanpak van het meten in volwassenheidsniveaus zijn gekomen.   Wat is compliance? Compliance betekent naleving. Dat kan het naleven van wetten en regelgeving zijn, van gedragscodes, van standaarden zoals de ISO, integriteitsnormen of van het intern gekozen beleid. Het meten van compliance is daardoor geen eenvoudige taak. Ga je overtredingen tellen, of hoe vaak het juist goed gaat? Of het aantal maatregelen dat is geïmplementeerd? En spreek je specifieke KPI’s af? Hoe pak je dat aan en hoe weet je wat je niet weet?   Hoe compliant moeten we zijn? Dat is voor juristen een lastige vraag. De wet is de wet en die horen we te kennen en te volgen. Het is alsof je vraagt hoe vaak je door rood mag rijden. Echt een goed idee is het nooit, maar we kunnen ook niet zeggen dat je iedere keer beboet zult worden of een ongeluk zult krijgen. In beveiligingsstandaarden heb je meer ruimte om een eigen keuze te maken op basis van jouw risicobereidheid. Zolang je die afwegingen (in redelijkheid) maakt, ben je dus compliant aan de standaard. Hoewel de wet- en regelgeving en standaarden veelal het nodige papierwerk vereisen, zit naleving vooral in de uitvoering. Een meting op de naleving in processen zal per definitie een momentopname zijn en zoals zo vaak geldt bieden resultaten uit het verleden geen garantie voor de toekomst.   KPI’s Het tellen van het aantal datalekken kan een voor de hand liggende KPI zijn; datalekken zijn concrete gevallen van privacyschendingen en die wil je terugdringen, nietwaar? Een bedrijf zonder datalekken is dus een veilig bedrijf als het op privacy aankomt. Maar wat als datalekken wel voorkomen, maar niet gemeld worden, of niet eens herkend of ontdekt worden? Dan zul je aan bewustwording moeten werken en dan is het een goed teken als er juist een stijging in het aantal (gemelde!) datalekken is. Het vaststellen van KPI’s moet passen bij de stand van zaken en de ambities van de organisatie. Een assessment kan helpen om een logische verzameling KPI’s vast te stellen.   Assessment op volwassenheidsniveaus Door te meten op volwassenheidsniveaus kijken we naar de mate waarin regels in de organisatie, mensen en processen zijn ingebed. Van ad hoc naleving, tot volledig beschreven, geïmplementeerde, bekende en gecontroleerde processen. Hiermee heb je geen 100% garantie op compliance, net zomin als ad hoc opvolging een garantie voor overtredingen is, maar het is een goede indicatie van hoe makkelijk en vanzelfsprekend het naleven voor de organisatie is geworden. De kans op een overtreding als gevolg van onwetendheid, een gebrek aan afspraken of het moeten terugvallen op houtje-touwtje oplossingen is vele malen kleiner binnen een volwassen organisatie. Wat overblijft zijn de overtredingen die veroorzaakt worden door een bewuste overtreding van de regels, uit kwade opzet of een zorgvuldige risico-afweging.   Consequent meten Uiteindelijk is er niet één gouden standaard voor het meten van compliance. Het belangrijkste is dat je een methode kiest die aansluit bij hetgeen de organisatie in beeld wil krijgen en dat je deze consequent toepast. Door de meting met regelmaat, volgens dezelfde aanpak, te herhalen, kun je heel goed de verandering over tijd meten. Gaan we vooruit, staan we stil of lopen we op sommige punten misschien zelfs terug? Dat is waardevolle informatie als je wilt meten welke effecten de inspanningen van de organisatie teweegbrengen. Door alle voorwaarden uit de Algemene verordening gegevensbescherming (AVG) en de informatiebeveiligingsstandaard ISO 27001/2 (en ook de BIC, BIO, etc.) op een rij te zetten en in te delen in volwassenheidsniveaus die volgens onze best practice aansluiten bij de praktijk, krijg je een goed overzicht van waar de organisatie staat en wat er al bereikt is. Op basis daarvan is in één oogopslag te zien welke onderwerpen meer aandacht verdienen en waar juist de processen goed ingebed zijn. Zo stel je gemakkelijk nieuwe ambities en verbeterplannen op, leg je verantwoording af en kun je met recht zeggen dat je weet hoe het met de compliance in de organisatie gesteld is.   Bron: Audittrail   Audittrail heeft in Mavim het Compliance Management Framework (CMF) gebouwd. Hiermee kunnen organisaties hun privacy en informatiebeveiliging compliance management borgen. Lees hier meer over het Compliance Management Framework.      

Inhoud De rol van software in het consulting vak De bewezen waarde van het Compliance Management Framework Zoals je wellicht weet maakt Audittrail al vele jaren gebruik van software om de klanten duurzaam te faciliteren. Audittrail heeft dan ook het Compliance Management Framework (CMF) gebouwd in een op Microsoft gebaseerd software platform, een best practice gebaseerd op basis van 20 jaar ervaring. Dit artikel is bedoeld om duidelijk te maken; Waarom Audittrail als organisatie ervoor kiest om klanten te faciliteren met software Hoe wij dit doen Wat de meerwaarde hiervan is voor jouw organisatie De “oude” manier van werken, continue verandering Verandering wordt steeds meer gezien als een constante en daarmee als een normaal onderdeel van de bedrijfsvoering. Steeds meer organisaties streven echter naar continu verbeteren in plaats van veranderen puur gebaseerd op ingevingen. De ‘zachte’ kant van organisaties krijgt meer en meer aandacht. Gedrag en interactie tussen (groepen) mensen tot en met klant of leverancier bepalen in grote mate het succes van een verandering. De gewenste verandering motiveert zich dan zelf. Er is sturing, een richting, de lijn en de gebruikers gaan aan de slag. Het is de filosofie van scrum en agile. Met eenvoudige hulpmiddelen, een LEAN- mentaliteit en afspraken over de besluitvorming houdt men de vaart erin. Steeds vaker begint men op deze manier ook te werken ook bij projectmanagement en bij innovaties. Consultancybedrijven die hierbij ondersteunen zijn vaak een beetje “vastgeroest” in hun manier van werken. Anticiperen op alle snelle veranderingen die bij klanten vormgegeven worden, is iets wat een soort allergische reactie kan veroorzaken bij consultants. Hoewel consultants vaak graag faciliterend willen zijn aan de klanten en de scope van de opdracht, is de ervaring van klanten ook dat consultants vaak moeite hebben zich aan te passen als de scope van de opdracht flexibel is of aan de cultuur en dynamische werkwijze van de organisatie. Audittrail doet dit anders! Veel bedrijven verwachten van een consultant dat er uiteindelijk een oplevering plaatsvindt en het resultaat van het project wordt gepresenteerd (PowerPoint), berekend wordt (Excel) en beschreven wordt in een document (Word). De consultancybedrijven en consultants voldoen vaak prima aan de opdracht en laten uiteindelijk een USB-stick, folder op OneDrive en drie ordners met papier achter voor de klant om hiermee verder te gaan. Naar onze (bescheiden) mening is deze manier van werken niet meer van deze tijd of duurzaam genoeg. Klanten verwachten meer van een consultant en dit merken ook wij meer en meer. Over een aantal jaren zal de consultancymarkt volgens onderzoeksbureaus, zoals Gartner en Forrester, zich moeten gaan aanpassen aan deze nieuwe realiteit, zich moeten onderscheiden door het toepassen van duurzame en toekomstbestendige levering bij de klanten. Wij zien deze trend al enige jaren bewegen. Audittrail heeft dan ook mét haar experts al vele jaren geïnvesteerd in het borgen van kennis en kunde in softwareproducten zoals onder andere het CMF.   Onze manier van werken Door kennis, kunde en software te combineren en een oplossing te bouwen die écht van waarde is voor een organisatie in diverse domeinen van compliance, is Audittrail in een unieke positie om van meerwaarde te kunnen zijn. Ons team kan naast het “normale” inhoudelijke advieswerk de uitkomsten en resultaten voor jou borgen in het CMF en dus in de software. Door het kernprincipe van voordoen, samendoen en zelf doen te hanteren leveren wij een toekomstbestendige en duurzame oplossing op waar jij als klant de toekomstige veranderingen en vraagstukken zelf kunt borgen. Naast deze manier van werken, dichtbij onze kernwaarden, hebben wij inmiddels op verzoek van klanten ook een servicemodel ontwikkeld waarmee klanten volledig worden ontzorgd; de managed service. Binnen dit bedieningsmodel neemt Audittrail de functionele, technische en inhoudelijke leiding én eigenaarschap over het CMF voor jouw organisatie: een verlengstuk voor jouw compliance organisatie!   De meerwaarde van het CMF Het Compliance Management Framework (CMF) is een vertaling van 20 jaar praktijkervaring door diverse professionals die werken in de vakgebieden informatiebeveiliging, risicomanagement, privacy, legal en governance. Alles wat software in de ogen van deze professionals miste, hebben wij er wél in gebouwd! Daarom is de privacy- en security compliance software van het CMF een echte best practice. Met het CMF ben je in control over je privacy- en securityprogramma. De volledige PDCA- cyclus wordt ondersteund; van het vastleggen en laten redigeren van beleid tot het uitvoeren van assessments en van het afleggen van verantwoording tot het registeren van incidenten en datalekken. Het CMF creëert de mogelijkheid om eigenaarschap in de lijnorganisatie te gaan beleggen. Dit kan bijdragen aan een organisatiecultuur en gedragsverandering waarbij men bewust is van governance en compliance en de mogelijke risico’s en maatregelen die hiermee gepaard gaan. In één tool leg je de verbinding tussen privacy- en informatiebeveiligingsvraagstukken en pas je eenvoudig aanvullende normenkaders toe zoals BIC, BIO, ISO27001/2, NEN7510, NIST, ISAE3402, KWH, of HKZ en wetgeving zoals AVG en CCPA. Het zorgt niet alleen voor de verplichte vastlegging, maar maakt ook alle “blinde vlekken” binnen de organisatie zichtbaar. Kortom, het biedt vanuit de procesinrichting inzicht, overzicht en een handvat om in control te raken en blijven van de huidige status en alle mogelijke of noodzakelijke verbeterpunten. Verder faciliteert het CMF je om beter en effectiever samen te werken. Hierdoor worden rollen met elkaar verbonden op strategisch, tactisch en operationeel niveau. Ook het management wordt hierdoor betrokken bij het formuleren en nog beter begrijpen van doelstellingen, de impact van te maken keuzes en men zal steeds meer een “gevoel” kunnen krijgen bij het vakgebied. En…, de informatie is eenvoudig te delen met collega’s!   Wil je meer informatie over hét ideale instrument voor compliance management? Ga dan naar deze pagina. Of kijk op www.compliancemanagementframework.nl     Auteur: Ralph Drijver, Audittrail  

Inhoud Tijd te kort? Het takenpakket van een Privacy Officer (PO), functionaris gegevensbescherming (FG), Security Officer (SO) of CISO is uitgebreid. Een hoop losse compliance onderdelen komen samen binnen deze ene rol of rollen. In veel gevallen is de rol van Privacy of Security Officer een kwestie van “tikkie, jij bent ‘m” geweest, waarbij een van de bestaande collega’s deze rol erbij heeft gekregen voor 8 uur in de week. Dat leek genoeg in de opzet of projectfase, maar nu compliance meer en meer een vaste plek in de organisatie krijgt, blijkt deze 8 uur bij lange na niet genoeg te zijn. Wanneer wij bij opdrachtgevers vragen wat het grootste struikelblok is om compliance goed voor elkaar te krijgen is tijdsgebrek een veelgehoord antwoord. Zonde, vinden wij! Want compliance is een belangrijk onderdeel van de bedrijfsvoering waar genoeg aandacht aan besteedt moet worden om dit levend en geborgd te houden. Keuzes maken Door chronisch gebrek aan tijd moeten SO’s en PO’s een keuze maken. Wat doen we wel in de 8 uur die we voor compliance hebben, en wat laten we liggen of negeren we? Binnen deze tijd moeten alle datalekken en beveiligingsincidenten conform proces worden gemeld en opgelost. Daarbij moeten DPIA’s worden uitgevoerd, moet dataminimalisatie worden toegepast, naast het toepassen van dataclassificatie en bewaartermijnen. Veel te veel taken voor één dag in de week. Deze opzet beperkt compliance tot een ad-hoc project. Terwijl het doel juist is om compliance uit te laten groeien tot een volwaardig, langetermijnprogramma. Verantwoordelijkheid verschuiven Om weer grip te krijgen op compliance is een verschuiving van de verantwoordelijkheid nodig. Door deze voorzichtig richting proceseigenaren te verschuiven, kunnen zij verantwoordelijk worden voor hun eigen compliance vraagstukken binnen de eigen processen. De PO/SO wordt in dit scenario meer en meer een sparringpartner en adviseur. Proceseigenaren kunnen eigenaarschap en de verantwoordelijkheid krijgen voor het up-to-date houden van het verwerkingsregister voor hun proces, initiëren van DPIA’s bij wijzigingen, implementeren dataminimalisatie, houden bewaartermijnen in het oog en classificeren data aangezien zij het beste zicht hebben op risico’s binnen hun proces. Terug in de regie Door de verantwoordelijkheid voor compliance terug in de organisatie te leggen krijgt de CISO/FG/PO/SO meer ruimte om de rol als adviseur en sparringpartner aan te nemen, zoals het ook hoort. Daarbij komen ook nog overkoepelende taken zoals het onderhouden van bewustwording in de organisatie. Het verschuiven van verantwoordelijkheden naar de proceseigenaren geeft de PO/SO ruimte om de regie te nemen over het compliance programma. Wanneer we de verantwoordelijkheid voor compliance naar proceseigenaren willen verschuiven, zullen we ze hierin moeten faciliteren.   Bron: Audittrail

Inhoud Het probleem rondom databescherming en privacy was tot voorkort een discussie die alleen gevoerd werd door een specifieke groep mensen binnen een organisatie. Tenzij je een IT-consultant of bedrijfsjurist was, was privacy-compliance niet jouw pakkie-an. Hoe kan het dan dat veel organisaties nu wettelijk verplicht zijn om een Data Protection Officer (DPO) aan te nemen? En waarom zijn CEO’s zo geïnteresseerd in het databeschermings- en -privacybeleid van hun organisatie? Niemand neemt het je kwalijk als je denkt dat het hele idee van dataprivacy pas sinds 2018 bestaat, maar als je het vanuit een antropologisch perspectief bekijkt, verlangen mensen al meer dan drieduizend jaar naar privacy. Dat wordt onder andere gedemonstreerd door de opkomst van het gebruik van muren binnenshuis, in het jaar 1500. Het ‘recht op privacy’-concept is wel vrij jong en werd pas in 1984 officieel erkend als internationaal mensenrecht. Zweden was in 1973 het eerste land dat een nationale databeschermingswet in het leven riep. Maar zelfs deze eerste tastbare poging om dataprivacy te reguleren werd aangejaagd door het menselijk verlangen om hun privacy te waarborgen, ditmaal door de opkomst van computers en zorgen over de verwerking en opslag van persoonlijke gegevens. Hoewel dataprivacy dus wel degelijk al eerder speelde, valt niet te ontkennen dat 2018 een keerpunt was. De General Data Protection Regulation (GDPR) mag dan pas twee jaar jong zijn, de impact ervan is flink. Tot op heden heeft deze regelgeving voor bijna 429 miljoen euro aan boetes gezorgd. Dit bedrag herinnert bedrijven die data van Europese burgers verwerken eraan dat er flinke consequenties verbonden zijn aan het niet voldoen aan de dataprivacyregelgeving. Vraag naar DPO’s geëxplodeerd Naast dat het een duidelijker kader biedt voor het omgaan met data, heeft de GDPR ervoor gezorgd dat databescherming en -privacy meer om mensen draait. In plaats van technische standaarden en software-eisen is de regelgeving gebaseerd op fundamentele burgerrechten en hoe mensen binnen een organisatie deze rechten kunnen beschermen. Een van de meest specifieke onderdelen van de GDPR is artikel 37, waarin staat dat bepaalde bedrijven een DPO moeten aanstellen om aan de regelgeving te voldoen. Hierbij gaat het om alle publieke instanties – bedrijven van wie de kernactiviteiten vragen om grootschalige monitoring van individuen of die grootschalige verwerking van strafrechtelijke data omvatten. Hoewel het niet voor elke organisatie verplicht is om een DPO aan te stellen, is dat wel raadzaam als ze hun dataprocessen op orde willen hebben. Volgens het meest recente Veeam Cloud Data Management-rapport geven organisaties uit verschillende sectoren gemiddeld 41 miljoen dollar uit aan technologieën voor het boosten van business intelligence, waardoor DPO’s erg in trek zijn. In 2018, toen de GDPR van kracht werd, waren er in totaal 75.000 (!) vacatures voor DPO’s te vinden. 28.000 daarvan waren voor Europa en de Verenigde Staten. Met name tijdens de transitieperiode is het belangrijk dat organisaties transparant communiceren over hoe data wordt gebruikt. Niet iedereen binnen het bedrijf hoeft een databeschermingsexpert te zijn, maar alle medewerkers moeten wel op de hoogte zijn van de basisprincipes. En hoewel het aan de DPO is om te zorgen voor GDPR-compliance ligt de uiteindelijke verantwoordelijkheid bij de CEO. Databescherming is zowel een business- als een technologie-issue. Dus is het van belang dat bedrijven over een IT-strategie beschikken die robuuste databescherming mogelijk maakt. Focus op de mens Onderzoek van Veeam laat zien dat driekwart van de IT-beslissers wereldwijd zich tot Cloud Data Management wendt om een slimmere business te realiseren. Cloud Data Management brengt disciplines als back-up, replicatie en disaster recovery samen binnen de volledige cloud- en datamanagementvoorziening van een organisatie. Deze technologie zorgt ervoor dat data altijd beschikbaar, herstelbaar en beschermd is. Maar net als dataprivacy is ook IT op mensen gericht. In een wereld waarin bedrijven hun data meer dan ooit moeten beschermen, zijn CEO’s, CIO’s en DPO’s op zoek naar betrouwbare partners om de risico’s rondom hun datamanagement te verlagen. Deze ondersteuning kan plaatsvinden in de vorm van het configureren van datamanagementsystemen, technische training voor beheerders, of basis dataprivacytraining voor eindgebruikers. Data Protection Day is het uitgelezen moment om eens stil te staan bij hoe we data gebruiken en zien. Bovendien is de start van het nieuwe decennium een goed moment om in te zien dat we ons nog middenin een transformatie bevinden. De impact van de GDPR blijft groot naarmate toezichthouders hun geduld verliezen en organisaties die niet compliant zijn vaker of zwaarder gaan straffen. Een groter aantal boetes en meer reputatieschade zorgen voor nog meer vraag naar DPO’s. En hoewel investeren in technologieën als Cloud Data Management een essentieel onderdeel is van de strategie van de DPO, is privacy nu een people business. Bedrijven die echt slim willen investeren, doen dat in betrouwbare partners die mensen binnen elk niveau van de organisatie kunnen helpen compliant te zijn en een authentieke, transparante datacultuur te creëren.   Bron: techzine.nl   Benieuwd naar de recentelijke ontwikkelingen omtrent privacy en compliance en/of wil je weten hoe jouw organisatie privacy en informatiebeveiliging kan borgen met behulp van het Compliance Management Framework (CMF)? Meld je dan snel aan voor het webinar AVG; hoe kom ik in control?

Inhoud Compliance zou in 2020 voor iedere organisatie een prioriteit moeten zijn. Eenvoudiger zal het zeker niet gaan worden en de impact van komende aanvullingen op de wetgeving voor de zorg en publieke sectoren zal gemanaged moeten worden. Als je budget wilt aanvragen bij jouw manager dan krijg je ongetwijfeld deze vragen; Waarvoor? Wat gaat dit opleveren? Wat is het verbeterplan en de waarde van het resultaat? Wat gaat dit kosten? Het is lastig om een pragmatisch plan te ontwikkelen met meetbare doelstellingen. Dit is nu juist waarom wij de Audittrail AVG- en IB-audit hebben ontwikkeld. Geen systematische één-op-één toetsing van praktijk aan een kader, maar een meting van de volwassenheid van jouw organisatie.   Hoe werkt een AVG “Audit”? Wij controleren de opzet, bestaan en – tot op zekere hoogte – de werking van jouw AVG-compliance en bepalen een volwassenheidsniveau (1-5) per genomen maatregel. Dit geeft een helder inzicht in het algemene volwassenheidsniveau van de organisatie. Aan de hand hiervan bepalen we samen het ambitieniveau van de organisatie én verkrijgen we input voor een jaarplan. Per maatregel zetten we uiteen hoe te komen tot het ambitieniveau. Pragmatisch en laagdrempelig. Ons advies aan eenieder is om een plan van aanpak te maken gebaseerd op feiten waardoor je kunt gaan toewerken naar een continu verbeterprogramma. Spreadsheets alleen gaan hierbij niet helpen, verbeteren doe je samen!   Rendement op jouw AVG-investering In 2017 wisten we niet hoe snel we geld moesten reserveren voor de implementatie van de AVG met als streefdatum om op 25 mei 2018 “klaar” te zijn. De investeringen zijn groot geweest, maar wat heeft het nu opgeleverd? Na 25 mei 2018 is geconstateerd dat vele managers een beetje AVG-moe zijn en men niet echt weet waarom er in dit vraagstuk verder geïnvesteerd moet worden. Waarom zoveel tijd, geld en resources investeren terwijl er zo weinig rendement te behalen valt? Op zich (deels) een valide standpunt. Ongetwijfeld zijn er ook in jouw organisatie weer vele zaken veranderd het afgelopen jaar. Nieuwe werknemers, nieuwe systemen, nieuwe processen. Allemaal onderdeel van jouw organisatie en stuk voor stuk onderdelen waarin (meestal) persoonsgegevens worden verwerkt. Privacy compliance is echter geen eenmalig ding, maar hoort vast en continu onderdeel uit te maken van de strategie en de organisatiedoelstellingen. Daarbij komt dat de ontwikkelingen binnen IT zo snel gaan dat ze bijna niet meer te volgen zijn. Als het werk uit 2018 niet goed is onderhouden, loop je het risico dat je al het eerder uitgegeven geld dus weggegooid heeft. AVG-moe of niet.   Grijp daarom nu in! Goed en gecontroleerd compliance management is een kans om de cultuur van de organisatie te professionaliseren en tevens een mogelijkheid om risico’s te herkennen en te mitigeren. Goed en volwassen compliance management vraagt een kritische blik op processen en welke informatie hierin rondgaat. Door processen goed in te richten en te managen sla je een optimalisatieslag. Bovendien vraagt informatieveilig werken een risicoanalyse om zo tot passende beveiligingsmaatregelen te komen. Combineer dan ook informatiebeveiliging met risicomanagement voor efficiënt compliance management. Wanneer de processen helder in kaart zijn is het ook makkelijker om proceseigenaren te ondersteunen bij het naleven van de AVG. Beleg verantwoordelijkheden bij de juiste personen en geef de Privacy Officer de regie terug. Zorg dat verplichte documentatie zoals het verwerkingsregister en datalekkenregister dynamische documenten worden, die inzicht bieden in de organisatie en haal daar jouw voordeel uit. Wij begrijpen dat dit allemaal klinkt als een fikse opgave maar juist daarom heeft Audittrail het Compliance Management Framework gebouwd in het Mavim Platform. Hiermee kun je in één keer al bovengenoemde onderdelen duurzaam inregelen. En speciaal voor de AVG-moeie manager: het jaarplan zoals beschreven, is geborgd in het systeem en geeft inzicht in de behaalde resultaten en geeft je handvatten voor de komende jaren als er wederom budget noodzakelijk is voor continue verbetering.   Bron: Audittrail   > Meer weten over informatiebeveiliging, de privacy audit en het Compliance Management Framework? Download hier de Productsheet

Inhoud Sinds de inwerkingtreding van de AVG lijken veel organisaties informatiebeveiliging voornamelijk als het stukje ‘passend beveiligen’ uit de AVG te behandelen. Maar, informatiebeveiliging is zo veel meer en belangrijker dan alleen het beschermen van persoonsgegevens. Wanneer informatie niet goed beveiligd is, kan dit grote, impactvolle risico’s met zich meebrengen.   Meer dan persoonsgegevens Wanneer alleen op het stukje beveiligen van persoonsgegevens wordt gelet, wordt een groot deel aan informatie dat jouw bedrijf bezit (die mogelijk kritisch is voor het bestaan van de organisatie) vergeten. Denk bijvoorbeeld aan het geheime recept van frisdrank of blauwdrukken van een beveiligingssysteem. Of nog erger, toegang tot de schakelaars van een stedelijk energienetwerk. Dit zijn belangrijke stukken informatie, maar geen persoonsgegevens. Het is daarom belangrijk de hele organisatie goed te beveiligen, zowel fysiek als digitaal. Kijk daarom verder dan alleen artikel 39 van de AVG.   Beschikbaarheid, integriteit, vertrouwelijkheid Bekende vormen van gegevensroof zijn ransomware of hacks. Maar risico’s voor jouw bedrijfsgegevens komen niet alleen in de vorm van diefstal. De aantasting van de beschikbaarheid, integriteit of vertrouwelijkheid (BIV) van informatie kan een organisatie enorme financiële schade en/of reputatieschade toebrengen. Door vanuit de BIV-classificatie alle informatie binnen de organisatie te beveiligen zorg je ervoor dat deze risico’s worden gemanaged. Naast potentiële aanvallen van buitenaf is het belangrijk om ook de interne risico’s te overwegen. Een gepikeerde medewerker met ongeoorloofde toegang tot bepaalde gegevens kan ook flinke schade aanrichten.   Awareness Er gaat geen week voorbij zonder bericht over een grote hack, ransomware of ander soort datalek. Om jouw organisatie op een hoger volwassenheidsniveau te krijgen is het van essentieel belang om voldoende inzicht te krijgen in de verbinding van jouw Informatiebeveiliging en privacy naar jouw mensen, processen en IT-systemen.   Ook is awareness, het bewustmaken van medewerkers, een belangrijk onderdeel van het informatiebeveiligingsbeleid. Het juist beveiligen van informatie is enorm belangrijk. Door de invoering van de AVG, maar zeker ook door de recente groei van cybercriminaliteit. Bewustwording van medewerkers is dan ook cruciaal in het mitigeren van risico’s voor jouw informatiebeveiliging en privacy. Social engineering tests zijn bewezen instrumenten om organisaties bewust te maken van de risico’s die zij bewust en onbewust lopen.   Normenkaders echt toepassen Zonder gegarandeerde BIV van belangrijke informatie kan de bedrijfscontinuïteit onder druk komen te staan. Implementeer maatregelen uit de ISO27000-serie, of een branche-specifieke informatiebeveiligingsnorm zoals de NEN 75-serie, BIO of BIC om jouw informatievoorziening zo veilig mogelijk te managen. Informatiebeveiliging is erg omvangrijk. Er zijn veel verschillende onderdelen die allemaal regelmatig aandacht vragen. Een oplossing om informatiebeveiliging eenvoudig te onderhouden is het Compliance Management Framework (CMF) van Audittrail. Dit is gebouwd in het Mavim Platform en zorgt ervoor dat jouw informatiebeveiligingsprogramma continu wordt onderhouden. Daarnaast kun je in het CMF jouw informatiebeveiliging eenvoudig koppelen aan jouw privacy programma.   Bron: Audittrail   > Meer weten over Informatiebeveiliging en het Compliance Management Framework? Download hier de Productsheet

Inhoud Privacy is in aanloop van 25 mei 2018 door veel organisaties opgepakt als project. De nieuwe privacywetgeving (AVG) gaf de mogelijkheid om privacy nu eens goed in te richten. Een projectteam werd samengesteld en samen werd gewerkt aan een gedegen opzet van privacy met een beleid, procedures, een verwerkingsregister en het organiseren van rechten voor betrokkenen. Ook werd vanuit dit projectteam gedacht over privacy verantwoordelijken en een al dan niet verplichte Functionaris gegevensbescherming (FG).   Enige tijd later Alle verplichte documenten zijn opgeleverd en privacy is in opzet aanwezig in de organisatie. Het projectteam krijgt decharge en de aangewezen Privacy Officer (PO) gaat zelf aan de slag. De projectgroep was een veilige omgeving, los van de rest van de organisatie waar alle aandacht vol op privacy lag en meerdere mensen ermee bezig waren. Eenmaal in de organisatie razen alle andere prioriteiten en veranderingen als snelverkeer langs de PO heen. Compliance is ineens een van de vele onderwerpen op de lijst en bovendien eentje die net al het projectbudget had gekregen, dus nu is een ander onderwerp aan de beurt.   Van opzetten naar onderhouden In plaats van het opzetten hebben we het nu over het onderhouden van een privacy programma. Dit brengt andere vragen met zich mee voor de Privacy Officer: “Voldoe ik wel voldoende aan de AVG? Hoe houd ik mijn verwerkingsregister bij? Waarover moet ik precies rapporteren en aan wie? Moet ik niet budget aanvragen voor komend jaar? Wat heeft de meeste prioriteit? Hoe los is drie incidenten en een datalek op in de acht uur die ik deze week aan privacy mag besteden?”. Eigenlijk zijn al deze vragen samen te vatten in: “Lukt het één Privacy Officer om de hele organisatie compliant te houden?”. Audittrail en Mavim zijn samen op zoek gegaan naar een oplossing om de Privacy Officer te ondersteunen in de transitie van project naar programma. Dit heeft als resultaat opgeleverd dat wij een op expertise gebaseerd product hebben gebouwd dat een combinatie bevat van onder andere een digitaal verwerkingsregister, risicoanalyse, awareness rapporten, procesvisualisaties en verplichte documentatiestukken is. We noemen dit het Compliance Management Framework (CMF). Naast een compleet privacy programma kun je hierin ook een volledig Informatiebeveiligingsprogramma opzetten en onderhouden. Vooral het stukje onderhouden is hier cruciaal: in veel organisaties verslapt de aandacht voor Security en Privacy na verloop van tijd. Dankzij de communicatiefunctie van het CMF kan de PO de juiste personen verantwoordelijk houden voor de eigen processen. Met het Mavim Platform als software achter onze kennis en expertise creëer je jouw eigen ideale control omgeving, één centrale bron van waarheid en krijgt de Privacy Officer de regie terug in handen.    Bron: Audittrail   > Meer weten over het Privacy en het Compliance Management Framework? Download hier de Productsheet

Inhoud De uitdaging Veel organisaties zijn verplicht compliance management goed te organiseren. Compliance in control houden is geen eenvoudige opgave. Bovendien blijkt het lastig om compliance een vast onderdeel van de organisatiecultuur te maken. Vaak krijgt één collega privacy ‘erbij’ en belandt informatiebeveiliging al snel bij de ICT-afdeling. Wet- en regelgeving en normenkaders zijn uitvoerig en complex. Veel compliance projecten typeren zich dan ook door losse spreadsheets en acties waarmee aan de belangrijkste hoofdstukken wordt voldaan. Denk bijvoorbeeld aan het verwerkingsregister vanuit de AVG of een ISO27002 auditrapportage. Het doel van compliance management is zorgdragen voor het mitigeren en verminderen van risico’s voor de organisatie. Hiervoor is het noodzakelijk om compliance daar te beleggen waar het echt hoort. Om de Privacy- of Security Officer meer een regierol te geven en compliance ook bij proceseigenaren en verantwoordelijke medewerkers te beleggen, is meer nodig dan men nu gewend is. Dit soort zaken zijn vaak in losse documenten of zogenaamde “point solutions” vastgelegd. Omdat deze niet met elkaar communiceren is het lastig om één centraal compliance managementsysteem op te zetten als ware het één bron van waarheid.   Het Audittrail CMF is de oplossing voor al deze zaken! Ons team van gecertificeerde Mavim consultants heeft, samen met onze Privacy en Informatiebeveiligingsexperts, een volledig nieuwe oplossing gebouwd (in het Mavim Platform) op basis van problematiek die we bij grote én kleine klanten in diverse branches hebben kunnen identificeren. Door gebruik te maken van het Audittrail Compliance Management Framework (CMF) voorkom je zaken als verschuiving van focus, verval in de waan van de dag, en het managen van losse documenten en spreadsheets. Het CMF is één platform waar verschillende compliance-gebieden samenkomen: privacy, informatiebeveiliging en risicomanagement. Beleg taken bij proceseigenaren en houd hen verantwoordelijk. Zo maak je compliance onderdeel van het DNA van de organisatie. In het CMF vind je templates voor verschillende informatiebeveiligingsnormen (zoals BIC, BIG, ISO, KWH, of HKZ), maar ook middelen om de AVG passend in te regelen binnen jouw organisatie. Leg de verbinding tussen privacy- en informatiebeveiligingsvraagstukken. Zo kun je overzichtelijk vele uitdagingen managen, eenvoudig rapporteren aan het management, en bij audits bewijzen aan externe partijen dat de mate van control hoog genoeg is om risico’s significant te verminderen.   Voordelen Het CMF is gebaseerd op ervaring van onze professionals binnen honderden projecten Privacy & Informatiebeveiliging borgen zonder veel tijd te investeren Compliance onderdeel van de hele organisatie maken Te allen tijde in control (geen vertraging of verslapping) Lage investeringskosten Duidelijke afspraken met één betrouwbare partner Te koppelen met andere systemen zoals Microsoft Power BI, Compliance manager, Naris, Topdesk etc. Inclusief software voor interne communicatie en verantwoording aan derden (Audit)   Bron: Audittrail   > Meer weten over het Compliance Management Framework? Download hier de Productsheet

Inhoud "Er moet meer bestuurlijke aandacht komen voor informatieveiligheid, met een hechtere verbinding tussen bestuurder en de chief information security officer (CISO). De CISO heeft binnen de gemeentelijke organisatie een spilfunctie, om ervoor te kunnen zorgen dat de juiste acties worden genomen ten aanzien van de informatiebeveiliging". Dat concludeerde de Visitatiecommissie Informatieveiligheid na het bezoeken van de colleges B&W en CISO’s van 120 gemeenten eind 2017. De visitatiecommissie stelde vast dat het in alle gevallen van belang is dat de CISO onafhankelijk is gepositioneerd, een directe rapportagelijn heeft naar de (eindverantwoordelijke) gemeentesecretaris en de (bestuurlijk) portefeuillehouder en daarmee periodiek overleg heeft. Daarnaast dient de CISO verbonden te zijn met de ambtelijke organisatie en het primaire proces. Het is voor een CISO echter niet doenlijk (en ook niet zijn/haar rol) om nauw betrokken te zijn bij de specifieke werkprocessen. Gemeenten verschillen van elkaar qua organisatie en daardoor in de wijze waarop de CISO functie wordt ingevuld. Met de invoering van de Baseline Informatiebeveiliging Overheid (BIO) en het verbindend verklaren van dit normenkader voor de hele overheid per 1 januari 2020, is aanstelling van een CISO niet langer vrijblijvend, maar verplicht geworden. De aanstelling van een CISO is een belangrijke voorwaarde om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te beheersen. Tevens is sinds 25 mei 2018 de Algemene Verordening Gegevensbescherming van kracht, de wet die strenge eisen stelt aan de verwerking van persoonsgegevens en de informatiebeveiligingsmaatregelen. Ook zijn de rechten van betrokken flink uitgebreid. Maar ook de buitenwereld is bezig met een privacy inhaalslag; de Autoriteit Persoonsgegevens is begonnen met handhaving en heeft net de eerste AVG boete uitgedeeld aan het HAGAZiekenhuis. Aan een betrokkene bij een datalek door gemeente Enschede is door de rechterbank Overijssel in hoger beroep een schadevergoeding toegekend van €500.- Een datalek met duizenden betrokkenen kan zo al snel flink in de papieren lopen en naar verwachting zullen collectieve claim procedures dan ook snel volgen. Zaak dus om uw informatiebeveiliging op orde te hebben. Kijkend ook naar de astronomische boetes die momenteel worden uitgedeeld aan de multinationale datafabrieken zoals FaceBook dan is het duidelijk dat informatiebeveiliging in zeer korte tijd een serieus vakgebied geworden is waar organisaties, gezien het enorme aantal vacatures, een flinke inhaalslag op aan het maken zijn. Kortom; de CISO is in toenemende mate en met versneld tempo van belang om er binnen de gemeente over te waken dat (persoons)gegevens van burgers en bedrijven goed verwerkt worden en onverlaten er niet bij kunnen. Hierbij geldt voor kleinere gemeentes dat een deeltijd- of gecombineerde-functie CISO beter is dan helemaal geen CISO. En soms is het inhuren van een CISO voor een paar dagen per maand door meerdere aanpalende gemeentes ook een goede eerste stap. De CISO is in ieder geval wel vast onderdeel van het gemeentelijk meubilair geworden!   Maar waar hebben we het dan samen over? Als burgemeester, wethouder, gemeentesecretaris, raadslid of collega ambtenaar wordt u soms pas actief betrokken bij het werk van de CISO als het te laat is. Als de krant bericht dat de gemeente gehackt is, als er een datalek heeft plaatsgevonden of als er om budget gevraagd wordt in de voorjaarsnota. Informatiebeveiliging echter, is de verantwoordelijkheid van iedereen binnen de organisatie die met data omgaat. Bewustwording en het pro-actief bezig zijn met informatiebeveiliging is dus cruciaal. De volgende 5 vragen kunt u de CISO stellen om het gesprek met hem of haar te starten. Het zijn mogelijke vragen om de dialoog te starten, geen vastomlijnde aanpak voor informatiebeveiliging. Daarvoor verwijs ik graag naar de Informatiebeveiligingsdienst. 5 vragen zijn natuurlijk bij lange na niet voldoende dus het is slechts een eerste aanzet. Ook is de relevantie van sommige vragen tijdgebonden en daardoor over een tijdje wellicht weer minder actueel. Maar we kunnen toch ergens beginnen? Ik nodig u uit andere relevante vragen via de comments toe te voegen en de lijst aan te vullen..   1. wat is ons dataprotectie-risicoprofiel? Ik begin de eerste vraag niet zonder reden. Er zijn CISO's die compliance-based en andere die risk-based werken. De eerste zal séc willen voldoen aan de (wettelijke) voorschriften (de groene vinkjes) terwijl de tweede kijkt naar de actuele informatiebeveiligingrisico's en kiest voor adequate mitigatie ervan om zo toch de organisatorische doelstellingen te kunnen blijven behalen. Het paraat hebben van de laatste stand van zaken op Technologisch-, Personeel- en Organisatorisch dataprotectie-gebied is daarom ook van groot belang. Waar zitten de gaten ten opzichte van de overheidsbaseline (GAP-Analyse) plus welke bijzonderheden heeft deze gemeente waar we specifiek naar moeten kijken? Heb je een Informatiebeveiligingsplan waarin staat hoe we hier mee omgaan? Welke beveiligings incidenten hebben we de afgelopen tijd aan de hand gehad en hebben we data onbedoeld vrijgegeven? Een interessante openingsvraag toch?   2. ben je al begonnen met het ISMS? De Informatie BeveiligingsDienst definieert het ISMS als volgt: "Het Information Security Management System (ISMS) is een procesgerichte benadering voor informatiebeveiliging. Het is een managementsysteem waarin het risicobeheerproces centraal staat, zodat risico’s adequaat worden beheerd. Het ISMS is de motor van de informatiebeveiligingsactiviteiten en wordt onderhouden middels de plan-do-check-act cyclus". Het werken volgens een ISMS geeft aan dat de CISO het beleid niet alleen opstelt maar ook de implementatie ervan toetst en het beleid door de tijd heen bijstelt waar nodig. Vaak wordt een ISMS tool gebruikt om het framework en de bijbehorende documenten in onder te brengen. Het ISMS is een van de beste manieren om de taken van een CISO over te dragen aan een opvolger. Het stelt ook tijdelijke krachten in staat om sneller op stoom te zijn.   3. hoe staan we ervoor met de ENSIA rapportage? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning en control-cyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad. ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de BIG (en vanaf 2020 op de BIO). De verantwoordingssystematiek over de Basisregistratie Personen (BRP) en wet- en regelgeving Reisdocumenten (PUN en PNIK), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet) is samengevoegd en gestroomlijnd. De eerste ENSIA cyclus is achter de rug en de nieuwe 2019 cyclus is gestart per 1 juli jongstleden. Bespreek samen het resultaat 2018 en op welke wijze 2019 aangevlogen wordt. Wat zijn de lessons learned en hoe, adviseert de CISO, gaan we de vastgestelde tekortkomingen wegwerken?   4. zijn we op tijd klaar met de BIO implementatie? Vanaf 1 januari 2019 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt per 1 januari 2020 de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Van BIG, BIR, BIR2017, IBI en BIWA naar BIO. 2019 is een overgangsjaar. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek. Helder, actueel en veilig. Vraag de CISO (kudo's voor u, u heeft er al een aangesteld ;-) naar de impact voor de gemeente, waar u staat als organisatie en op welke wijze de belangrijkste wijzigingen doorgevoerd kunnen worden. De BIO Praatplaat kan helpen het gesprek met de clusters te voeren om inzichtelijk te krijgen wat er nog moet gebeuren. Maak ook hier in overleg keuzes in de activiteiten om compliant te geraken. First things first, eerst de hoge risico's, dan de lagere.   5. hoe staan we ervoor m.b.t. de 2019 streefbeeld afspraken? De vorige vragen waren redelijk strategisch en tactisch van aard op het gebied van informatiebeveiliging. Toch ontkomt u er niet aan af en toe over de techniek te praten. De laatste CISO vraag is daardoor misschien wat te complex voor de gemiddelde ambtenaar maar niet minder relevant. Kijk eens hoe ver u samen komt! Binnen de overheid zijn er adoptieafspraken over standaarden voor internetveiligheid en informatieveiligheid. Op dit moment is de afspraak dat ALLE websites van de overheid beveiligd moeten zijn met de standaarden HTTPS, HSTS en TLS conform de richtlijnen van het Nationaal Cyber Security Centrum (NCSC). Daarnaast dienen domeinnamen beveiligd te zijn met de standaard DNSSEC. Voor mail is de afspraak dat de standaarden SPF, DKIM en DMARC worden ondersteund voor het voorkomen van phishing en dat STARTTLS en DANE worden toegepast voor het beveiligen van mailverkeer. Na het instellen van de mailstandaarden dienen DMARC en SPF vervolgens zodanig geconfigureerd te worden dat phishing van mail actief wordt bestreden. Dit betekent dat voor deze standaarden niet het tempo van ‘pas toe of leg uit’ wordt gevolgd (i.e. wachten op een volgend investeringmoment en dan de standaarden implementeren) maar dat actief wordt ingezet op implementatie van de standaarden op de korte termijn. Weinig overheden kunnen al deze afspraken allemaal tijdig (eind 2019) nakomen. De praktijk leert dat het implementeren ervan over meerdere schakels dient te gebeuren, derde (cloud)partijen die je niet altijd zelf in de hand hebt waardoor het ook nog eens eindeloos kan duren. Bespreek met uw CISO wat er gebeurt als u niet tijdig klaar bent, de risico's die u loopt en de verantwoordelijkheid die u in de keten hebt om wél tijdig klaar te zijn. Vraag uw CISO om advies op welke wijze de techniek aangepast moet worden en wie in de organisatie deze taken dienen uit te voeren.   Tot slot Zoals al eerder gezegd is de dataprotectie arbeidsmarkt op dit moment enorm schaars. Goed opgeleide medewerkers zijn lastig te vinden en de gemeentelijke salarissen kunnen moeilijk concurreren met het bedrijfsleven. Zorg er derhalve voor dat u de CISO en zijn/haar stafmedewerkers voldoende uitrusting geeft om het werk ook daadwerkelijk te kunnen verrichten. Dat is niet alleen salaris maar zeker ook voldoende budget voor opleiding, seminars/congressen, ICT-tooling en tijdelijke ondersteuning (inhuur) voor projectwerk. Ook een directe, doorlopende en open dialoog met het bestuur en college is belangrijk. Immers, gemeentelijke informatiebeveiliging is een bestuurlijke verantwoordelijkheid. Als laatste en hopelijk ten overvloedde, noem ik daarom nog vraag 6. Eigenlijk de meest belangrijke vraag die u uw CISO kunt stellen: "Hoe gaat het met je, heb je het nog naar je zin en wat kan ik voor je doen?"   Auteur:  Dimitri v. Zantvliet Rozemeijer MBA CISM CISA CIPP-E CIPM FIP, CISO / Manager Strategie, Security en Privacy gemeente Haarlemmermeer