GRC

Inhoud   Het is alweer ruim 20 jaar geleden dat de voorloper van de Code voor Informatiebeveiliging (CvI) werd geboren. Zover ik weet ontstond ze uit een vrijage van Shell met het Britse Ministry of the Interior als een antwoord op de uit de hand lopende automatisering. Tot dan toe was er vanzelfsprekende controle door de geslotenheid van de gebruikte systemen. Client-server brak met de regels en zorgde voor onduidelijke grenzen aan je systeem. Je moest met veel meer verschillende factoren rekening gaan houden. Bovendien was er een heel nieuwe groep IT’ers die zich met dataverwerking ging bezighouden die de oude beveiligingsparadigma’s niet had geleerd. Het antwoord op deze ontwikkelingen was een ‘best practice’. Zo’n verzameling handreikingen was handig als checklist en verschafte je als nieuweling gelijk een soort opleiding in de strijd voor de veiligheid.   Best practice Gaandeweg werd duidelijk dat het eenmalig afwerken van een lijst maar beperkt soelaas biedt. Continue beheersing is nodig, met een kwaliteits-‘proces’. De PDCA-toevoeging was geboren en kreeg later een ISO-jasje. Certificeren doen we nu al jaren op basis van die PDCA waarbij de best practice er is om vanuit de risico’s uit te kiezen, niet om blind uit te voeren.   Baseline Er is al jaren óók een beweging die daar dwars tegenin gaat, die zogenaamde ‘baselines’baart. Baselines zijn maatregelsets die een basisniveau aan beveiliging moeten opleveren en direct duidelijkheid geven over wat er moet worden gedaan. Een soort bevroren best practices, dus. Bijzondere systemen en processen die meer beveiliging behoeven krijgen extra maatwerkmaatregelen. Dat klink toch goed? Ja, best goed, maar er zijn nadelen, flinke nadelen. Om te beginnen bedenkt iedereen sector zijn eigen baseline, als uitdrukking van de eigenheid. Het heeft in dat geval niets met de inhoud te maken, maar is een poging de eigenheid als verleider te gebruiken om de boel in beweging te krijgen. Zo is er één voor de rijksoverheid (de BIR), voor de gemeenten (de BIG), de waterschappen (ja, de BIWA), voor woningbouwcoöperaties (de BIC) en een voor de Provincies (nee, niet de BIP, maar de Interprovinciale Baseline Informatiebeveiliging, de IBI). En ik mis er vast nog wel een paar. De centrale gedachte is dat binnen sectoren de organisaties risico’s en cultuur delen en daarom een eigen baseline verdienen. Mijn waarneming is dat de verschillen tússen sectoren vaak kleiner zijn dan tussen organisatie bínnen een sector.   Volwassenheid Al die baselines zijn (soms losjes) gebaseerd op de CvI (of nazaten daarvan) en vertonen nogal verschillende niveaus van volwassenheid. Vaak zie je het ontstaansproces erin weerspiegeld: iedere deelnemer in de werkgroep zijn zin of alleen dat waar we het over eens kunnen worden. De BIWA onderscheidt zo’n 280 maatregelen, de IBI 1.906. Dan is er het vraagstuk van het onderhoud. Goedwillende groepen mensen (zoals in elke vereniging getrokken door een paar bevlogen types) bouwen onvermoeibaar een versie 1. De eerst update wil dan ook nog wel lukken, maar dan is de energie er wel uit. Hoe moet het daarna verder, wie pakt het dan op?   Kwaliteitsproces Heb je je baseline al weten te beleggen bij alle uitvoerders in je organisatie, dan komt de vraag hoe je het kwaliteitsproces aan de gang houdt. Het ‘project’ is immers voltooid. Een kwaliteits-‘proces’ biedt een prima antwoord met zijn cyclische benadering, maar dát zit in zo’n baseline nou net niet mee verpakt.. Dan is er ook nog de afstemming met je leveranciers: ga je al die maatregelen stuk voor stuk met ze doornemen? We zijn in een wereld beland waarin we elkaar ISO-certificaten toesturen, of ISAE-rapporten. XL-sheets vol met sector-eigen maatregelen opsturen naar jecloud-suppliers is geen zeker succesrijke strategie. Dat levert een ingewikkeld gesprek of een heel hoge rekening op, geen directe bijdrage aan de veiligheid.   Beoordeling En last but not least is er de vraag van de beoordeling van het resultaat: krijgt iedere sectorale baseline een eigen beoordeling en certificaat? Dat levert allemaal oordelen van heel verschillende vorm en inhoud op, waarmee het slecht communiceren is naar je doelgroep of toezichthouder. We werken ondertussen steeds meer in ketens waar dat wél nodig is. Ik ken ondertussen een paar sectoren waar de baseline niet echt het verschil heeft gemaakt. De baseline heeft eerder geleid tot vragen als: moeten we dat allemaal wel toepassen? En in welke volgorde? Kan het niet wat minder? Dan worden er analyses en grootse plannen (documenten) tegenaan gegooid, wat al snel leidt tot stroperigheid. Na verloop van tijd (soms jaren) is de energie weg en een kans voor meer veiligheid verkeken.   ISO27001 Ondertussen wint de ISO27001 sterk aan reputatie en toepassing in de volle breedte. De certificaten verschaffen klanten en toezichthouders een genormeerd, uniform en dus te vertrouwen oordeel over hoe je organisatie -doorlopend- met informatiebeveiliging bezig is. De ISO-norm wordt ook inhoudelijk steeds volwassener, ook al is er kritiek mogelijk. Bijvoorbeeld dat deze internationale norm ruimte voor verschillende volwassenheidsniveaus toelaat. Het is immers primair een hulpmiddel voor toepassing door organisaties die aan veiligheid willen werken. Aanvullende transparantie over de volwassenheid van de maatregel-implementaties kan dat probleem verhelpen.   Aanvullen staat vrij Een verwijt dat ook gemaakt wordt is dat de IT-ontwikkelingen (met name bij cloudtoepassingen) sneller gaan dan deze best practice. Dat is waar, maar niets weerhoudt je ervan om een andere of aanvullende best practice te gebruiken om die tekortkoming te repareren, zoals de CloudControlsMatrix of de ENISA-checklist. Kortom de ISO27001 is het beste instrument voor interne en externe doelen. Dus wég met de baseline en húp met de ISO27001. Werk aan een volwassen beheersing op basis van je eigen risicobeoordeling, organisatiestijl en -cultuur en vraag dat ook van je leveranciers.    Er is hoop! Aan het begin van de zomer is bekend geworden dat in overheidsland (onder aanvoering van BZK) gewerkt gaat worden aan de BIO, de Baseline Informatiebeveiliging Overheid.. maar pas nádat eerst een update van de BIR is gedaan. Wordt de BIO nóg een baseline zult u zeggen, of is het doel opruimen van de wildgroei en streven naar uniformiteit? Het lijkt erop dat mijn bede -een beetje- verhoord wordt en de ISO27001+2 écht de kern gaan vormen. Er zal een ‘dun laagje’ omheen geschreven worden, verschillend per overheidslaag.. Maar of het PDCA-denken écht de kern wordt? We zullen zien, waar het toe leidt, hoopgevend is het zeker. Hoop hebben we ook nodig, want werken met baselines…. brrrrrr! Wég met de baseline!Door: André Beerten. Staat informatiebeveiliging ook bij uw organisatie hoog op de agenda? Bekijk hier hoe u eenvoudig grip krijgt op de beschikbaarheid, integriteit en vertrouwelijkheid van informatiestromen

Inhoud Terwijl veel organisaties momenteel nog bezig zijn met de Meldplicht Datalekken, die 1 Januari 2016 van start is gegaan, komt er alweer een nieuwe wet om de hoek kijken. In mei 2018 gaat de nieuwe Europese privacywetgeving in Nederland van kracht. Het niet naleven van deze wetgeving kan hoge sancties tot gevolg hebben.   Verwerking persoonsgegevens General Data Protection Regulation (GDPR) geldt voor alle organisaties die persoonsgegevens verwerken. Het ziet er naar uit dat de Europese wetgeving doorwerkt in de Nederlandse ‘Meldplicht Datalekken’ en de ‘Wet Bescherming Persoonsgegevens’.  Bij deze wetgeving gaat het niet alleen om bescherming van digitale gegevens, maar ook gegevens op papier. Opvallend is dat deze wetgeving veel middelgrote bedrijven raakt en ook verschillende lagen binnen een organisatie. De boetes liggen in de Europese privacywetgeving een stuk hoger. Dit kan zelfs 4% van de jaarlijkse wereldwijde omzet bedragen. Daarnaast kan geconcludeerd worden dat er inhoudelijk voor Nederland weinig gaat veranderen. Door de ‘Meldplicht Datalekken’ is Nederland goed voorbereid op de Europese wetgeving.    Interne organisatie Uit onderzoek blijkt dat 70% van alle beveiligingsincidenten worden veroorzaak vanuit de eigen interne organisatie. Dit komt doordat medewerkers niet bewust zijn van bepaalde richtlijnen, procedures en instructies die binnen de organisatie gevolgd moeten worden. Hierdoor worden risico’s vaak niet tijdig onderkent, door gebrek aan kennis en ervaring. Dit blijkt ook uit de uitzending van Zembla op 30 november 2016 waarin wordt ontdekt dat privacygevoelige informatie van particulieren maar ook zeer vertrouwelijke informatie over organisaties (als terrorismebestrijdingsorganisatie Europool) voor het grijpen ligt. In deze uitzending komt duidelijk naar voren dat vrijwel iedere organisatie te hacken is. Volgens de Europese Commissie zijn het aantal cyberincidenten vorig jaar gestegen met 38%. Zelfs 80% van alle Europese bedrijven heeft wel eens problemen met cybercriminaliteit ondervonden. Dit geeft aan dat de situatie zorgelijk is.    Webwinkels en digitale beveiliging Wanneer je als handelsorganisatie beschikt over vertrouwelijke bedrijfsinformatie evenals persoonlijke klantinformatie, zoals NAW-, bestel- en betalingsgegevens speelt informatiebeveiliging een grote rol. Uit onderzoek naar de veiligheid van webwinkels (consumentenbond, 2015) is gebleken dat tweederde van de top 100 webwinkels hun digitale beveiliging niet op orde heeft. In 38% van de onderzochte webwinkels ging het om een ernstige veiligheidslek, waarmee gegevens zoals e-mailadressen, bestelinformatie of wachtwoorden van consumenten werd bemachtigd.  Daarnaast hebben vele organisaties kennis over de klant op het gebied van koopgedrag en smaakvoorkeuren. Denk bijvoorbeeld aan de informatie die retailers bezitten door middel van een bonus- of klantenkaart over de smaakvoorkeuren en het koopgedrag van een klant.   Onveilige kanalen Ook maken medewerkers gebruik van redelijk onveilige kanalen als internet en e-mail. Dergelijke kanalen zijn zeer gevoelig voor digitale criminaliteit als phishing, hacking, et cetera. Medewerkers behoren beschermd te worden tegen deze digitale dreigingen van buitenaf. Wanneer gevoelige informatie zoals persoonsgegevens niet goed beveiligd zijn, kan dat leiden tot datalekken. Of een identiteitshack, waarbij iemands naam, profielfoto en andere persoonlijke informatie gekopieerd en misbruikt op internet. Dit kan ernstige gevolgen hebben. Het doel van de wetgeving is ervoor te zorgen dat ondernemers zorgvuldiger omgaan met deze persoonsgegevens en dat de beveiliging hiervan op orde is om uiteindelijk te voorkomen dat privacygevoelige informatie op straat belandt. Naast de enorme boetes die je kunt ontvangen bij het niet naleven van deze wetgeving, kan een datalek grote schade aanrichten aan het imago of reputatie van organisaties. De kosten om deze schade te herstellen kunnen daarbij aanzienlijk oplopen.   Veilig omgaan met informatie Maar hoe zorgt u er voor dat alle mensen in de organisatie weten hoe zij omgaan met het beveiligen van hun informatie? Met het Information Security Management System (ISMS) framework van Mavim kunnen processen, procedures, risico’s en wet- en regelgeving in kaart worden gebracht. Aan de hand van de gedefinieerde risico’s en bijhorende maatregelen wordt inzicht gegeven in de mate van risicobeheersing. Beveiligingsrisico’s kunnen eenvoudig geïdentificeerd worden. Het ISMS framework zorgt ervoor aantoonbaar in control te zijn conform het GDPR, ‘Meldplicht Datalekken’ en de ‘Wet Bescherming Persoonsgegevens’. het zorgt tevens voor kostenbesparingen als gevolg van verbeterde operationele controle en verliesbeheersing. 2018 lijkt misschien nog ver weg, maar het implementeren van informatiebeveiliging binnen uw organisatie is een zorgvuldig proces dat de nodige tijd vergt. Begin dus op tijd! Meld je dan nu aan voor de webinar ‘Expert College Informatiebeveiliging’ dat 17 januari 2017 vindt plaats. Of download de factsheet over het ‘ISMS framework’. Auteur: Annick van der NapWordt het voor uw organisatie ook de hoogste tijd om privacygevoelige informatie zorgvuldig te borgen en beveiligen? Zie hier welke stappen u kunt ondernemen in een eerste stap naar privacy compliancy. Benieuwd hoe u de risico’s van datalekken op uw eigen organisatie projecteert? Deze online sessie geeft u handvatten hoe u risico’s in kaart kunt brengen en welke vervolgstappen u kunt nemen.

Inhoud De brede regelgeving van de Europese Commissie over de algemene bescherming van persoonsgegevens (GDPR) zal een sterke impact hebben op bedrijven binnen en buiten Europa. Vanaf 2018 moet elke organisatie die persoonlijke informatie over Europese burgers verzamelt, gebruikt of deelt, kunnen aantonen dat zij voldoet aan deze inmiddels fel omstreden regelgeving. Hieronder vallen ook de gebruikte technieken binnen het model en de infrastructuur van de organisatie, waarmee men de persoonlijke gegevens afschermt voor de buitenwereld. Het beschermen van persoonsgegevens moet op alle niveaus geïntegreerd zijn binnen de organisatiestructuur van de onderneming.    De beveiliging van een enorme hoeveelheid data In de Cloud wereld, die 24 uur per dag en zeven dagen per week doorgaat, zien gebruikers hun persoonlijke informatie als een levend systeem. Wat de meeste gebruikers echter niet beseffen is dat hun persoonlijke data intensief wordt gekopieerd, getest en beoordeeld door de organisaties die deze data in beheer hebben. Op deze wijze beoordelen ondernemers de persoonlijke gegevens op integriteit en volledigheid. Een dergelijk integriteitsproces biedt de ondernemers de mogelijkheid om bepaalde gegevens, zoals de financiële status, de woonomstandigheden, de burgerlijke staat en het surfgedrag van de gebruikers, te rangschikken. Hierna worden deze gerangschikte gegevens intern gebruikt en vaak aangeboden en benaderd door derden. Zo kunnen kleinere ondernemingen, bijvoorbeeld op basis van een abonnement, gebruik maken van persoonsgegevens door simpel op de site van de aanbieder in te loggen met een gebruikersnaam en een wachtwoord.   Veranderingen in de interne organisatie De nieuwe regelgeving van de Europese Commissie zal dit patroon aanzienlijk doen veranderen. In de nabije toekomst zal elke software-ontwikkelaar zich terdege bewust moeten zijn van zijn verantwoordelijkheden als databasebeheerder. Een probleem hierbij is dat dit concept of denkpatroon voor veel software-ontwikkelaars geheel onbekend is. Vaak ontwikkelen zij applicaties op basis van innovaties en creativiteit waarbij de beveiliging van de gegevens ondergeschikt is. Alhoewel er bij ondernemers enige verantwoordelijkheid bestaat als het gaat om het beheren en het beveiligen van persoonlijke informatie, zal de nieuwe regelgeving deze ondernemers werkelijk aansprakelijk stellen als het gaat om het beveiligen van persoonsgegevens. Ondernemers worden hierdoor gedwongen om flink te investeren in opleiding, training en technologie zodat zij kunnen voldoen aan de eisen en de regelgeving van de Europese commissie. Voor veel bedrijven zal dit betekenen dat zij hun organisatiestructuur volledig moeten aanpassen zodat zij een data-first model kunnen hanteren.   Investering in technologie Op dit moment wordt geschat dat ongeveer 90 procent van de persoonsgegevens wordt bewaard in kopieën. De eerste stap, in het naleven van de regelgeving van de Europese commissie, is het inventariseren van zowel de productieve als de niet-productieve omgeving zodat men weet waar deze data zich bevindt. De stap die hierop volgt is de aanschaf van de technologie die de mogelijkheid biedt om de verspreide data te lokaliseren en te beveiligen. Dit zal tot een noodzakelijke investering leiden in technologieën waarmee men de bestaande gegevens en de latere kopieën kan afschermen en pseudonimiseren. In het geval van een inbreuk op deze persoonlijke data zullen deze investeringskosten echter verbleken ten opzichte van de mogelijke boete van vier procent van de totale omzet van de onderneming.   Conclusie Gezien de steeds toenemende kansen en de ernst van de inbreuk op persoonlijke gegevens is het van groot belang dat ondernemingen duidelijk aangeven dat zij de regelgeving van de Europese commissie naleven en zij zeer zorgvuldig met de persoonlijke gegevens omgaan. Hiervoor zullen deze bedrijven binnen hun totale organisatiestructuur een databeveiligingsstrategie moeten implementeren waarmee men de persoonlijke gegevens maximaal beveiligt zodat het risico voor hun gebruikers minimaal is. Door te pleiten voor de invoering van deze voorzorgsmaatregelen stuurt de Europese commissie aan op een waarborg dat de persoonlijke gegevens beveiligd zijn of onbruikbaar worden gemaakt indien cybercriminelen succesvol inbreuk maken op de bedrijfssystemen. Met deze regelgeving worden ondernemingen beter beschermd tegen de financiële gevolgen en het reputatieverlies als er inbreuk op de persoonlijke gegevens plaatsvindt. De Europese commissie verwacht als tegenprestatie echter wel dat de zakelijke markt gaat investeren in het beschermen van bedrijfsdata en persoonlijke gegevens van de gebruikers.Bron: bitMIND

Inhoud Na vier jaar onderhandelen is er in Europa een nieuwe dataprotectie overeenkomst. In Straatsburg hebben de lidstaten van de EU hun goedkeuring gegeven aan wetgeving voor de verwerking van privégegevens en richtlijnen voor de handhaving van die wet op justitieel niveau. Sinds 1 januari geldt in Nederland de meldplicht datalekken. Daarmee loopt Nederland tamelijk voorop in Europa. Deze week is de Europese variant goedgekeurd door het Europees parlement. De overige Europese lidstaten krijgen nu nog twee jaar de tijd om hun wet- en regelgeving in lijn te brengen met de Europese wetteksten. Voor consumenten betekent de regulering: Het recht om vergeten te worden. Het recht om je gegevens naar een andere dienstverlener over te zetten. Het recht te weten of je gegevens gehackt zijn. Voor organisaties etekent de regulering: De plicht om nadrukkelijk toestemming te vragen van betrokken personen voor het verwerken van privégegevens. De plicht om privacybeleid helder en begrijpelijk uit te leggen. Strenge handhaving en boetes tot 4 procent van de totale internationale jaaromzet bij overtreding. Met name dat laatste is een verschil met de regelgeving die Nederland inmiddels zelf al heeft opgesteld (in Nederland geldt vanaf 1 januari 2016 een boete van maximaal 820.000 euro tegemoet zien voor iedere keer dat een organisatie in gebreke blijft bij de bescherming van privacygevoelige gegevens). Maar de grootste winst zit in het feit dat er nu eindelijk zicht is op een uniform Europees databeschermingsbeleid.Uniform "Door de General Data Protection Regulation wordt goede uniforme databescherming nu een realiteit in de hele EU”, zegt Jan Philipp Albrecht van de Deense Groenen, die deze wetgeving door het Europees Parlement wist te loodsen. “Burgers kunnen nu zelf beslissen welke persoonlijke informatie ze willen delen en voor bedrijven komt er nu ook eindelijk duidelijkheid. Deze nieuwe wet zorgt voor vertrouwen, juridische eenduidigheid en eerlijke concurrentie.”Encryptie Volgens Pieter Lacroix, Managing Director Sophos Nederland, betekent deze wetgeving opnieuw werk aan de winkel voor veel organisaties. Voor zover dat nog niet gebeurd is onder druk van de meldplicht datalekken, zullen bedrijven nu snel moeten nagaan wat de impact van deze regels zal zijn voor hun Europese business. Zijn advies: "Wacht niet tot alle lidstaten hun wetgeving hebben aangepast, maar maak van databescherming een bestuurstaak. Laat je adviseren waar nodig, en zorg dat alle data die in je bedrijf omgaat proactief beschermd wordt, door encryptie toe te passen en alle beveiligingsoplossingen in de organisatie voortdurend up-to-date te houden. En houd er rekening mee dat deze wetgeving geldt voor alle bedrijven die gegevens bewaren over Europese burgers, ongeacht of zo’n bedrijf zelf een Europese basis heeft of niet."  Bron: biplatform.nl

Inhoud Informatiemanagers moeten uit hun papieren toren komen en zichzelf opnieuw uitvinden. Leidinggevenden verwachten steeds minder beheerstaken en vooral analytische vaardigheden, gekoppeld aan een groot veiligheidsbewustzijn plus creatief denken, zodat informatiemanagers verandering kunnen begeleiden. Daarop duidt onderzoek door Iron Mountain en AIIM, de wereldwijde vereniging voor de beroepsgroep. De bevindingen zijn een weerklank van een vorig jaar afgenomen enquête en wekken de indruk dat het vak technischer wordt en dichter tegen dat van data-analisten en IT-collega’s aan komt te liggen.   Risicomanagement Informatiemanagers moeten bekwaam zijn in het managen van risico’s, zegt de helft van de ondervraagden in het onderzoek. Ze moeten vaardigheden op het gebied van beveiliging en gegevensveiligheid onder de knie hebben, naast de traditionele vaardigheden voor het beheer van informatie en inhoud over verschillende platforms en in diverse formaten. Een iets kleinere groep (44% vindt vaardigheden op het gebied van data-analyse relevant. Werkgevers verwachten echter ook dat de informatiemanager van de toekomst helpt bedrijfsmatige kansen te creëren op basis van bedrijfsinformatie, en ondersteuning biedt bij ingrijpende bedrijfsveranderingen zoals fusies, overnames of desinvesteringen.   Zachte vaardigheden Er zit verschil tussen wat werkgevers verwachten en wat hun informatiemanagers kunnen bieden. Als het aankomt op ‘zachte’ vaardigheden is de kloof het grootst in de bekwaamheid om veranderingen te managen. Zeven op de tien ondervraagde managers vinden dit heel belangrijk, maar slechts de helft van de informatiemanagers vertrouwt erop dat zij over die gewenste vaardigheden beschikken. En in realiteit ligt deze bekwaamheid mogelijk lager.  Zelf waardeert 56% van de informatiemanagers zijn ervaring in het trainen van mensen, communicatievaardigheden (47%) en vaardigheden om collega´s te begeleiden (52%). Maar van de werkgevers waardeert slechts 21% deze vaardigheden en slechts 12% geeft om de mentor-eigenschappen. Dat terwijl al deze vaardigheden zeker relevant zijn bij het begeleiden van veranderingen. Positieve waardering is er voor het belangrijkst geachte zachte kenmerk van informatieprofessional: zijn of haar innovatieve denkkracht. Ruim zeven op de tien werkgevers vraagt erom terwijl zes op de tien informatieprofessionals dit denkt in huis te hebben. De vaardigheid om relaties te kunnen bouwen en onderhouden, waarderen beide groepen ongeveer bijna gelijkwaardig: 57% van de werkgevers en 62% van de informatiemanagers. “Het gaat tegenwoordig om het beheren van informatie in een snel digitaliserende wereld. Bedrijven hebben daarom allemaal hetzelfde doel voor ogen: veiligheid, voldoen aan wet- en regelgeving en tegelijkertijd het analyseren van waarde uit de bedrijfsinformatie om concurrentievoordeel te boeken en omzet te genereren”, zegt Jeroen Strik, directeur bij Iron Mountain voor de Benelux. “Werkgevers vragen eenvoudigweg de vaardigheden die daartoe benodigd zijn. Om tot de informatieprofessionals van de volgende generatie te behoren, is het belangrijk de technische, analytische en leidinggevende vaardigheden aan te scherpen, en zelfstandig te denken, te kunnen bemiddelen en te kunnen begeleiden. Anders vormen automatisering, de collega-analisten en de IT?afdeling een bedreiging.”Bron: IT-Executive

Inhoud De Meldplicht Datalekken, die per 1 januari 2016 inging, is voor veel Nederlandse organisaties een moeilijk dossier. Een privacy officer kan helpen orde op zaken te stellen. De komst van de Meldplicht Datalekken was al lang duidelijk. Toch werden pas begin december de puntjes op de i gezet, toen het College Bescherming Persoonsgegevens (CBP) zijn richtsnoeren na een consultatieronde formaliseerde tot het Beleidskader Meldplicht Datalekken. Enkele weken daarvoor gaf Udo Oelen, hoofd toezicht private sector van het CBP, al tips over maatregelen die organisaties moeten nemen om te voldoen aan hun meldplicht.   Beveilig de persoonsgegevens binnen de organisatie. Zog voor goed incidentenbeheer. Bepaal duidelijk wie in de organisatie datalekken zal beoordelen en eventueel melden bij het CBP. Dat voorkomt dat men “als een kip zonder kop” gaat rondrennen als de nood aan de man is. Denk na over hoe betrokkenen geïnformeerd moeten worden bij een lek. Wat moeten ze weten? Hoe minimaliseert het bedrijf de gevolgen? Denk na over hoe om te gaan met signalen van de buitenwereld over mogelijke datalekken. Hoe reageert het bedrijf in de media? Hoe zorgt het bedrijf voor responsible disclosure? Maak en controleer afspraken met de partijen die voor de organisatie gegevens bewerken. Wees er zeker van dat deze partijen tijdig laten weten dat er een lek bij hen is en controleer of zij dat melden bij het CBP. In die afspraken moet follow-up na het afhandelen van het lek geregeld zijn.   Privacy officer aanstellen De persoon uit de derde tip van Oelen die beoordeelt of sprake is van een datalek en dat dan meldt, is in steeds meer organisaties de privacy officer. Vooral grote organisaties hebben al privacy officers in dienst, met de komst van de meldplicht stellen steeds meer bedrijven iemand met deze functie aan. Rachel Marbus vervult die rol bij de NS. Zij gaf tijdens het Privacy Congres praktische aanwijzingen voor het privacyproof maken van een organisatie. "Voordat een bedrijf bekijkt of het kan voldoen aan de wet, moet het bepalen welk bedrijf het wil zijn; wat zijn de privacywaarden? Het zou zo kunnen zijn dat het bedrijf makkelijk kan voldoen aan de wet, maar dat dit tegen de eigen waarden in gaat." NS heeft het al snel zwaar in de publieke opinie, vindt Marbus. Als er maar iets misgaat, wordt dat snel breed uitgemeten in de media. "De koppen zijn heel snel negatief over de NS. Positieve zaken als een prijs die we wonnen voor ons privacybeleid zijn vervolgens bijna nergens te lezen." Waarmee ze maar wil zeggen dat een bedrijf goed moet realiseren hoe het publiek denkt over het bedrijf in combinatie met privacy. "Houd de eigen waarden op het gebied van ethiek en privacy goed in het oog. NS is in dit opzicht zeer risicomijdend. We blijven ruim binnen de regels van de wet. En na de problemen rond de aanbesteding in Limburg is zelfs sprake van een zerotolerancebeleid. Voor mij is dat makkelijk. Nee zeggen, is nu geen enkel probleem. Al mist NS daardoor wel kansen en innovaties." De NS bestaat uit verschillende zelfstandig opererende bedrijfsonderdelen. De directie van de NS Groep NV is de verantwoordelijke voor de Wet bescherming persoonsgegevens. Elk bedrijfsonderdeel heeft één of meer information security officers (ISO's). Er is bovendien een chief information security officer (CISO). Marbus is de privacy officer die namens de directie zorgt voor privacy compliancy en werkt daarbij nauw samen met de CISO. Zij is bovendien het enige aanspreekpunt voor het CBP. Dat voorkomt misverstanden. "Er wordt vanuit de NS 'maar met één stem met het CBP gesproken. Daarnaast is het voor mij erg makkelijk dat privacy compliancy bij de directie is ondergebracht. Mijn adviezen zijn bindend."   Voorwaarden voor goed beleid Marbus heeft een duidelijk beeld van wat belangrijk is voor een privacy officer om goed te kunnen functioneren. Een privacy officer moet: Het lef én het mandaat hebben om nee te zeggen "Dat mandaat is essentieel. De privacy officer kan een olifantshuid hebben en een rechte rug, maar zonder dat mandaat is deze functie een farce. Dan is jouw nee geen nee en betekent Jouw stem níets." Creativiteit en flexibiliteit hebben "Nadat de privacy officer nee heeft gezegd moet de privacy officer in staat zijn alsnog mee te denken naar een ja als iets op een andere manier gedaan kan worden." Ogen en oren in het bedrijf hebben "De privacy officer kan dit niet alleen doen. Zorg voor privacy ambassadeurs in de organisatie. Dat zijn de ISO's, maar weet ook wie de mensen zijn op de werkvloer die hierbij goed kunnen helpen." Regelmatig audits doen 'Audits leggen bloot wat mis kan gaan en ze bieden een goedkeurend stempel dat de privacy officer bij onderhandelingen een sterkere positie geeft." Een privacy spreekuur houden  "Een keer per maand mag iedereen bij mij binnenlopen met een vraag over prívacy. Ik krijg machinisten binnen, mensen met heel wilde plannen die nog niet op papier staan. Daardoor kan ik al vroeg met ze meedenken. Dat helpt nieuwe producten privacy vriendelijk te maken." Marbus waarschuwt dat ondernemingen binnen de grenzen van de wet moeten blijven. "Want het CBP zit er bovenop, zeker bij grote organisaties." Toch is het CBP geen boeman, zegt ze. “Ze consulteren betrokken partijen, organiseren rondetafelgesprekken, schuiven aan bij expertgroepen. Ze willen horen welke problemen wij als grote bedrijven hebben en ze willen horen wat wij van het CBP vinden. Ze denken mee na incidenten zodat het probleem goed opgelost kan worden."Auteur: Tanja de Vrede, Automatiseringsgids

Inhoud Kun je deze en andere risico's voorspellen? Hoe geef je risicogestuurd werken eigenlijk handen en voeten? En helpt het om een grote risicoafdeling op te tuigen? Immers, 'veiligheid ontstaat niet door regels of procedures, maar door het handelen van mensen'. Kwaliteitsmanagement, risicomanagement en procesmanagement, ze raken steeds meer in elkaar vervlochten. Waarbij de methodologische kant teveel nadruk krijgt, en de menskant te weinig. Daar zijn luchtvaartexpert Benno Baksteen en wetenschapper c.q. adviseur Martin van Staveren het over eens. De risico-experts spreken beiden op 19 november a.s. tijdens het Jaarcongres Procesmanagement over risicomanagement.Meer processen, meer complexiteit  In de luchtvaart is risicomanagement bottom-up gegroeid, schetst Baksteen: ‘Veiligheid is in onze sector een levensvereiste: maak je een fout, dan kun je neerstorten en overlijden. Goede processen rond risicomanagement ondersteunen de handelende mens, slechte processen proberen te voorkomen dat iets misgaat. Bij die laatste zie je in praktijk vaak dat mensen zich indekken, niet de schuld ergens van willen krijgen. Het maakt hen niet uit wat er gebeurt, als zij maar geen verantwoordelijkheid hoeven te nemen.’ Het gevolg: bonafide gedrag verandert dan makkelijk in malafide gedrag, zoals we onlangs zagen bij het emissieschandaal rond Volkswagen. ‘In de luchtvaart is dat automatisch op een goede manier gegroeid; piloten en ander personeel moeten verantwoordelijkheid nemen en indien nodig achteraf verantwoording afleggen. Veiligheid ontstaat niet door regels of procedures, maar door het handelen van mensen.’ In het algemeen ziet Baksteen dat organisaties in hun risicomanagement processen te makkelijk op elkaar stapelen. ‘Daarmee maak je het complexer, meer rigide. In veel bureaucratische organisaties redeneren medewerkers: als ik me nou maar aan de regels houd, ben ik nooit het haasje; dan kan het probleem nooit mijn probleem zijn’, aldus Baksteen.Werken aan eigen overbodigheid  Grote risico-afdelingen optuigen helpt dan ook niet, vult Van Staveren aan: ‘Dat hebben we goed kunnen zien bij de banken. Daar ging de afgelopen jaren van alles mis, onder het toeziend oog van complete afdelingen Risk Management en Compliance. Het ‘wegstoppen’ van risicomanagement in aparte afdelingen is een fundamentele fout: ‘Je moet allemaal bezig zijn met risico’s, van hoog tot laag. Want wat is nou eigenlijk een risico precies? Dat is een effect van onzekerheid op de doelen van een organisatie. Dus dat is in wezen neutraal. Omdat iedere medewerker zijn specifieke taken heeft om bij te dragen aan realisatie van die doelen, is iedere medewerker ook verantwoordelijk voor de effecten van onzekerheden om die doelen te bereiken.’ Oftewel, als iedereen dat nou maar gestructureerd en expliciet doet, heb je helemaal geen risicoafdeling of kwaliteitsmanager meer nodig. Idealiter zouden die functies eigenlijk moeten werken aan hun eigen overbodigheid. ‘Met als eindstation dat hun vakgebied integraal onderdeel uitmaakt van de lijn’, stelt Van Staveren. ‘In de overgangsfase heb je wel mensen nodig die dit stimuleren en begeleiden. Een mooie rol voor de huidige risico- en kwaliteitsmanagers.’Bron: Sigma OnlineHoe complex en rigide is risicomanagement binnen uw organisatie? En zijn alle medewerkers daar bezig met risico's, van hoog tot laag? Download hier de whitepaper over integraal risicomanagement

Inhoud Steeds meer bedrijven, overheden, systemen en applicaties worden met elkaar verbonden, maar er wordt nauwelijks nagedacht over de digitale veiligheid in deze keten. Dat zegt de nationale Cyber Security Raad, die oproept niet alleen de risico’s binnen organisaties in kaart te brengen, maar ook in de keten.   Onderdeel van de digitale keten Bedrijven en overheden staan nauwelijks stil bij het feit dat zij voor het ontwikkelen of leveren van producten en diensten onderdeel uitmaken van een digitale keten. Zij zijn aan de ene kant van het productie- of dienstverleningsproces digitaal verbonden met leveranciers en aan de andere kant met afnemers: bedrijven die op hun beurt wéér een bewerking van gegevens uitvoeren of eindgebruikers.   Internet of Things Als gevolg van het IoT neemt de onderlinge afhankelijkheid tussen organisaties toe. Steeds meer productiemachines, apparatuur, consumentenproducten en sensoren worden met internet verbonden en gekoppeld aan bedrijfsnetwerken. Deze netwerken worden daardoor kwetsbaarder en in potentie is het effect van een cyberaanval daardoor groter.   Cyber Security Raad De Cyber Security Raad roept alle bedrijven, overheden en sectoren op te onderzoeken van welke digitale ketens zij deel uitmaken, welke risico’s zij lopen en welke beveiligingsmaatregelen zij moeten treffen. Daarvoor moeten organisaties antwoord krijgen op vragen als wie van wie afhankelijk is en welke kritieke IT-systemen er zijn. En welke risico’s de verschillende partijen in de sector lopen en welke digitale veiligheidsmaatregelen er genomen moeten worden. “Al die vragen hebben ons anders naar onze bedrijfscontinuïteit laten kijken. Je kunt de fysieke processen wel op orde hebben, maar de digitale informatiestromen zijn zeker zo belangrijk. Uitval bij de een kan zo maar leiden tot uitval bij de ander”, zegt Ben Voorhorst, operationeel directeur bij TenneT en lid van de Cyber Security Raad namens de Nederlandse kritieke infrastructuur. Samen met Shell, Gasunie, Nuon, Alliander en het Nationaal Cyber Security Centrum heeft Voorhorst een risicoanalyse cybersecurity uitgevoerd binnen de energiesector. Omdat er geen effectieve analysemethode bestond voor digitale ketenveiligheid, heeft de energiesector deze zelf ontwikkeld. Deze is gratis te downloaden via de website van de Cyber Security Raad.Bron: IT Executive

Inhoud Vaak wordt een privacy statement pas achteraf toegevoegd aan een nieuw IT-systeem of een beoogde verwerking van persoonsgegevens. Regelgeving en actievere toezichtsorganen vereisen een proactieve aanpak van privacy compliance: privacy by design.   De regelgeving rond persoonsgegevens beschermt de rechten van individuele personen ten aanzien van het verzamelen, gebruiken en verstrekken van persoonsgegevens. Dit valt allemaal onder de noemer ‘verwerking van persoonsgegevens’. In de praktijk wordt dit vaak gezien als het sluitstuk van een proces waarbij persoonsgegevens worden verwerkt. Dat kan van alles zijn: een nieuwe commerciële actie, het aanbieden van een klanten- of voordeelkaart of het centraliseren van werknemersgegevens binnen een multinational. Vaak wordt pas achteraf een privacystatement opgesteld, waarin wordt opgenomen voor welke doeleinden persoonsgegevens worden verwerkt, welke gegevens het betreft en aan wie die gegevens ter beschikking worden gesteld. Daarin wordt vaak (en logischerwijs) alleen de verwerking van persoonsgegevens beschreven zoals die in het proces is geïmplementeerd. Er is weinig ruimte voor aanpassing van dat proces om beter aansluiting te vinden bij (de geest van) de regelgeving rond bescherming van persoonsgegevens. Bovendien heeft de betrokkene (degene van wie de persoonsgegevens worden verwerkt) vaak geen keuze: hij of zij moet instemmen met de voorwaarden, anders kan geen gebruikgemaakt worden van bijvoorbeeld de klantenkaart.   Toekomstige regelgeving Toekomstige privacyregelgeving vereist echter een geheel andere aanpak. De voorgestelde nieuwe EU-privacyverordening gaat uit van het principe van privacy by design. De bescherming van persoonsgegevens moet daarbij al bij het ontwikkelen van een nieuw IT-systeem of een nieuw product waarbij persoonsgegevens worden verwerkt, in ogenschouw worden genomen. Dit dwingt organisaties (bedrijven, overheden en andere instellingen) om privacystandaarden en controlemechanismen voor betrokkenen in te bouwen in de kern van het nieuwe systeem of proces. Al bij de analyse van de wijze waarop een nieuw systeem wordt opgezet en ingericht, moet de bescherming van persoonsgegevens een belangrijke rol spelen. Daarbij kan worden gedacht aan dataminimalisatie (zo min mogelijk persoonsgegevens verzamelen), pseudonimisering of anonimisering van persoonsgegevens, het scheiden van persoonsgegevens in verschillende bestanden en het sneller verwijderen van (delen van) verzamelde persoonsgegevens gedurende het verwerkingsproces.   Hoe privacy by design implementeren? Het implementeren van privacy by design begint bij het creëren van bewustwording en kennis van privacyregelgeving bij IT-ontwikkelaars en marketing- en business development-teams binnen organisaties. Op die manier kan de bescherming van persoonsgegevens vanaf de start worden meegenomen bij het opzetten van het systeem of product. Dataminimalisatie en bescherming van verzamelde persoonsgegevens vormen dan een integraal onderdeel van het systeem of product en zijn standaard ingeschakeld. Betrokkenen hoeven geen actie te ondernemen om de bescherming van persoonsgegevens te activeren.   Voordelen van privacy by design De voordelen van privacy by design worden in toenemende mate erkend. Recentelijk hebben privacytoezichthouders van over de hele wereld opgeroepen om privacy by design toe te passen bij big data-verwerkingen. Privacy by design kan daarnaast kostenvoordelen meebrengen, doordat minder gegevens worden verwerkt en niet achteraf aanpassingen hoeven te worden gedaan aan een al ontwikkeld systeem of product. Ook vermindert privacy by design het risico op datalekken (verlies of ongeautoriseerde toegang tot persoonsgegevens). Dat levert ook voordelen op vanuit het oogpunt van reputatiemanagement. Een organisatie die robuuste privacycompliance-processen implementeert, zal waarschijnlijk het vertrouwen in de organisatie en producten bij zowel toezichthouders als het publiek zien groeien.   Waarom privacy by design omarmen? Overheden en privacytoezichthouders van over de hele wereld hebben steeds meer aandacht voor de bescherming van persoonsgegevens. Dit is vaak gedreven door de wens om consumenten beter te beschermen. Ook de opkomst van big data en het internet der dingenleveren een bijdrage. Zeker binnen de EU is er grote aandacht voor de versterking van de bescherming van persoonsgegevens. Het huidige concept van de EU-privacyverordening benoemt expliciet privacy by design als een van de belangrijkste manieren om persoonsgegevens te beschermen en daarbij te voldoen aan de eisen van de verordening.   Dreigende reputatieschade De beoogde sanctie op niet-nakoming van de verordening zijn fors: een boete bedraagt maximaal honderd miljoen euro, of vijf procent van de wereldwijde omzet (de hoogste van beide). Daarnaast kan een onderzoek (al dan niet gevolgd door een boete) leiden tot reputatieschade. Privacytoezichthouders worden steeds actiever en werken bovendien steeds meer samen. Recentelijk hebben toezichthouders uit de EU bijvoorbeeld een gecoördineerde cookie sweep gehouden, waarbij websites zijn gecontroleerd op compliance met de cookiewetgeving. Ook vanuit de politiek is er meer aandacht voor de bescherming van persoonsgegevens.   Vertrouwen consument vergroten Organisaties doen er goed aan om te anticiperen op de aanstaande wijzigingen in de regelgeving op het gebied van de bescherming van persoonsgegevens. Door privacy by design te omarmen, kunnen bedrijven niet alleen sancties voorkomen, zij kunnen ook het vertrouwen van de consument vergroten door hier open en transparant over te communiceren.Auteurs: Marc Elshof & Barry BreedijkHoe goed zijn uw persoonsgegevens beschermd? En wat zijn volgens u de belangrijkste risico's en grootste gevaren van een gebrekkige persoonsbescherming?

Inhoud Nederlandse gemeenten moeten aan de slag met het risicobewustzijn van ambtenaren en bestuurders rond informatiebeveiliging, zegt BDO Accountants & Adviseurs in het rapport Informatiebeveiliging Nederlandse gemeenten 2016. Bij de beveiliging van digitale informatie volgen de meeste gemeenten de letter van de wet, maar daar is dan ook alles mee gezegd. De meeste risico’s schuilen in de menselijke factor. Nederlandse gemeenten hebben overigens betrekkelijk vaak een veiligheidsfunctionaris in dienst, maar deze heeft vaak niet de juiste papieren. De uitkomsten zijn volgens de opstellers van het rapport zorgwekkend nu gemeenten steeds meer taken van de landelijke overheid overnemen. Steeds meer gevoelige gegevens van burgers worden daardoor bij gemeenten opgeslagen. Ook groeit het aantal samenwerkingen waarbinnen persoonsgegevens en privacygevoelige data onderling worden uitgewisseld. Denk aan medische dossiers die gemeenten en zorginstellingen met elkaar delen.   Ketenpartners “Het is de vraag hoe ver je daar als gemeente mee wilt gaan, want je neemt een risico”, zegt Frank van der Lee, partner en specialist op het gebied van de publieke sector bij BDO en een van de samenstellers van het rapport. “Gemeenten zouden er ook voor kunnen kiezen kaders op te stellen en daarbinnen zorginstellingen of andere ketenpartners, zoals woningcorporaties, te vertrouwen. Dan hoeft dit soort gevoelige data minder vaak gedeeld te worden.” Gemeenten moeten beseffen dat informatiebeveiliging verder gaat dan de IT-afdeling. “De medewerker die een usb-stick naar huis neemt en onderweg verliest, is haast een klassiek voorbeeld geworden,” zegt Robert van Vianen, partner en specialist cybersecurity bij BDO. “De meeste datalekken zijn het gevolg van menselijk handelen. Informatiebeveiliging is een mensenkwestie, geen systeemkwestie. Dat besef ontbreekt in veel gevallen. De meeste gemeenten beperken de databeveiliging tot maatregelen die de IT-afdeling neemt.”   Datalekken bij driekwart gemeenten Uit een peiling van BDO blijkt dat driekwart van de Nederlandse gemeenten de afgelopen twee jaar minimaal één keer te maken heeft gehad met een datalek. Bij 42% ging dit om privacygevoelige informatie. Zo’n 14% kwam daarachter via de media. In het kader van de Meldplicht Datalekken raadt BDO gemeenten aan een vaste commissie aan te stellen die snel kan bepalen of de Autoriteit Persoonsgegevens ingelicht moet worden bij een datalek. Zo worden boetes voorkomen en worden burgers tijdig op de hoogte gesteld. Nederlandse gemeenten hebben volgens Van Vianen nog veel werk op het gebied van databeheer te verzetten. “Velen kennen de nieuwe en aankomende wetgeving niet goed genoeg, laten data wegsijpelen en nemen nog onvoldoende maatregelen. In een gemeenteraad zal het ook niet snel gaan over het vrijmaken van budget voor een informatiebeveiligingsprogramma om het bewustzijn te vergroten. Databeheer wordt teveel gezien als een ambtelijke aangelegenheid, en dan ook nog eens beperkt tot de IT-afdeling.”Bron: IT ExecutiveWeten hoe u deze risico’s rond informatiebeveiliging nu op uw eigen organisatie projecteert? Deze online sessie geeft u handvatten hoe u risico’s in kaart kunt brengen en welke vervolgstappen u kunt nemen. Van risico analyse tot awareness.