Waar sommige gemeenten al een enerverend en soms heftig 2023 achter zich laten, staat één ding vast: het belooft een spannend informatiebeveiligingsjaar te worden. Normaal kan het al best spannend worden als je het slachtoffer bent van spearphishing, datalekken of nog erger een ransomware aanval. Dit jaar krijgen we ook te maken met een aantal belangrijke veranderingen op het werkterrein van informatiebeveiliging. 

BIO 2.0

Het gonst al een tijdje over de nieuwe versie van de huidige BIO. De huidige versie 1.04 dateert alweer van 2018, en is ingegaan op 1 januari 2019. BIO 2.0 is gebaseerd op ISO27001:2022, de meest recente informatiebeveiliging ISO-versie van dit moment.
Vooruitlopend op de definitieve versie van BIO 2.0 is er een BIO 2.0-opmaat uitgebracht zodat CISO’s zichzelf en hun bestuurders kunnen voorbereiden op wat er van hun verwacht gaat worden. 

Waar bij BIO 1.x de toevoeging en uitbreiding van de toenmalige BIG vooral lag op een eerste stap in risicomanagement, is de BIO 2.0 in vergaande stappen aangescherpt in risicomanagement. Ook is er flink uitgebreid op het gebied van continuïteitsmanagement, de ketenveiligheid met softwareleverancier, clouddienst of ander samenwerkingsverband. 

Wat verandert er dan concreet?

Omdat de structuur van ISO 27001:2022 is veranderd, is ook de opbouw van BIO 2.0 volledig veranderd en gaat van 14 hoofdstukken terug naar 4 hoofdstukken; Mensen, Fysieke Objecten, Technology en Organisatie. 

Het aantal maatregelen wordt verminderd van 114 naar 96. Da’s mooi zou je denken, maar er is een aantal maatregelen samengevoegd en uitgebreid waarbij al snel blijkt dat er eigenlijk meer werk is bijgekomen. Er komen daarnaast nog 13 nieuwe maatregelen bij. 

BIO 2.0 bevat nieuwe attributen, aanvullende informatie, over de maatregelen. Denk hierbij aan control types, met de opties zoals “preventief”, “defectief” en “correctief”.
Op dit moment is de huidige BIO verplicht voor alle bestuurslagen. Dit is vastgelegd in de circulaire Toepassen van de Baseline Informatiebeveiliging Overheid versie 1.04 in het digitale verkeer met het Rijk van 19 december 2019 (2019-0000684575).

Vanuit het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties wordt gewerkt aan een wettelijke verankering van de BIO, vermoedelijk in de Wet beveiliging netwerk- en informatiesystemen (Wbni) en/of de Wet digitale overheid (Wdo). De verwachting is dat rond oktober 2024 herziene versie van de Wbni en BIO 2.0 in werking zal treden.  

NIS 2

NIS2 is de opvolger van de oude Europese richtlijn voor ‘Network Information Security’ die in Nederland is opgenomen in de Wet beveiliging netwerk- en informatiesystemen (Wbni). De richtlijn legt minimale beveiligingsmaatregelen vast voor organisaties en specificeert welke entiteiten eraan moeten voldoen. NIS2 is een Europese richtlijn. Lidstaten van de EU zijn verplicht om de naleving te controleren. Waar BIO geldt voor Nederlandse overheden geldt NIS 2 voor elk Europees bedrijf. 

Er is de laatste tijd onenigheid en twijfel ontstaan of de NIS 2 -richtlijn ook voor lokale overheden zou gelden. Intussen is vastgesteld door de Europese commissie en overgenomen door de Nederlandse ministeries dat NIS2 ook voor lokale overheden geldt en moet worden ingevoerd en geïmplementeerd voor 18 oktober 2024. Een klein detail is dat op dit moment nog geen officiële Nederlandse vertaling is van de NIS 2-richtlijn en geen wet die implementatie afdwingt. Dat brengt mogelijk de invoeringsdatum in gevaar. Het is ook een feit dat de nieuwe Wbni niet minder kan en mag eisen dan wat de EU heeft vastgesteld in de NIS 2-richtlijnen. 

Aan welke maatregelen naast BIO 2.0 moet ik dan denken?

Incidentregistratie kent aanvullende eisen ten opzichte van de BIO 2.0. De NIS 2 is, naast interne organisatie, ook sterk gericht op externe notificatie. Business continuïteit, crisismanagement en ketenmanagement heeft nog meer aandacht in NIS 2 dan nu in de BIO staat. Dit is in lijn met de regierol die de gemeente de afgelopen jaren steeds meer krijgt en moet nemen. Daar vormt informatiebeveiliging geen uitzondering op. NIS 2 verwacht en vereist een meer actievere rol van de organisatie. Dit gaat dan meer over houding, gedrag en bewustwording van de totale organisatie. Verregaande uitbreiding en standaard inzet van 2FA beveiliging zoals beveiligde spraak-/tekst- en videoverbindingen en beveiligde noodcommunicatiesystemen. 

NIS 2 geldt altijd en maakt geen onderscheid in type systemen zoals BIO en ISO27001 dat nog wel doen. Het betekent bijvoorbeeld ook dat de gehele kantoorautomatisering en netwerkautomatisering (ook wel Operationele Technologie genoemd) en procesautomatisering ook aan NIS 2-richtlijnen moeten voldoen. Dit is in de BIO onderbelicht, al zien we sommige auditors op dit vlak al gerichte vragen stellen en opmerkingen maken. 

Artificiële Intelligentie

In 2023 was AI het absolute toponderwerp van gesprek en dat zal in 2024 niet anders zijn. De nieuwe ontwikkelingen volgen elkaar in een rap tempo  op. En laten we eerlijk zijn, we kunnen het ook niet stoppen en dat willen we ook eigenlijk niet. Goede toepassingen van nieuwe AI-toepassingen gaan ons zoveel helpen om onze samenleving te verbeteren. De vraag is eerder: hoe gaan we hier in professionele organisaties zoals lokale overheden mee om? Zeker in context van informatiebeveiliging en privacy want daar kan het op sommige momenten aardig schuren met nieuwe AI-ontwikkelingen, en dat is maar goed ook.  

In januari is er een concept AI act, een nieuwe Europese wet, gedeeld. In grote lijnen is  de AI-definitie van het OECD overgenomen en wordt de gehele AI act uitgekleed en is wat mager ingestoken. In de act wordt bepaald dat deze alleen geldt voor systemen die gegeneerde uitkomsten ‘afleiden’ uit input. Hierdoor vallen logica-gebaseerde systemen, zoals beslisbomen, buiten scope waar in onze ogen net zo veel zo niet meer risico en/of schade in kader van informatiebeveiliging en privacy kan optreden. Bovendien bestaat het risico dat er sneller gekozen wordt voor logica-gebaseerde systemen, in plaats van AI-systemen, omdat die niet onder de AI act vallen. Staatssecretraris Van Huffelen heeft al laten doorschemeren dat Nederland mogelijk aanvullende eisen gaat stellen, mede ingegeven door o.a. de toeslagenaffaire.  

We zien dat naast de technische aspecten ook steeds vaker ethiek bij het AI-vraagstuk wordt betrokken. De universiteit van Utrecht doet hier al jaren onderzoek naar en heeft zich ondertussen ontwikkelt als een belangrijke Nederlandse speler en toonaangevende specialist op dit gebied. Met het Impact Assessment voor Mensenrechten bij de inzet van Algoritmes (IAMA) kan een afgewogen discussie gevoerd worden tussen de relevante partijen bij de afweging om wel of niet een algoritmische toepassing te gaan ontwikkelen. En het IAMA helpt om de gekozen ontwikkeling en implementatie vervolgens op een verantwoorde manier te doen. In het IAMA worden verbanden gelegd met relevante regels, instrumenten en toetsingskaders op het gebied van algoritmen. Het IAMA is opgesteld door Prof. mr. Janneke Gerards, Dr. Mirko Tobias Schäfer, Arthur Vankan en Iris Muis.
Gelukkig kunnen we ook al inzicht van zaken geven met het algoritmeregister, de huidige risicoanalyses zoals DPIA en  IAMA. 

En wat nu?

Ga vooral met bestuurders en management in gesprek over deze 3 onderwerpen. Probeer tijd, mensen en middelen vrij te maken zodat je gefaseerd aan de nieuwe BIO 2.0-maatregelen, de NIS 2-richtlijnen en AI-ontwikkelingen kunt implementeren in je organisatie. Ook al kunnen de genoemde ontwikkelingen nog veranderen, ze zijn voor ongeveer 95% al helder en duidelijk. Het advies is om er nu al mee te beginnen. Hoe langer men wacht, hoe meer werk het wordt om dit in korte tijd geïmplementeerd te krijgen. 

Het NCSC (Nederlands Cyber Security Center) heeft een handige NIS 2-quickscan uitgebracht die je helpt bij de voorbereiding van de nieuwe cyberwet. De quickscan biedt door middel van 40 ja/nee vragen een goed handelingsperspectief per thema met technische en organisatorische maatregelen.

Vraag daarnaast aan je ISMS-leverancier of zij kunnen helpen door het leveren, inzetten en omzetten van BIO 1.04 naar de juiste templates van BIO 2.0 en NIS 2 die je helpen om inzicht te krijgen welke werkzaamheden  bij welke maatregelen en controls horen, zodat je bij de volgende audit beter beslagen ten ijs komt.  

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy specialist, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl. 

Ik ben, net als jullie waarschijnlijk, frequent gebruiker van WhatsApp. Daarnaast gebruik ik sinds 2 jaar Signal voor communicatie waarbij veilige berichten versturen met informatiebeveiliging en/of privacy gevoelige gegevens belangrijk zijn. De laatste tijd komt WhatsApp steeds meer in opspraak en wijken vele gebruikers uit naar alternatieven zoals Signal en Telegram.

Maar hoeveel weet je over deze rivaliserende messaging apps? Als je de krantenkoppen mag geloven, zou je denken dat ze allebei veiliger zijn dan WhatsApp, toch? Ja… en nee. Zoals wel vaker ligt het iets genuanceerder en gecompliceerder. In onderstaand artikel probeer ik duidelijk te maken wat de verschillen zijn zodat je voor jezelf makkelijker de keuze kunt maken welke messenging app het beste bij je past.

Gebruikers stappen over…

Inmiddels heb je vast wel gehoord over een reeks incidenten bij WhatsApp die ertoe hebben geleid dat miljoenen WhatsApp-gebruikers overstappen op alternatieven. Aanleiding waren de privacy labels van Apple die wezen op de uitgebreide metadata die worden verzameld door WhatsApp van haar 2 miljard gebruikers. WhatsApp klaagde en zei dat het oneerlijk was omdat Apple voor eigen iMessage geen privacy label had. Toen Apple dat publiceerde zag dat er voor WhatsApp alleen nog maar slechter uit.

Direct hierna heeft WhatsApp besloten om een verandering van de voorwaarden af te dwingen op al haar gebruikers. Het doel was eigenlijk om zakelijke klanten van Facebook te faciliteren om te kunnen communiceren met en producten/diensten te verkopen aan WhatsApp-gebruikers. Geen echte veiligheid of privacy kwesties vonden ze bij WhatsApp. Maar de verandering was zo onhandig geformuleerd, wat weer leidde tot, in mijn ogen terechte, ophef over het delen van privé-gebruikersgegevens van WhatsApp met Facebook.

WhatsApp probeerde daarna nog een keer het doel van het verzamelen van de metadata te verduidelijken en vervolgens wederom te komen met de redenen voor de gewijzigde servicevoorwaarden. Maar de schade was aangericht. De oorspronkelijke ingangsdatum van 8 februari werd voorlopig verzet naar 15 mei. En nu enkele weken later zijn Signal en Telegram de belangrijkste winnaars van de WhatsApp incidenten van afgelopen maanden. Als je één van de miljoenen bent die al zijn overgestapt of je overweegt dit te doen, dan kan dit artikel helpen beslissen of je moet wisselen naar een nieuwe app.

Ben je echt veiliger als je overschakelt naar Signal of Telegram?

De WhatsApp incidenten en ophef zijn gericht op de verzameling metagegevens: het wie, wanneer en waar van een bericht in plaats van de inhoud ervan. Alhoewel WhatsApp in alle toonaarden ontkent iets privé of gevoeligs te delen met Facebook, verzamelt het bedrijf nog steeds te veel. Waar echter niet aan getwijfeld wordt, is de beveiliging die het op jouw berichten zelf van toepassing is.

End-to-end encryptie

WhatsApp maakte end-to-end encryptie voor eindgebruikers in “messaging land” populair, waar alleen de afzender en ontvangers van een bericht de inhoud ervan kunnen lezen, en verdient hiervoor en voor het verdedigen van het gebruik van dergelijke beveiliging in mijn ogen een grote pluim. Ondanks de inspanningen van Amerikaanse wetgevers om op allerlei manieren backdoors te verplichten. Ja, er zijn voorbeelden van de beveiliging van WhatsApp die in 2019 is aangetast, het meest bekend voorbeeld is door vermeende Israëlische spyware. Dit zijn eigenlijk endpoint-compromissen, aanvallen op een zwakheid van de WhatsApp applicatie op je telefoon meestal in combinatie zonder two-factor-authentication. Dit zijn geen zwakke punten in de eigen infrastructuur van WhatsApp.

Signal opensource

De beveiliging van Signal is beter dan die van WhatsApp. Beide maken gebruik van Signal’s encryptie protocol. Signal is volledig opensource, wat betekent dat het kan worden onderzocht op kwetsbaarheden door security onderzoekers. WhatsApp maakt gebruik van zijn eigen  closed source implementatie. Maar beide apps zijn end-to-end versleuteld: met andere woorden jouw berichtinhoud is veilig. De belangrijkste beveiligingszwakte van WhatsApp is de cloud back-up optie, die jouw chatgeschiedenis opslaat, zonder end-to-end-encryptie in de cloud van Google of Apple. Erg handig als je wisselt naar een nieuwe telefoon en je wil jouw chatgeschiedenis meenemen naar je nieuwe telefoon, maar bijna dodelijk als je het zo regelt als Google of Apple dat nu doen in het kader van informatiebeveiliging. Signal biedt om veiligheidsredenen geen gelijksoortige optie.

“Geheime chat” Telegram

De situatie met Telegram is heel anders. Ironisch genoeg verhuizen gebruikers van WhatsApp naar Telegram vanuit een oogpunt van “betere” veiligheid. Telegram biedt standaard echter geen end-to-end encryptie. Er is een “geheime chat” optie, waar een gebruiker kan een bericht een ander met behulp van end-to-end encryptie tussen de twee apparaten en het enigszins omzeilen van de cloud van Telegram. Maar dit geldt helaas niet voor groepen.

Het encryptie probleem maakt het vanuit een puur informatieveiligheidsoogpunt moeilijk om Telegram aan te bevelen. Het ontbreken van standaard end-to-end encryptie geeft gebruikers een vals gevoel van privacy. Technisch gezien heeft Telegram toegang tot al jouw berichten ook die “geheime chat” berichten. Zij worden ook opgeslagen op de servers van Telegram, een back-up van de cloud en waar tevens de sleutel wordt opgeslagen. MTProto, het encryptieprotocol dat door Telegram wordt gebruikt, is eigendom van Telegram en slechts gedeeltelijk opensource. In werkelijkheid vertrouw je Telegram met de inhoud van jouw berichten. Ondanks dat er nog geen ernstige claims en beschuldigen zijn van misbruik door Telegram, is dit toch anders dan een provider die technisch niet in staat is om toegang te krijgen tot jouw inhoud, zelfs als ze dat willen.

Veiligheid grootste zorg?

Als veiligheid jouw grootste zorg is, dan is Signal de beste alternatief van WhatsApp. Signal is bekritiseerd voor het gebruik van telefoonnummers als de primaire ID, hoewel het zegt dat het geen gegevens die zijn gekoppeld aan het nummer te verzamelen. Signal is ook bekritiseerd voor het waarschuwen van gebruikers wanneer een van de contacten van hun telefoon sluit zich aan, bedoeld om virale groei te stimuleren. Nogmaals, Signal zegt dat dit wordt gedaan zonder afbreuk te doen aan de veiligheid, en de matching van nieuwe gebruikers om contacten van een telefoon is geanonimiseerd.

Je zou een nog veiliger alternatief als het Zwitserse Threema ( https://threema.ch/en/ ) kunnen overwegen. Bij deze app is geen telefoonnummer vereist  en dus volledig anoniem, maar tegelijkertijd vindt je bijna geen van jouw contacten op het platform.

Sommige informatiebeveiligingsonderzoekers waarschuwen dat elke messaging app die functionaliteit uitbreid klem komt te zitten met zaken als privacy en informatiebeveiliging. Dit zie nu al duidelijk bij WhatsApp maar begint nu ook bij anderen parten te spelen. Bijvoorbeeld: Telegram biedt functies zoals kanalen, dat zijn openbare feeds. Telegram mixt messaging-methoden die end-to-end versleuteld zijn met anderen, zoals normale chats en kanalen, die dat niet zijn. De meeste mensen zullen het verschil niet zien, kiezen mogelijk zonder dat ze dit zelf weten voor een functie die minder veilig is.

Vaarwel WhatsApp: maar wie zit er achter Signal en Telegram?

De meeste van ons kennen de voor en tegens van het gebruik van een Facebook-platform waar WhatsApp al een tijdje deel van uit maakt. Samen met Google vormen ze ‘s-werelds meest data-hongerige bedrijven, maar hoe zit dat met Telegram en Signal?

Telegram

Telegram wordt beheerd en gefinancierd door de Russische sociale media miljardair Pavel Durov, en opereert vanuit geheime locaties. In de beginjaren werd Telegram beroemd als het platform bij uitstek voor dissidenten en demonstranten en, helaas ook voor criminelen en extremisten, die allemaal hun communicatie buiten het bereik van de autoriteiten willen houden. Ondanks het gebrek aan end-to-end encryptie standaard en het feit dat Telegram de decryptie sleutels bezit. Telegram zegt dat ze deze sleutels moet hebben om toegang te krijgen tot berichten en vervolgens alle pogingen van de rechtshandhaving om toegang tot inhoud te frustreren. Dit geeft een goed inzicht in de oorspronkelijke filosofie achter Telegram.

Signal

Signal is opgericht door beveiligingsonderzoeker Matthew Rosenfeld die de beetje obscure naam Moxie Marlinspike gebruikt voor zijn publieke profiel. Tot eind 2018 was het platform vrij niche en tenzij je in een of andere vorm van informatiebeveiliging werkte, was het onwaarschijnlijk dat de app op je telefoon te vinden was. Maar toen verliet Brian Acton, een van de oprichters van WhatsApp, Facebook en investeerde $50 miljoen in Signal om het mainstream en populair te maken. Voordat Brian Acton betrokken was bij de ontwikkeling was Signal vrij onhandig te gebruiken. Maar dat is nu allemaal veranderd. Signal heeft een goede gebruikersinterface en beschikt over, net zoals rivaal WhatsApp, groepsgesprekken, stickers en Voip telefoongesprekken. Eigenlijk is Signal geworden wat WhatsApp voor ogen had voordat ze werden overgenomen door Facebook en er een andere wind ging waaien.

Financiering versnelde groei

Telegram is particulier eigendom en er is sprake van een mogelijke beursgang om de groei te blijven financieren, terwijl Signal opereert als een non-profit stichting. Beide platforms worden nu geconfronteerd met vragen over hoe ze hun versnelde groei zullen financieren. Het runnen van een wereldwijde messenger met tientallen miljoenen gebruikers (Signal) of honderden miljoenen gebruikers (Telegram) is niet goedkoop. Op dit moment komt de financiering van de platformen van   rijke investeerders en donaties, maar het is onduidelijk of dat gelijke tred zal houden met de groei.

Telegram is vrij openlijk over deze uitdaging, wat suggereert dat ze mogelijk kosten in rekening gaan brengen aan gebruikers voor premium diensten. De Signal Foundation wordt gefinancierd met donaties en de investering van uitvoerend voorzitter Brian Acton. Het is onduidelijk of die donaties genoeg zullen zijn als Signal zo blijft doorgroeien als de laatste weken.

Zijn Signal en Telegram echt beter voor je dan WhatsApp?

Ja… en nee. Het is ongetwijfeld waar dat de focus van Facebook op het verzamelen en verwerken van gegevens in strijd is met de principes van veilige, privéberichten. Het lijkt ook duidelijk dat de richting voor WhatsApp nu in de richting van commerciële diensten, winkelen en betalingen ligt. Nog zorgwekkender is dat Facebook in zijn lange termijn planning heeft aangegeven dat het WhatsApp platform volledig word geïntegreerd met Facebook, Facebook Messenger en Instagram. Dit is geen goed nieuws voor WhatsApp-gebruikers.

WhatsApp heeft ook op het gebied van functionaliteit zwakke punten. Nog altijd is het ontbreken van echte multi-device opties het belangrijkste zwakke punt. Zowel Telegram als Signal bieden aanzienlijk betere opties dan WhatsApp, met volledige zelfstandige tablet- en desktop-apps.

Maar een messaging-platform is slechts zo nuttig als het aantal gebruikers die er aan deelnemen. Dit was altijd de uitdaging van Signal en Telegram maar met alle negatieve publiciteit rondom WhatsApp lijkt dit opgelost te worden. Gebruikers stappen massaal over. Het lijkt er op dat Signal de race aan het winnen is van Telegram. Dit komt waarschijnlijk mede door de permanente end-to-end encryptie van Signal, een must in mijn ogen. Het negatieve imago van Telegram die populair is het in het criminele circuit en bij de maffia als favoriet communicatie middel zal daar ook vast aan bijdragen.

Afgezien van Apple’s iMessage die beperkt is tot de eigen miljoenen Apple gebruikers, is op dit moment alleen Telegram met 500 miljoen accounts echt een concurrent voor WhatsApp. De enige reden die ik kan bedenken waarom een gebruiker over wil schakelen van WhatsApp naar Telegram is als deze de behoefte heeft om aan Facebook te ontsnappen. Voor extra veiligheid en transparantie hoef je in elk geval niet te doen. Het gebrek aan end-to-end encryptie is in mijn ogen echt een behoorlijk nadeel. Voor mij is dat niveau van bescherming een must, maar misschien is mijn informatiebeveiligingshart aan het spreken. Signal groeide na het slechte nieuws van WhatsApp in januari in één dag van 10 miljoen naar 50 miljoen gebruikers. Op dit moment hebben ze al meer dan 100 miljoen gebruikers en zijn ze een directe serieuze concurrent van Telegram en WhatsApp geworden.

Misschien heeft het er ook wel mee te maken dat Signal’s non-profit status verfrissend is in tegenstelling tot grote ICT bedrijven die op dit moment meer geloven in grootschalige data mining en persoonlijk financieel gewin.

je kunt privacy hebben of je kunt volledige controle hebben over de inhoud van berichten-apps, maar je kunt helaas niet beide hebben.

---

De experts zijn het er over eens, er zal geen “winner-takes-all” scenario zijn. Waarschijnlijk blijven vele mensen WhatsApp nog lange tijd gebruiken omdat daar hun vrienden en bekenden zich bevinden en daarnaast wordt er als alternatief  een veiligere messaging app zoals Signal geïnstalleerd.

Dit brengt ons bij de kern van het probleem en dilemma met beveiligde berichten van dit soort messaging platformen: je kunt privacy hebben of je kunt volledige controle hebben over de inhoud van berichten-apps, maar je kunt helaas niet beide hebben.

Hierboven hadden we het al even over privacylabels van iMessage en WhatsApp, wat verzamelt een applicatie aan gegevens die ze mogelijk weer voor andere doeleinden kunnen gebruiken. Maar hoe zit dat met de rest van messaging landschap. Hieronder zijn de belangrijkste messaging producten van dit moment opgenomen. Hoe meer items worden genoemd, hoe meer gegevens er verzameld worden die terug te herleiden zijn naar jou en mogelijk ook voor andere doeleinden worden gebruikt.

En hoe zit dat nu bij gemeenten?

Bij gemeenten net zoals bij veel ander organisaties worden veel met persoonlijk gevoelige gegevens gewerkt. Denk hierbij vooral aan het sociaal domein en burgerzaken. In vele gemeenten is een omnichannel communicatie strategie in gezet om contacten met burgers mogelijk te maken en te onderhouden. Daar hoort ook vaak WhatsApp bij. Met zo’n 11-12 miljoen Nederlandse gebruikers is dat niet zo gek en een makkelijk manier om met je klant, de burger, in contact te komen.

Helaas kom ik bij gemeenten op KCC’s nog vaak de consument-versie tegen, deze is niet geschikt om in professionele omgevingen zoals gemeenten te gebruiken. Zoals hierboven al gezegd, er wordt wel gebruikt van end-to-end encryptie maar de backup van je smartphone gebeurd zonder encryptie. Gelukkig kiezen de meeste gemeente voor de business versie die met behulp van software een API gebruikt. Hierdoor zijn KCC-applicatieleveranciers in staat om WhatsApp chat functie in te bouwen in hun applicatie en bijvoorbeeld de informatie in een zaaksysteem op te slaan. Omdat er geen smartphone wordt gebruikt voor deze oplossing is er ook geen backup bij google of apple zonder encryptie mogelijk.

Voor werk gerelateerde communicatie tussen ambtenaren onderling raden we WhatsApp altijd af omdat de lijn tussen wat er wel en niet mag in het kader van privacy gevoelige gegevens nog veel meer discussie oplevert. We proberen hierbij altijd de bewustwording te vergroten.

Eigenlijk moet de discussie niet zijn waar staat het maar waar wordt de informatie voor gebruikt.

---

Ander dilemma waar informatiebeveiligingsadviseurs het altijd over moeten hebben is waar informatie in de cloud wordt opgeslagen. Bij de 3 genoemde platformen ligt deze in Amerika (WhatsApp en Signal) en Rusland (Telegram). WhatsApp en Signal hebben een end-to-end encryptie, Telegram zegt wel dat ze (soms) encryptie gebruiken maar ze bewaren zelf ook de encryptie sleutels, dus eigenlijk is dat geen end-to-end encryptie.

Eigenlijk moet de discussie niet zijn waar staat het maar waar wordt de informatie voor gebruikt zonder dat je het weet.

Het WhatsApp platform is best veilig maar het is van Facebook, de eigenaar van WhatsApp, die geen beste reputatie heeft met het delen van informatie waardoor ook WhatsApp in een kwaad daglicht komt te staan. Gelukkig heeft Europa kunnen afdwingen bij facebook dat de voorwaarden die gaan gelden vanaf 15 mei vanwege de AVG en de overeenkomst die er ligt met Amerika niet voor Europa gaat gelden

Messaging apps zullen altijd blijven bestaan en de grootte van de “userbase” blijft bepalend of mensen deze zullen gebruiken. Daarbij zullen gebruikers en bedrijven bewust een balans moeten vinden  in klantvriendelijkheid en privacy. En dat is zeker geen gemakkelijke opgave.

Voorlopig blijf ik WhatsApp en Signal gebruiken. WhatsApp voor familie en vrienden en Signal voor mijn werk.

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy adviseur bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.

Een dynamische club, de gemeenschappelijke regeling ICT West-Brabant West (ook wel ICTWBW genoemd), een automatisering samenwerking bestaande uit 5 gemeenten waar ik bijna 2 jaar geleden een opdracht kreeg om als tijdelijke CISO informatiebeveiliging verder te professionaliseren en een vaste medewerker als CISO op te leiden.

Als ik in januari 2019 aan mijn opdracht begin, bestaat de GR bijna 3 jaar. De gemeenten Moerdijk, Etten-Leur, Bergen op Zoom, Roosendaal, Tholen zijn de deelnemers en eigenaar van ICTWBW. . Daarnaast verleent ICTWBW nog de ICT-dienstverlening voor een tweetal Gemeenschappelijke regelingen en een tweetal stichtingen. ICT-medewerkers waren zich met allerlei projecten en programma’s aan het voorbereiden voor een transitie van de eigen bestaande ICT-infrastructuur bij elke afzonderlijke deelnemer naar een gemeenschappelijke infrastructuur in nieuwe datacenters. Met deze zogenaamde ‘lift & shift’-projecten, eerst upgraden en daarna verhuizen naar nieuwe datacenter, kwamen complexe problemen bovendrijven. Upgraden naar Windows 2016 servers en Windows 10 werkstations en dat met 5 gemeenten tegelijk blijkt gemakkelijker gezegd dan gedaan.

Van reactief naar proactief

Door het ontbreken van capaciteit van een CISO bij ICTWBW is er tot januari 2019 onvoldoende aandacht voor met de name de governance van informatiebeveiliging. Dit tot ongenoegen van de CISO’s van de deelnemende gemeenten.  Zoals je in het verleden wel vaker zag bij automatiseringsafdelingen en automatiseringssamenwerkingen in het bijzonder ligt de focus op het helpen van klanten. Met name door incidentmanagement, het oplossen van problemen, changemanagement, een beetje releasemanagement en een stukje business continuïteit in de vorm van backup en recovery procedures. Op zich niks mis mee maar ook ICTWBW wil in plaats van reactief toch zeker ook proactief op kunnen treden door problemen aan te zien komen en ze op te lossen voordat de klant hiervan hinder ondervindt. Hier kan het implementeren van een goed informatiebeveiligingsbeleid van grote toegevoegde waarde zijn om de proactiviteit van de organisatie goed uit te kunnen nutten.

Wat eerst?

Eerst is er een IB-beleid, IB-governance en een IB-plan vastgesteld door het MT waardoor zij  deelgenoot en verantwoordelijk zijn gemaakt voor informatiebeveiliging. ICTWBW schrijft zich in bij de IBD om geïnformeerd te blijven en indien nodig geholpen te worden als er zich majeure beveiligingsincidenten voordoen. Samen met de TISO (Technical Information Security Officer) maken we een vliegende start door heel snel de basis ICT-beveiliging met hulp van de gemeente CISO’s van buiten naar binnen in orde te krijgen. Naast dat we algemene bewustwording-sessies organiseren sluiten we ook regelmatig aan in een afdelingsoverleg. De informatiebeveiliging bewustwording stijgt met sprongen. Ook de Privacy Officer sluit regelmatig aan zodat privacy bewustwording mee lift met informatiebeveiliging. Daarnaast hebben we, CISO en TISO, zelf elke week een overleg met Privacy Officer, FG en MT.

En die CISO’s dan?

Elke 2 weken komen CISO’s van de deelnemende gemeenten en ICTWBW  bij elkaar om allerlei zaken door te spreken. Hierbij zie je dat we het moeilijk hebben om afspraken te maken die voor alle gemeenten gelden en werken, maar dit gaat langzaam maar zeker beter. Je ziet dat communicatie en vertrouwen een groot aandeel hebben in de gemaakte afspraken. Ook de governance, wie doet wat en waar ligt de lijn, blijft een discussiepunt. We proberen nu alle procedures die ICT-gerelateerd zijn met alle gemeenten gezamenlijk vast te stellen.

En ICTWBW dan?

Ondertussen zijn we zelf over certificering aan het nadenken. Vanuit de deelnemende gemeenten die zelf aan de BIO (ISO27001) moeten voldoen is de wens ontstaan om door ICTWBW een TPM te laten leveren (thirth party mededeling). Hoewel deze juridisch gezien vanuit de gemeenschappelijke regeling niet noodzakelijk is, is er ook bij ICTWBW de wens om een certificaat te kunnen overhandigen aan de deelnemers als bewijs dat ICTWBW zijn zaken goed op orde heeft.

De TISO, een vaste medewerker van ICTWBW, is langzaam maar zeker naar een volwaardige CISO aan het groeien en met de ondersteuning van het MT komt dit vast goed. Alle medewerkers zijn bewust van informatiebeveiliging en privacy tijdens hun werkzaamheden en bij complexe zaken wordt de CISO geraadpleegd. Hierbij komt informatiebeveiliging by design en privacy by design steeds meer in het DNA van ICTWBW te zitten.

ICTWBW is een hardwerkende dynamische club geworden die inspeelt op de behoefte van de gemeente. Ze zijn zichzelf continue aan het verbeteren en groeien door naar een volgend niveau van professionalisering. Men durft zich kwetsbaar op te stellen, verbeteringen door te voeren en regie te nemen waar nodig. De komende tijd met de oplevering van de nieuwe datacenters zal er weer veel gevraagd worden van de medewerkers maar ik ben er van overtuigd dat ze samen met de deelnemende gemeenten deze verandering ook glansrijk tot een goed einde weten te brengen.

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior informatiebeveiliging en privacy adviseur bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.

Over een paar weken is het zover: op 25 mei 2018 moet iedere organisatie, dus ook gemeenten, voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Volgens de AVG moet iedere gemeente een verwerkingsregister opstellen en beheren.

Weet u hoe u een verwerkingsregister opstelt? Maakt u daar één persoon verantwoordelijk voor, of juist alle (afdelings)managers binnen uw organisatie? En hoe houdt u het register vervolgens bij? Wij bieden u een aantal handige tips!

Opzetten verwerkingsregister

Kort gezegd breng je in het verwerkingsregister alle gegevensverwerkingen van de organisatie in kaart. Je legt vast welke persoonsgegevens je verwerkt en met welk doel, waar deze gegevens vandaan komen en met wie ze gedeeld worden. Er is geen vaste standaard voor een verwerkingsregister. Wel schrijft de AVG voor dat het register bepaalde informatie moet bevatten, namelijk:

• naam en contactgegevens van de verantwoordelijke;
• naam en contactgegevens van de FG;
• beschrijving van de beveiligingsmaatregel per verwerkingsactiviteit;
• doel van de verwerking;
• beschrijving van de categorieën betrokkenen en categorieën persoonsgegevens;
• ontvangers van persoonsgegevens;
• bewaartermijnen;
• doorgifte aan een ander land/internationale organisatie.

Het is belangrijk te beseffen dat het bestuur of directie verantwoordelijk is voor de aanpak en niet de Functionaris Gegevensbescherming (FG). De FG heeft een adviserende en controlerende rol.

 

Twee tips bij het opzetten van het verwerkingsregister:

1. Vul het verwerkingsregister met een team

Als het goed is, heeft u al een privacyteam samengesteld. Hierbij heeft u privacybeheerders aangewezen in de diverse vakgebieden. Een verwerkingsregister vullen is veel werk en zonder hulp en aanvullende kennis van de vakspecialisten is een gedegen ingevuld verwerkingsregister bijna onmogelijk.

2. Start op proces niveau

Let op dat je niet blijft hangen in allerlei inhoudelijke deelprocessen. Breng je hoofprocessen in kaart, betrek hierbij inventarisaties van applicaties en een contractendatabase. Later kun je eventueel een verdiepingsslag aanbrengen. Zo kom je sneller tot resultaten.

Beheren van een verwerkingsregister

Inmiddels zijn de meeste gemeenten druk in de weer met het opzetten van zo’n register. Bij het opzetten speelt echter direct de vraag: wie gaat dit beheren en hoe gaan we dit doen?

Het verwerkingsregister is een dynamisch document. Als de gemeente of het applicatielandschap verandert, verandert het register mee. Het is daarom raadzaam een eigenaar voor dit register toe te kennen. Deze is verantwoordelijk voor het updaten en (laten) aanpassen van gegevensstromen.

Drie tips voor het beheren van het verwerkingsregister:

1. Het beheren van het verwerkingsregister is een proces

Hierbij ligt het monitoren en controleren bij de FG. De vakafdelingen zorgen voor de juiste invulling van het verwerkingsregister.

2. Jaarlijkse herijking door vakafdelingen

Het applicatielandschap van een gemeente kan nog wel eens veranderen. Ook kunnen er wijzigingen in de organisatie plaatsvinden. Daarom is het van belang dat er periodieke afstemming en herijking plaats vindt op het verwerkingsregister.

3. Een goede softwaretool helpt eenvoudig en duidelijk de juiste rapportages op te stellen

Een verwerkingsregister kan in Excel worden opgebouwd, maar het is efficiënter om hiervoor een softwaretool te gebruiken. Meestal kan dit in een bestaande ISMS- (Information Security Management System) of GRC-omgeving (Governance, Risk & Compliance) worden geïmplementeerd. Ook zien wij goede SAAS-verwerkingsregisters op de markt verschijnen.

Tot slot

Het verwerkingsregister kan ter controle worden opgevraagd door de Autoriteit Persoonsgegevens. Je bent als gemeente verplicht inzage te geven. Zorg dus dat je voor 25 mei een verwerkingsregister hebt. Maar nog belangrijker: zorg dat het een vast onderdeel van het onderhouden van je processen wordt.

Meer weten?

Voor meer informatie kunt u contact opnemen met Teuntje Brouns, adviseur bij Telengy, via tel. nr. 06 21 29 64 20 of via e-mail: t.brouns@telengy.nl, of Telengy-adviseur John Vloemans, 06 54 34 50 89, j.vloemans@telengy.nl.

Op 4 juni 2015 is de Wet meldplicht datalekken aangenomen en wordt deze opgenomen in de Wbp (Wet bescherming persoonsgegevens). De nieuwe Wet meldplicht datalekken is per 1 januari 2016 in werking getreden. Het betekent nogal wat voor een gemeente en dit document ontrafelt de complexiteit van deze nieuwe wet.

Update: De laatste weken van 2015 en de eerste weken 2016 hebben er nog diverse veranderingen plaatsgevonden rond de Wet meldplicht datalekken. Dit document is een update van het eerder verschenen document “Wetplicht meldplicht datalekken ontrafeld”. Hierbij zijn de verplichte meldplicht tijd, de nieuwe boetebedragen en handhavende instantie aangepast.

Is de Wet meldplicht datalekken nieuw?

Eigenlijk niet. De wet datalekken bestaat al langer in Nederland, maar de wet was niet meer up-to-date en de boetebedragen waren zo laag dat niemand zich daar zorgen over maakte. De Europese Commissie heeft alle lidstaten de opdracht gegeven hun wetten aan te passen, zodat voor alle Europese landen dezelfde regels van kracht zijn.

Wat is er veranderd?

Per 1 Januari 2016 is er een verplichte meldplicht waarbij het datalek binnen 72 uur gemeld moet zijn bij Autoriteit Gegevensbescherming. Bij schending van de meldplicht (EU-regels) wordt standaard een boete opgelegd van € 20.250. Bij het naar buiten komen van een datalek waarbij schade is opgelopen, zonder dat een melding is gemaakt door de datalekkende partij aan de Autoriteit Gegevensbescherming, kan een boete oplopen tot € 820.000 of 10 procent van de jaaromzet. De uiteindelijke boete is afhankelijk van de impact van het datalek op de samenleving. De komst van de nieuwe Wet meldplicht datalekken betekent een enorme uitbreiding van de boetebevoegdheid door de Autoriteit Gegevensbescherming.

Wanneer is er sprake van een datalek?

Van een datalek is sprake als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens zouden mogen hebben. Een datalek is meestal het gevolg van inbreuk op een of meer beveiligingsmaatregelen.  Denk aan recent gepubliceerde voorvallen in de media van uitgelekte medische gegevens of personeelsdossiers die op straat lagen. Ook diefstal van bijvoorbeeld klantgegevens kan een datalek vormen. Elk bedrijf verwerkt (digitale) informatie en dus ook persoonsgegevens, zowel van klanten als medewerkers. Ook de gemeente verwerkt persoonsgegevens, zowel van burgers als van ambtenaren. Door het toenemende risico dat er data wordt ‘gelekt’, bijvoorbeeld door een menselijke fout, ontoereikende beveiliging, fraude binnen de eigen organisatie en/of een bewuste criminele aanval van buitenaf, kan data in verkeerde handen vallen of verloren gaan. Het wetsvoorstel meldplicht datalekken beoogt aan de huidige Wet bescherming persoonsgegevens (Wbp) een meldplicht voor ‘inbreuken op beveiligingsmaatregelen voor persoonsgegevens’ toe te voegen.

Hoe zit dat dan met de Wbp?

De Wbp (Wet bescherming persoonsgegevens) bestaat al langer maar wordt de laatste jaren steeds belangrijker, doordat gemeenten allerlei nieuwe taken moeten uitvoeren. De Autoriteit Gegevensbescherming geeft in ‘beleidsregels meldplicht datalekken’ aan wanneer er sprake is van een blijvend, passend beveiligingsniveau. Daarin wordt uitgelegd hoe het de Autoriteit Gegevensbescherming bij het onderzoeken en beoordelen van beveiliging van persoonsgegevens in individuele gevallen deze open beveiligingsnorm uit de Wbp toepast. Daartoe geeft zij een zogeheten ‘plan-do-check-act-cyclus’ waarin zij allereerst aanraadt om de risico’s goed in kaart te brengen en te beoordelen en om gebruik te maken van algemeen geaccepteerde beveiligingsstandaarden.

Wat moeten gemeenten regelen?

• Noodzaak tot aanpassen van de bewerkersovereenkomst
• Uitbreiden van bewerkersovereenkomsten dient met de komst van nieuwe taken in het sociaal domein al vanaf begin 2015 in het bezit te zijn van de gemeente en worden uitgebreid met betrekking tot de Wet meldplicht datalekken en aansprakelijkheid.
• Maak richtlijnen over hoe te handelen als zich een datalek voordoet: maak een datalek-draaiboek / -protocol!
• In kaart brengen welke gegevens/datastromen worden verwerkt;
• Toetsen / meten van de huidige informatiebeveiliging op het gebied van datalekken;
• Processen inrichten naar nieuwe regels op gebied van privacy;
• Aanstellen protocolplicht verantwoordelijke;
• Aard en inhoud van de melding vastleggen;
• Kennisgeving aan betrokkenen;
• Zorgdragen dat beveiliging op orde is, zowel technisch als ook organisatorisch;
• Versleutelen van burgergegevens;
• Vooraf inregelen van aspecten rondom beveiliging, datalekken en privacy in een bewerkersovereenkomst en in SLA’s (Service Level Agreements).

Wat zijn noodzakelijke acties?

Eigenlijk al het aantoonbare bewijs wat aannemelijk maakt dat uw gemeente er alles aan heeft gedaan dat binnen de mogelijkheden ligt om het datalek te voorkomen. Sommige zaken worden in een project Informatiebeveiliging meegenomen; denk aan monitoring, logging en versleuteling van gegevens. Officieel hoort de Wet meldplicht datalekken thuis onder de paraplu van Privacy en nog meer onder Juridische Zaken vanwege het zware juridische karakter.

Wat op korte termijn zeker moet gebeuren is:

• Zorg voor een goede bewerkersovereenkomst met meldplichtpassages en laat deze ondertekenen door de bewerkers vanuit de gemeente.
• Zorg voor een datalekdraaiboek of -protocol zodat ambtenaren weten waarom, wanneer, bij wie en waarin ze een datalek moeten melden en waarbij de protocolplichtverantwoordelijke weet wat er van hem/haar verwacht wordt.
• Datalekken kunt u melden bij het Meldloket Datalekken Autoriteit Gegevensbescherming

Wat als we niks doen?

Niks doen brengt verhoogde risico’s met zich mee. Risico’s zijn niet erg als deze bekend zijn binnen de organisatie en de mogelijke impact van het risico bekend is en er passende maatregelen genomen zijn. In dit geval betreft het een wet en dit maakt zaken dwingender, zeker voor een gemeente. U en uw bestuur kunnen als verantwoordelijke aansprakelijk zijn voor alle schade die voortvloeit uit een datalek en daarnaast een boete van de Autoriteit Gegevensbescherming opgelegd krijgen. Om nog maar te zwijgen van de reputatie- en imagoschade en mogelijke claims van betrokkenen!

Welke implicaties heeft dit voor bedrijven en gemeenten? Waar moet een datalek gemeld worden? Wanneer moet een datalek worden gemeld? Wat moet er exact worden gemeld? Welke preventieve maatregelen kunnen er worden getroffen? Welke afspraken kunnen en moeten er met bewerkers worden gemaakt? Op wie rust de meldplicht en wat als er niet – of niet tijdig – wordt gemeld? Al dit soort vragen worden beantwoord in ‘beleidsregels meldplicht datalekken’ van de Autoriteit Gegevensbescherming.

Meer weten?

Voor meer informatie kunt contact opnemen met John Vloemans, senior adviseur informatiebeveiliging en privacy bij Telengy, via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.

De volledige memo ‘Wet meldplicht datalekken ontrafeld’ kunt u hieronder downloaden: