Op 25 mei 2018 werd de Algemene Verordening Gegevensbescherming van kracht. In aanloop naar die datum deden overheden en andere organisaties hun best om tijdig te voldoen. Nu, vijf jaar na deze datum, weten we dat het voldoen aan de AVG geen kwestie van een checklistje is, maar dat het een continu proces is dat nooit af is. Voldoen aan de AVG is geen doel op zich, maar een middel dat helpt om zorgvuldig met persoonsgegevens om te gaan. Het toepassen van de principes en uitgangspunten van de AVG en daarbij laten zien wat je doet en welke afwegingen daaraan ten grondslag liggen, zijn daarbij essentieel.

Geen checklist

Rondom de inwerkingtreding van de AVG is er veel aandacht uitgegaan naar het inrichten van een aantal basiszaken die vereist zijn, waaronder:

• het aanwijzen en positioneren van een functionaris gegevensbescherming;
• een verwerkingsregister opstellen;
• verwerkersovereenkomsten afsluiten;
• de nodige awareness trainingen in de organisaties.

Belangrijke zaken, omdat deze elementen de basis vormen om op een juiste en effectieve manier invulling te geven aan de AVG. Toch blijkt in de praktijk dat veel organisaties deze basis nog niet (voldoende) op orde hebben.

Nieuwe technologie

Tegelijkertijd staan overheidsorganisaties te popelen om aan de slag te gaan met nieuwe technologische ontwikkelingen, bijvoorbeeld op het gebied van kunstmatige intelligentie, datagedreven werken en algoritmen. Deze brengen bovendien ook nieuwe uitdagingen met zich mee als het gaat om de AVG en gegevensbescherming en deze komen boven op de eerder genoemde uitdagingen. Wat doe je in die context op het gebied van profilering, dataminimalisatie en doelbinding? Bij al deze antwoorden speelt transparantie bovendien een essentiële rol, om zowel organisaties als burgers mee te nemen in wat er met persoonsgegevens gebeurt.

Dialoog

Als we de basis nog niet op orde hebben, hoe verwachten we dan grip te kunnen krijgen en houden op technologie waarvan we de mogelijkheden nu nog niet eens kunnen overzien? Het begint in elk geval met de dialoog over de technologie en de implicaties ervan. Vanuit ethisch perspectief zijn er inmiddels mooie instrumenten ontwikkeld om deze dialoog op een gestructureerde manier te kunnen voeren. Denk hierbij aan instrumenten als DEDA, IAMA en de Aanpak Begeleidingsethiek. Deze helpen om stapsgewijs en expliciet rekening te houden met de verschillende belangen en de afwegingen die komen kijken bij het toepassen van technologie in context. Daarbij blijven ook DPIA’s een buitengewoon waardevol instrument om specifieke gegevensverwerkingen onder de loep te nemen en risico’s in beeld te brengen.

Voor zowel technologie als gegevensbescherming geldt dat het geen kwestie van kunnen, maar een kwestie van willen moet zijn. Wat willen wij als maatschappij? Wat wil de overheid? Wat wil de burger? En hoe kunnen we al die belangen en verlangens op een zorgvuldige en gebalanceerde manier met elkaar verenigen? Ik hoop dat de komende 5 jaar van de AVG in het teken staan van het voeren van de juiste dialoog, waarin we met elkaar op zoek gaan naar wat we willen, duidelijke afspraken maken over wat we doen (en waarom) en daar transparant over zijn.

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

Wacht niet langer, we zijn al laat!

Steeds meer beslissingen bij gemeenten worden genomen op basis van data en slimme algoritmen. Ook deze vorm van datagedreven werken draait om de waarde die het toevoegt. Tegelijkertijd worden processen en besluitvorming hiermee abstracter en is het essentieel om daar grip op te houden en transparant te zijn over hoe je als gemeente te werk gaat. Hiervoor is controle en inzicht nodig. Niet alleen intern, maar ook voor de burger en de maatschappij in het algemeen.

Controle en inzicht beginnen bij laten zien wat je doet. Het Algoritmeregister van de Nederlandse overheid kan hier een belangrijke schakel in worden. In 2023 start de Nederlandse overheid met het algoritmeregister en het werken aan een implementatiekader ‘ínzet van algoritmen’. De privacy toezichthouder Autoriteitspersoonsgegevens gaat over het register waken. Er is inmiddels 1 miljoen euro gereserveerd in 2023, oplopend tot 3,6 miljoen in 2026.

De bovenstaande acties zijn een grote stap voorwaarts, toch is dit register slechts een middel om op een overzichtelijke manier inzicht te verschaffen naar de spreekwoordelijke buitenwereld. Intern begint het met bewust bezig zijn met algoritmen, hier met elkaar het gesprek over voeren en zorgvuldig te werken gaan. Gemeenten doen er daarom goed aan om niet langer te wachten en direct aan de slag te gaan.

Wij adviseren om de volgende acties te ondernemen:

1. Inventariseer welke algoritmen er gebruikt worden in de organisatie. Leg dit systematisch vast en gebruik bij voorkeur de kenmerken van het landelijke algoritmeregister.
2. Start met het creëren van bewustzijn bij medewerkers over de risico’s en kansen bij het gebruik van datagedreven besluitvormingen. Tegenwoordig zijn er veel instrumenten en bijeenkomsten waar organisatie kunnen aansluiten, o.a.: een data-awareness dag, datagame en bijvoorbeeld data-vaardigheid assesment.
3. De inzet van algoritmen is een gedeelde verantwoordelijkheid waarbij bijvoorbeeld het datateam, een leverancier, de vakspecialisten en de verantwoordelijk manager bij betrokken zijn. Kies daarom een gezamenlijk proces of methodiek om vooraf ethische vraagstukken van nieuwe algoritmes te bediscussiëren, iedereen moet er over kunnen meepraten.

Op deze wijze voorkomt de organisatie per direct een groot deel van de potentiële problemen bij het gebruik van algoritmen en houdt de organisatie grip. Mocht in 2023 het implementatiekader gereed zijn, dan is het leeuwendeel bovendien al gedaan. Het register zou het sluitstuk moeten zijn van een gezonde datapraktijk/datahuishouding/datagedreven werken.

Meer informatie

Mocht u meer willen weten over het register, algoritmen of datagedreven besluitvorming, neem dan vooral contact op met Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl of met Roel Ottens via telefoonnummer: 06 50 43 15 77 of via e-mail: r.ottens@telengy.nl.

Bronnen

• Òverheid.nl. Het Algoritmeregister
• 26 643 Informatie- en communicatietechnologie (ICT), Nr. 924 Brief van de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Publieke controle op algoritmen

Het is een kreet die ik bij verschillende opdrachtgevers al jaren om mij heen hoor. Op zichzelf niet raar als je adviseur van beroep bent, maar de kreet ‘ik adviseer alleen maar’ kom ik vooral tegen binnen de context van informatiemanagement. Om grip te krijgen op veranderingen binnen de informatievoorziening hebben organisaties ten eerste verschillende rollen en processen bedacht om die veranderingen in goede banen te leiden en te zorgen dat er overal op tijd aan gedacht wordt. Ten tweede zijn er vaak allerhande principes en uitgangspunten geformuleerd waar die informatievoorziening dan aan moet voldoen.

Als er een wens of noodzaak is om iets in de informatievoorziening te veranderen, zijn er zodoende verschillende rollen die onderweg meedenken en adviseren over hoe de gewenste oplossing eruit moet zien. Denk hierbij o.a. aan de security officer, de privacy officer, architecten en inkoopadviseurs. De informatieadviseur heeft hierin vaak een coördinerende rol en adviseert de opdrachtgever over het vervolgtraject.

Eigenaarschap

Binnen dit proces gaat het vaak over eigenaarschap. Wie wil er veranderen? Wie bepaalt voor welke oplossing er gekozen wordt? Het antwoord daarop is dan meestal: de ‘business’. Het concept van eigenaarschap is essentieel in een tijd waarin dienstverlening en informatievoorziening steeds nauwer verweven raken en onlosmakelijk met elkaar verbonden zijn.

Op basis van een degelijk advies moet je deze vanuit informatiemanagement in staat stellen om de juiste keuzes te maken als het gaat om digitalisering en veranderingen in de informatievoorziening. En daar wringt de schoen nog wel eens. Onder het mom van eigenaarschap worden zaken richting de business geschoven, waar ze in de praktijk lang niet altijd mee uit de voeten kunnen. “Ze moeten maar aangeven wat ze willen, dan kunnen wij daarover adviseren”, heb ik in de afgelopen vijf jaar meer dan eens gehoord bij opdrachtgevers.

Dat is van de business

Programma van Eisen? De business moet aangeven wat ze willen. Verwerkersovereenkomst? Het zijn de gegevens van de business, laat die hem maar invullen. BIO-maatregelen en risiciomanagement? Pakkie-an van de lijnmanager. Klopt allemaal als een bus, maar dat betekent niet dat met het aanwijzen van die verantwoordelijkheid de zaak geregeld is. In de praktijk is de business bezig met haar primaire proces en niet met het opstellen van verwerkersovereenkomsten, programma’s van eisen of de invulling van BIO-maatregelen.

Zouden ze daartoe in staat moeten zijn? In de ideale wereld misschien. In de praktijk doe je er goed aan om deze eigenaren te begeleiden in het proces, de juiste kennis en handvatten te bieden om de business een zorgvuldige afweging en keuze te laten maken. Dat betekent niet dat je het stokje en de verantwoordelijkheid overneemt, maar wel dat je als adviseur aan tafel gaat zitten en helpt om de weg te wijzen. Ik adviseer alleen maar!

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

In de periode 2017 tot en met 2021 heeft Telengy de gemeente Borsele ondersteund op het gebied van informatiebeveiliging en privacy. In een periode waarin voor de gemeente veel is veranderd, hebben we hopelijk veel waardevols mogen brengen, maar nemen we ook waardevolle inzichten mee. Over dit traject, waar ik van 2018 tot en met 2021 grotendeels bij betrokken ben geweest, valt veel te schrijven en ik deel in dit artikel enkele inzichten die breder toepasbaar zijn.

Het traject

Telengy is in november 2017 gestart met het traject met als primair doel om informatiebeveiliging en privacy structureel in te bedden in de organisatie, met daarbij de invulling van lopende zaken en taken op dit gebied. Dit vertaalde zich feitelijk naar drie sporen:

1. Kwartiermaken voor de organisatie van informatiebeveiliging en privacy.
2. Bewustwordingscampagne binnen de gehele organisatie.
3. Ondersteuning en ontzorging bij de taken en verantwoordelijkheden bij informatiebeveiliging en privacy.

Kort gezegd hebben we de organisatie op alle lagen ondersteund, van governance en beleid tot ENSIA en van afhandeling datalek tot regionale samenwerking. Hierdoor kwamen we ook met alle lagen van de organisatie in gesprek en ontstond er een duidelijk beeld van wat er speelde binnen de organisatie. Deze aanpak heeft ervoor gezorgd dat we binnen de organisatie de basis op orde hebben kunnen krijgen en de organisatie met een eigen, structurele invulling verder kan.

Door de jaren heen zijn mijn collega’s Arno van Waesberghe, Roel Ottens en Tim van der Pol ook betrokken geweest bij dit traject. Waar nodig en in goed overleg konden we op deze manier een volwaardig en flexibel traject bieden, waarin we op de juiste momenten de juiste expertise konden inbrengen.

Ken je publiek

Om privacy en informatiebeveiliging succesvol te borgen in de organisatie, is het essentieel dat men in de hele organisatie doordrongen is van het belang en ook de handvatten heeft om het in de dagelijkse praktijk toe te passen. Dit betekent dat je in de communicatie over informatiebeveiliging en privacy zoveel mogelijk aansluit bij de beleefwereld van je gesprekspartner. Zoek het juiste detailniveau en ontdek wat de ander belangrijk vindt. Pas je verhaal daarop aan.

Een sessie over privacy kan er bij de buitendienst heel anders uitzien dan in het sociaal domein en dat is alleen maar goed. Waar privacy in het sociaal domein een haast vanzelfsprekend element is dat dagelijks aan bod komt, is dat bij de buitendienst veel minder het geval. Toch werken ook zij met bijvoorbeeld smartphones en hebben ze contact met de inwoners. In plaats van uitleggen wat de AVG exact inhoudt, startte ik hier het gesprek met de vraag: wat betekent privacy voor jou persoonlijk? De persoonlijke ideeën en opvattingen werden al snel (en niet door mij!) gerelateerd aan het werk, waardoor ik medewerkers goed kon helpen met de zaken waar zij tegenaan liepen.

Op dat moment is privacy niet langer iets vervelends, een beeld dat nog al te vaak bestaat, maar worden het serieuze en interessante overwegingen in je eigen dagelijkse werkzaamheden. Ook richting het bestuur is het belangrijk om je publiek te kennen. Informatiebeveiliging en privacy zijn (nog) niet altijd de meeste populaire onderwerpen voor bestuurders. Neem ze mee in het intrinsieke belang van informatiebeveiliging en privacy en stip vooral dat aan wat voor hen relevant is en daarnaast waar ze invloed op hebben. Op die manier voed je ze niet alleen met informatie, maar zit je als partner aan tafel.

Werk samen waar het kan

Zorgvuldig omgaan met informatie krijg je als adviseur, CISO of FG nooit alleen voor elkaar. De gemeente Borsele neemt deel aan gemeenschappelijke regeling De Bevelanden, samen met de gemeenten Goes, Kapelle, Noord-Beveland en Reimerswaal. De GR faciliteert de gemeenten onder meer op het gebied van ICT en HR. In dit verband wordt veel samengewerkt als het gaat om de implementatie van de BIO. Vanuit de gemeente Borsele was ik nauw betrokken bij deze samenwerking.

Het gezamenlijk optrekken betekent dat niet iedere organisatie zelf het wiel hoeft uit te vinden en bovendien stimuleert het kennisuitwisseling. Door samen vraagstukken op te pakken, leer je ook hoe het er bij andere gemeenten aan toe gaat en vind je sparringpartners voor de rol die je invult. Daarnaast geeft het organisaties met een beperkte capaciteit de mogelijkheid om toch relatief veel voor elkaar te krijgen.

Laagdrempelig en to the point

De manier waarop Telengy samen met de gemeente Borsele dit traject heeft opgepakt sluit goed aan bij wat we bij Telengy belangrijk vinden in het werk: als betrokken partner een organisatie helpen veranderen met een realistische en pragmatische aanpak. Gedreven door de inhoud, met aandacht voor de mens, overal in de organisatie.

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

Het is inmiddels al drie jaar geleden dat de Algemene Verordening Gegevensbescherming in werking is getreden. Privacy van inwoners is in toenemende mate een belangrijk onderdeel geworden in de manier waarop lokale overheden hun taken uitvoeren. De afgelopen jaren hebben de eerste boetes opgelegd door de Autoriteit Persoonsgegevens laten zien dat het niet altijd goed gaat. We hebben echter vooral gezien dat gegevensbescherming een constante uitdaging is voor organisaties. Veranderende organisaties in een veranderende wereld maken dat we ons constant aan moeten passen om zorgvuldig met gegevens om te gaan.

Met name in het sociaal domein zijn er saillante uitdagingen als het gaat om privacy. In dit domein ligt voor veel gemeenten een duidelijk zwaartepunt als het gaat om gevoelige persoonsgegevens van soms kwetsbare inwoners. Bovendien is dit bij uitstek een domein waar veel samengewerkt wordt met ketenpartners. De uitdaging zit hem op het gebied van privacy niet alleen in de verwerking van persoonsgegevens door de organisatie zelf, maar ook in de manier waarop je die samenwerking vormgeeft.

Multidisciplinair

Dit komt heel duidelijk naar voren wanneer de toegang tot het sociaal domein georganiseerd is in de vorm van multidisciplinaire wijkteams. Hierin zitten niet alleen medewerkers van de gemeente zelf, maar ook medewerkers van ketenpartners die voorzieningen bieden. Denk hierbij aan de maatschappelijkwerker, jongerenwerker of ouderenadviseur die vanuit een welzijnsorganisatie lid is van een wijkteam. Hoe ga je daarmee om als verwerkingsverantwoordelijke?

Privacy-afspraken?

Deze uitdaging is tweeledig. Ten eerste is het essentieel dat er goede afspraken gemaakt worden met de moederorganisaties van de betreffende medewerkers over privacy. Er wordt vaak samengewerkt op basis van een subsidierelatie, waarbij er afspraken zijn over de taken en financiën, maar niet altijd over hoe de verhoudingen en verantwoordelijkheden georganiseerd zijn op het gebied van privacy. Hierdoor is het niet altijd duidelijk welke verwerkingen rechtmatig zijn en wie er verantwoordelijk is in het geval van een datalek.

Strikt noodzakelijke toegang

Ten tweede moeten deze medewerkers toegang krijgen tot de benodigde systemen om informatie op te halen en te registreren. Medewerkers van ketenpartners beschikken vaak over een eigen applicatie van hun moederorganisatie. Hoe geef je hen toegang tot gemeentelijke systemen als dat nodig is? En hoe beperk je hun toegang tot het strikt noodzakelijke? Als er geen duidelijke afspraken zijn tussen de organisaties is dit extra lastig. Hierbij moet bovendien rekening gehouden worden met andere kaders die binnen de gemeente gelden, bijvoorbeeld op het gebied van informatiebeveiliging. Als tweefactor authenticatie bijvoorbeeld een uitgangspunt is, dan moet je dit ook voor externe gebruikers faciliteren.

Zorgvuldig omgaan met persoonsgegevens in samenwerkingsverband begint met goede afspraken aan de voorkant en op basis daarvan werk je samen uit wat werkt. Vanuit Telengy denken wij graag mee over hoe organisaties praktisch en uitvoerbaar met privacy om kunnen gaan, juist in het sociaal domein, zie ook deze folder.

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

Inmiddels is de Algemene Verordening Gegevensbescherming (AVG) al ruim twee jaar van kracht en zijn organisaties zo’n vier jaar bezig om gegevensbescherming in hun organisatie te organiseren. Uit recent onderzoek van onderzoeksprogramma Argos blijkt dat gemeenten nog steeds worstelen met de uitvoering van de AVG en het nemen van gepaste maatregelen.

Misleidende beeldvorming

Privacy wordt nog vaak als een probleem of beperkende factor gezien, terwijl tegelijkertijd blijkt dat kennis over de AVG binnen gemeenten in voorkomende gevallen niet toereikend is. Dat kan leiden tot misleidende beeldvorming over wat er wel of niet binnen de wet mogelijk is en wat het maatschappelijk belang van gegevensbescherming is. Zo stelden twee burgemeesters vorige maand dat de ‘doorgeslagen privacywet’ extra doden heeft gekost tijdens de coronacrisis, omdat cruciale informatie niet gedeeld zou mogen worden. De Autoriteit Persoonsgegevens reageerde dat er vanuit de wet geen belemmeringen zijn om dergelijke cruciale informatie (van vitaal belang, in termen van de AVG) te delen.

De wet biedt kaders om per gegevensverwerking te bepalen welke persoonsgegevens er verwerkt mogen worden. Voor de gemeente verloopt dat voornamelijk langs de lijnen van haar wettelijke en publiekrechtelijke taken. Voor veel gemeenten is dat al een uitdaging op zich. Daarnaast bestaan er binnen gemeenten, maar ook met ketenpartners, behoeften om gegevens met elkaar te delen. Bijvoorbeeld in het kader van integraal werken in het sociaal domein, maar ook bij vroegsignalering bij schuldenproblematiek of het bestrijden van ondermijning. Het lastige daarbij is dat dergelijke gegevensuitwisseling tussen verschillende disciplines (of wettelijke taakgebieden) niet of nauwelijks beschreven staat in de betreffende wetten. Daar komt langzaam beweging in, bijvoorbeeld met de wijziging in de Wet Gemeentelijke Schuldhulpverlening in 2021 waarmee de uitwisseling van persoonsgegevens beter gefaciliteerd wordt, maar het is zeker niet gezegd dat dit voor alle wettelijke taken zal gebeuren.

Onderbouwen en afwegen

Om het uitwisselen van gegevens op een passende en afgewogen manier te faciliteren is het essentieel om toch een wettelijke basis te vinden voor die uitwisseling. Dat kan bijvoorbeeld in de vorm van een privacyprotocol. In februari dit jaar verscheen het Model Privacyprotocol binnengemeentelijke gegevensdeling. Dat is voor een gemeente een mooie onderbouwde basis om in het kader van ondermijning gegevens uit te kunnen gaan wisselen. Bij gemeenten bestaat echter ook de behoefte om een dergelijk protocol te hebben voor andere domeinen binnen de gemeente. In dat kader ga ik de komende periode met de gemeente Borsele onderzoeken hoe we gegevensdeling binnen de gemeente én met externe partners op een gedegen manier kunnen onderbouwen en vastleggen.

Een van de grootste uitdagingen vanuit de AVG is de verantwoordelijkheid die de wet bij organisaties legt voor het maken van een gedegen afweging op basis van de principes en uitgangspunten die de wet voorschrijft. Dat geeft enerzijds onzekerheid, omdat het wel of niet voldoen aan de wet daardoor niet zwart-wit is en inherent risico’s met zich meebrengt. Anderzijds biedt het juist ook kansen om die ruimte te benutten en te onderzoeken waar gegevensuitwisseling meerwaarde kan bieden voor de dienstverlening, met het belang van de burger voorop uiteraard. Ga aantoonbaar afgewogen te werk en dan kan ‘dat mag niet van de AVG’ vaak genoeg veranderen in ‘dat kan prima onder de AVG’. Hoe heeft uw gemeente gegevensuitwisseling tussen verschillende domeinen geregeld?

Meer weten?

Telengy-adviseur Wouter Le Febre komt graag met u in gesprek via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

2019 was het overgangsjaar naar de BIO en vanaf 2020 komt het er echt op aan. Is uw organisatie al helemaal klaar voor de BIO of is de transitie nog in volle gang?

De BIO kan de organisatie helpen om meer grip te krijgen op informatiebeveiliging en de impact hiervan op de uitvoering van uw werkprocessen. Met de nadruk op risicomanagement en de verantwoordelijkheid van de lijnmanager daarin, ontstaat de gelegenheid en noodzaak om de impact van beveiligingsrisico’s op het primaire proces te behandelen en een passende strategie te kiezen.

Meer weten?

Telengy-adviseur Wouter Le Febre heeft afgelopen jaren veel ervaring opgedaan met informatieveiligheid, BIG en BIO. In eerdere artikelen deelde hij zijn ervaringen al:

Het is inmiddels alweer iets meer dan een jaar geleden dat de Algemene Verordening Gegevensbescherming in werking trad. De nieuwe privacywetgeving moet er vooral voor zorgen dat de privacy van Europese inwoners beter beschermd wordt, maar na een jaar lijkt de wet voornamelijk tot kopzorgen te leiden bij veel organisaties, waaronder gemeenten, op te leveren. Wat heeft een jaar met de AVG ons gebracht? 

Bouwstenen 

Met de komst van de AVG lag de focus voor veel Nederlandse gemeenten op het in kaart brengen van de talloze verwerkingen van persoonsgegevens in het register van verwerkingen en het maken van de juiste afspraken aan de hand van verwerkersovereenkomsten. Inmiddels heeft de Informatiebeveiligingsdienst ook een standaardverwerkersovereenkomst gepubliceerd, waarvan het gebruik voor gemeenten verplicht wordt. Deze onderdelen zijn belangrijke bouwstenen voor een organisatie om meer grip te krijgen op het zorgvuldig werken met persoonsgegevens. 

Dat is een continu proces, dat niet klaar is na een implementatieproject AVG. Het is essentieel om scherp te houden welke (persoons)gegevens je verwerkt, maar ook hoe je die gegevens verwerkt en hoe de gegevensstromen er in de praktijk uitzien. Recent bleek uit onderzoek van RTL dat er bij een jeugdzorginstelling grootschalig persoonsgegevens lekten, omdat er gebruik gemaakt werd van verouderde e-mailadressen. Informatievoorziening verandert voortdurend en daar moet je als privacybewuste organisatie op bedacht zijn. Bovendien kun je je in het bovenstaande geval afvragen of e-mail wel het juiste kanaal is om dergelijke informatie te delen. 

Houd het werkbaar 

De uitdaging is om een goede balans te vinden tussen het zorgvuldig omgaan met persoonsgegevens en het werkbaar houden van je primaire werkprocessen. Wij zien in de praktijk nog maar al te vaak dat men in een kramp lijkt te schieten, gepaard met kreten als ‘dat mag niet van de AVG’ of ‘zo kunnen we niet werken’.  

De uitdaging is om samen te kijken naar hoe het wél kan en daarbij gebruik te maken van de ruimte die de wet biedt. Wees je bewust van de risico’s, benoem die en maak vervolgens de afweging hoe je daar op een zorgvuldige manier mee om kunt gaan. Als je dat als organisatie op een goed onderbouwde manier doet, hoeft de wet absoluut niet zo beknellend te zijn als vaak gedacht (en geroepen) wordt, integendeel. 

Handvatten voor de uitvoering 

Het vinden en behouden van die balans is niet alleen de uitdaging voor Functionarissen Gegevenbescherming en Privacy Officers, maar bij uitstek voor de medewerkers die het primaire proces uitvoeren. Zij hebben de juiste handvatten nodig om scherp te blijven op het omgaan met persoonsgegevens en knelpunten of ontwikkelingen te signaleren. Zorgvuldig omgaan met persoonsgegevens is een continu proces. Dat is nooit af, maar je blijft leren en verbeteren. Dat betekent dat men elkaar scherp moet houden binnen organisaties.  

Enerzijds kan dat uitstekend door middel van bewustwordingscampagnes, maar het kan juist ook heel waardevol zijn om het onderwerp te integreren in werkoverleggen. Op die manier kun je privacy op een heel inhoudelijk niveau bespreken en kun je samen je afwegingen maken en vastleggen, bijvoorbeeld door middel van een besluit. Bovendien helpt het goed om met elkaar in beeld te houden waar men zoal tegenaan loopt. Wanneer je er binnen het overleg niet uitkomt, kun je daarnaast een privacy officer bij het overleg laten aansluiten om te adviseren.  

Op die manier kun je echt een lerende organisatie zijn als het gaat om privacy. Samen onderzoeken en onderbouwen hoe het wel kan. Ga met elkaar het gesprek hierover aan, maak heldere afspraken en je zult zien dat er binnen de AVG eigenlijk best veel kan. 

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

Inmiddels is het eerste kwartaal van het overgangsjaar alweer bijna verstreken, waarin overheden overgaan op de gezamenlijke Baseline Informatiebeveiliging Overheid (BIO). Lokale overheden, waaronder veel gemeenten, werken hard aan de informatieveiligheid binnen (en ook buiten) de organisatie. Telengy ziet in het veld dat er nog steeds grote stappen gezet worden, in steeds meer gevallen met directe ondersteuning van onze adviseurs. Tegelijkertijd zien we dat het soms toch nog een uitdaging kan zijn om informatieveiligheid ook hoog op de agenda te houden.

Wat dat betreft is de BIO een uitstekende gelegenheid om informatieveiligheid weer onder de aandacht te brengen van de hele organisatie, van medewerker tot bestuurder. De BIO krijgt veel meer een verplichtend karakter dan de BIG en dat brengt ook meer urgentie met zich mee.  Daarbij is het essentieel voortdurend stappen te blijven zetten als organisatie op het gebied van informatiebeveiliging. Tegelijkertijd moet je er soms ook voor waken dat je niet te hard gaat, anders raak je de medewerkers kwijt. Het vinden van een modus waarin je de organisatie goed meekrijgt is van groot belang. Het kan daarbij in sommige gevallen helpen om verandertrajecten op te knippen en meer stapsgewijs te werk te gaan. In een organisatie waar al veel verandert, kan het waardevol zijn om al doende te leren.

Veilig worden door te leren

Het gaat er niet om dat de maatregelen die je implementeert gelijk perfect zijn. Het gaat erom dat je als organisatie bewust keuzes maakt en blijft monitoren of je het gewenste resultaat bereikt met de genomen maatregelen. Bij veel maatregelen zal er een zorgvuldige afweging gemaakt moeten worden tussen de beveiligingsrisico’s en de belangen vanuit de werkprocessen, zoals onder meer efficiëntie en ook gebruikersgemak. Die twee zaken zijn niet noodzakelijk tegenpolen, maar de belangen kunnen wel conflicteren. Als dat gebeurt kan er weerstand ontstaan bij de medewerkers die het werkproces uitvoeren en dat zijn bij uitstek de collega’s die je nodig hebt om informatiebeveiliging echt tot een succes te maken.

Vergeet niet dat je als organisatie altijd de vrijheid hebt om maatregelen opnieuw te evalueren en bij te stellen. Op het moment dat je op een bewuste manier met informatiebeveiliging bezig bent, kan dit je als organisatie helpen om echt te groeien in volwassenheid op dit gebied en echt veiliger te werken. Toch kan het lastig zijn om ineens (grote) veranderingen door te voeren. Ook in de organisatie moet een bepaalde mate van urgentie gevoeld worden om deze veranderingen goed geadopteerd te laten worden.

Aanhaken bij bestaande veranderingen

Momenten waarop er veranderingen plaatsvinden in de informatievoorziening van de organisatie kunnen een uitstekend moment zijn om (grote) veranderingen in de informatiebeveiliging te bewerkstelligen. Kiest een organisatie ervoor om (meer) te gaan flexwerken? Een uitstekend moment om in gesprek te gaan over spel- en gedragsregels rondom het gebruik van ICT-middelen. Stapt de gemeente over op een VDI (Virtual Desktop Infrastructure) met twee-factor authenticatie? Wellicht kan dan bij meer applicaties single sign-on gehanteerd worden.

Als verantwoordelijke voor informatiebeveiliging kan het je enorm helpen om waar mogelijk aan te sluiten bij bestaande veranderingen binnen de organisatie. Het is in die gevallen geen verrassing dat er zaken veranderen en dan is het ook niet zo gek als daar nieuwe afspraken omtrent  informatiebeveiliging bij horen.

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

Afgelopen jaar heeft Telengy uitgebreid onderzoek gedaan naar veilig mailen bij lokale overheden. We constateerden dat het belang van veilig mailen steeds meer werd onderkend, maar dat het vaak een uitdaging was voor lokale overheden om het daadwerkelijk te realiseren. In de praktijk betekende het vooral dat er nog vaak onveilig gemaild werd. Naar aanleiding van het onderzoek werden uiteindelijk zelfs Kamervragen gesteld en het werd maar al te duidelijk dat veilig mailen een plek op de agenda verdient. Hoe staat het er december 2018 voor?

Vooruitgang (on)zichtbaar?

Een belangrijk onderdeel om veilig mailen te realiseren is het implementeren van de diverse veiligheidsstandaarden, zoals onder meer STARTTLS en DMARC. Met deze standaarden kan een veilige verbinding opgezet worden en kan worden voorkomen dat het mailverkeer gemanipuleerd wordt. Daarbij is het wel van belang dat zowel de verzender als de ontvanger de standaarden juist heeft geïmplementeerd.

infographic overheidsinstellingen mailbeveiliging 2018

Net als vorig jaar hebben we met behulp van de online tool van Internet.nl alle domeinnamen van de lokale overheden getest. Met deze test kan iedere organisatie te allen tijde de eigen domeinen controleren en inzichtelijk krijgen welke standaarden (goed) geïmplementeerd zijn. Over de hele linie zien we een opmerkelijk beeld bij de verschillende lokale overheden vergeleken met vorig jaar, omdat verrassend veel organisaties slechter lijken te scoren. Dit valt te verklaren doordat Platform Internetstandaarden de test heeft uitgebreid en de verschillende aspecten anders gewogen worden in de test. Hierdoor lijkt het alsof diverse organisaties qua beveiliging achteruit zijn gegaan, maar dit is niet noodzakelijk het geval. Wel betekent een lagere score dat er meer werk aan de winkel is om goed aan de standaard te voldoen.

Landkaart resultaten gemeenten

Het is belangrijk om de standaarden volledig en juist te implementeren om deze goed tot hun recht te laten komen. Een relatief veel voorkomende situatie is dat een standaard als DMARC (waarmee spoofing van e-mail kan worden voorkomen) wel gehanteerd wordt, maar niet is ingesteld wat er met afwijkende berichten moet gebeuren. Het systeem detecteert de afwijking dan wel, maar doet er vervolgens niks mee, behalve het registeren. Een organisatie kan dan alleen achteraf vaststellen dat er onrechtmatig gebruik is gemaakt van hun domeinnaam. Dit is een gebruikelijke situatie tijdens de implementatie van de standaard, maar op termijn is het raadzaam om afwijkende berichten in quarantaine te zetten of zelfs te verwijderen.

Bewustzijn, ook in de keten

Juist omdat de veiligheidsstandaarden pas echt goed tot hun recht komen als zowel de verzender als ontvanger deze juist geïmplementeerd hebben, is het van belang het gesprek hierover te blijven voeren, zowel in uw eigen organisatie als bij uw ketenpartners. Met name in de uitwisseling met andere organisaties bestaat er een aanzienlijk risico dat gegevens, al dan niet per abuis, in verkeerde handen terecht kunnen komen.

Het adequaat kunnen faciliteren van veilig mailen is een belangrijke basis om datalekken te voorkomen. Uit alle onderzoeken blijkt echter nog steeds dat de meest voorkomende oorzaak van datalekken nog steeds de menselijke factor is. Verkeerde adressering, het bijvoegen van verkeerde bestanden of juist teveel informatie meesturen zijn voorbeelden van hoe een fout al snel gemaakt kan zijn.

Het is belangrijk om te beseffen dat organisaties dit aspect alleen echt goed onder controle kunnen krijgen door structureel en periodiek aan de bewustwording van medewerkers te werken. Maak mensen bewust van de risico’s en geef ze de handvatten om het veilig te doen: niet alleen eigen medewerkers maar ook de partijen waar  mee samengewerkt wordt. Eventuele technische voorzieningen of software die daarbij ondersteunen zijn mooi meegenomen, maar blind vertrouwen op de techniek is zelden een goed plan. Zeker bij ongestructureerde berichtenuitwisseling zoals e-mail.

Houd het op de agenda

Tot slot is het voor lokale overheden van belang om de beveiliging van e-mailverkeer scherp in beeld te houden, zowel door middel van bewustwording als de implementatie van de veiligheidsstandaarden. Dat laatste komt bovendien nadrukkelijk in beeld met de komst van de Baseline Informatiebeveiliging Overheid (BIO), omdat het gebruik van de standaarden voor onder meer e-mailverkeer daar als expliciete ‘control’ wordt benoemd.

Landkaart resultaten provincies

Meer weten?

Voor meer informatie kunt u contact opnemen met Telengy-adviseur Wouter Le Febre, 06 55 29 77 09, w.l.febre@telengy.nl, Telengy-adviseur Kim Lenders, 06 12 74 69 45,  k.lenders@telengy.nl of Telengy-adviseur Rik Duijmelinck, 06 46 66 18 71, r.duijmelinck@telengy.nl.

Veel gemeenten zijn nog druk bezig om de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG) te implementeren, maar de opvolger staat inmiddels ook voor de deur. De Baseline Informatiebeveiliging Overheid (BIO) moet vanaf 2019 een eenduidige baseline voor alle overheidsinstellingen bieden. Is het oude wijn in nieuwe zakken of brengt de BIO meer met zich mee? En hoe kan de nieuwe baseline de lokale overheden helpen? 

Risicogericht door de hele organisatie 

Wie door de BIO heen bladert, zal delen van de structuur herkennen uit de BIG en in elk geval veel van de maatregelen. De nieuwe baseline is net als de BIG dan ook gebaseerd op de ISO 27001 en 27002 normen, zij het bijgewerkte versies daarvan, en ook de structuur van die normen is overgenomen. Het is voor gemeenten belangrijk om de twee baselines goed naast elkaar te leggen en stil te staan bij de plekken waar ze op elkaar aansluiten en vooral ook waar ze van elkaar verschillen. 

Twee belangrijke veranderingen met de komst van de BIO zijn de expliciete aandacht voor verantwoordelijkheden en risicomanagement. In de nieuwe baseline wordt de verantwoordelijkheid voor informatieveiligheid nadrukkelijk neergelegd bij de secretaris, de proceseigenaar of een derde partij als dat van toepassing is. Deze verantwoordelijke moet ervoor zorgen dat de risico’s bij zijn of haar processen in beeld zijn en dat daar passende maatregelen voor genomen worden. Daarbij is het van belang om gedegen kennis van zowel informatiebeveiliging als de inhoud van de processen mee te nemen. 

Basis Beveiligingsniveaus 

Om dat goed en gestructureerd te kunnen doen, worden er met de BIO drie beveiligingsniveaus geïntroduceerd: de zogeheten Basis Beveiligingsniveaus (BBN). Van BBN1 tot en met BBN3 zijn er bijbehorende verplichte overheidsmaatregelen beschreven die voor een passende bescherming bij het betreffende beveiligingsniveau moeten zorgen. In veel gevallen is de proceseigenaar verantwoordelijk voor het toepassen van het juiste beveiligingsniveau en de naleving daarvan. Deze verschuiving zorgt ervoor dat informatiebeveiliging nadrukkelijker in de organisatie wordt belegd. Het is dan ook een belangrijke stap in de groei naar volwassenheid op het gebied van informatieveiligheid, waarin proceseigenaren nadrukkelijk hun verantwoordelijkheid pakken op dit onderwerp en dit uitdragen binnen hun afdeling.  

Als dit op een gedegen manier gebeurt, zal de CISO meer een coördinerende rol kunnen pakken en meer grip krijgen op informatieveiligheid in de gehele organisatie, juist omdat dit door de hele organisatie gedragen wordt. Daarbij is het wel van belang dat er voldoende kennis en bewustwording aanwezig is op de verschillende afdelingen.  

Eén baseline als basis? 

Hoewel er binnen de BIO veel raakvlakken zijn met de BIG, zal het voor de meeste organisaties toch tijd kosten om goed bekend te raken met de inhoud van de nieuwe baseline en daaraan te gaan voldoen. Daarom is 2019 ook aangewezen als overgangsjaar, om deze stap te kunnen zetten. De verantwoording volgens ENSIA zal volgend jaar in principe nog conform de BIG gebeuren, maar uiteindelijk zal ook daar de BIO gaan gelden. 

Nu er een eenduidige baseline komt voor alle overheden kan het waardevol zijn als de BIO in combinatie met ENSIA daadwerkelijk als centrale spil gaat functioneren wat betreft de verantwoording ten aanzien van informatiebeveiliging. Nu vult de CISO naast de vragen in ENSIA ook nog de vragenlijst van de accountant voor de jaarrekening in en worden bij de audits wederom aparte assessments afgenomen voor vakgebieden die ook gewoon in ENSIA aan bod komen. Daar valt voor informatiebeveiligend Nederland nog een mooie stap te zetten. 

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.