Auteursarchief: Wouter Le Febre

Het algoritmeregister wordt opgezet in 2023, maar wat kunnen we nu al doen?

Lees het gehele artikel

Wacht niet langer, we zijn al laat!

Steeds meer beslissingen bij gemeenten worden genomen op basis van data en slimme algoritmen. Ook deze vorm van datagedreven werken draait om de waarde die het toevoegt. Tegelijkertijd worden processen en besluitvorming hiermee abstracter en is het essentieel om daar grip op te houden en transparant te zijn over hoe je als gemeente te werk gaat. Hiervoor is controle en inzicht nodig. Niet alleen intern, maar ook voor de burger en de maatschappij in het algemeen.

Controle en inzicht beginnen bij laten zien wat je doet. Het Algoritmeregister van de Nederlandse overheid kan hier een belangrijke schakel in worden. In 2023 start de Nederlandse overheid met het algoritmeregister en het werken aan een implementatiekader ‘ínzet van algoritmen’. De privacy toezichthouder Autoriteitspersoonsgegevens gaat over het register waken. Er is inmiddels 1 miljoen euro gereserveerd in 2023, oplopend tot 3,6 miljoen in 2026.

De bovenstaande acties zijn een grote stap voorwaarts, toch is dit register slechts een middel om op een overzichtelijke manier inzicht te verschaffen naar de spreekwoordelijke buitenwereld. Intern begint het met bewust bezig zijn met algoritmen, hier met elkaar het gesprek over voeren en zorgvuldig te werken gaan. Gemeenten doen er daarom goed aan om niet langer te wachten en direct aan de slag te gaan.

Wij adviseren om de volgende acties te ondernemen:

  1. Inventariseer welke algoritmen er gebruikt worden in de organisatie. Leg dit systematisch vast en gebruik bij voorkeur de kenmerken van het landelijke algoritmeregister.
  2. Start met het creëren van bewustzijn bij medewerkers over de risico’s en kansen bij het gebruik van datagedreven besluitvormingen. Tegenwoordig zijn er veel instrumenten en bijeenkomsten waar organisatie kunnen aansluiten, o.a.: een data-awareness dag, datagame en bijvoorbeeld data-vaardigheid assesment.
  3. De inzet van algoritmen is een gedeelde verantwoordelijkheid waarbij bijvoorbeeld het datateam, een leverancier, de vakspecialisten en de verantwoordelijk manager bij betrokken zijn. Kies daarom een gezamenlijk proces of methodiek om vooraf ethische vraagstukken van nieuwe algoritmes te bediscussiëren, iedereen moet er over kunnen meepraten.

Op deze wijze voorkomt de organisatie per direct een groot deel van de potentiële problemen bij het gebruik van algoritmen en houdt de organisatie grip. Mocht in 2023 het implementatiekader gereed zijn, dan is het leeuwendeel bovendien al gedaan. Het register zou het sluitstuk moeten zijn van een gezonde datapraktijk/datahuishouding/datagedreven werken.

Meer informatie

Mocht u meer willen weten over het register, algoritmen of datagedreven besluitvorming, neem dan vooral contact op met Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl of met Roel Ottens via telefoonnummer: 06 50 43 15 77 of via e-mail: r.ottens@telengy.nl.

Bronnen

 

Ik adviseer alleen maar…

Lees het gehele artikel

Het is een kreet die ik bij verschillende opdrachtgevers al jaren om mij heen hoor. Op zichzelf niet raar als je adviseur van beroep bent, maar de kreet ‘ik adviseer alleen maar’ kom ik vooral tegen binnen de context van informatiemanagement. Om grip te krijgen op veranderingen binnen de informatievoorziening hebben organisaties ten eerste verschillende rollen en processen bedacht om die veranderingen in goede banen te leiden en te zorgen dat er overal op tijd aan gedacht wordt. Ten tweede zijn er vaak allerhande principes en uitgangspunten geformuleerd waar die informatievoorziening dan aan moet voldoen.

Als er een wens of noodzaak is om iets in de informatievoorziening te veranderen, zijn er zodoende verschillende rollen die onderweg meedenken en adviseren over hoe de gewenste oplossing eruit moet zien. Denk hierbij o.a. aan de security officer, de privacy officer, architecten en inkoopadviseurs. De informatieadviseur heeft hierin vaak een coördinerende rol en adviseert de opdrachtgever over het vervolgtraject.

Eigenaarschap

Binnen dit proces gaat het vaak over eigenaarschap. Wie wil er veranderen? Wie bepaalt voor welke oplossing er gekozen wordt? Het antwoord daarop is dan meestal: de ‘business’. Het concept van eigenaarschap is essentieel in een tijd waarin dienstverlening en informatievoorziening steeds nauwer verweven raken en onlosmakelijk met elkaar verbonden zijn.

Op basis van een degelijk advies moet je deze vanuit informatiemanagement in staat stellen om de juiste keuzes te maken als het gaat om digitalisering en veranderingen in de informatievoorziening. En daar wringt de schoen nog wel eens. Onder het mom van eigenaarschap worden zaken richting de business geschoven, waar ze in de praktijk lang niet altijd mee uit de voeten kunnen. “Ze moeten maar aangeven wat ze willen, dan kunnen wij daarover adviseren”, heb ik in de afgelopen vijf jaar meer dan eens gehoord bij opdrachtgevers.

Dat is van de business

Programma van Eisen? De business moet aangeven wat ze willen. Verwerkersovereenkomst? Het zijn de gegevens van de business, laat die hem maar invullen. BIO-maatregelen en risiciomanagement? Pakkie-an van de lijnmanager. Klopt allemaal als een bus, maar dat betekent niet dat met het aanwijzen van die verantwoordelijkheid de zaak geregeld is. In de praktijk is de business bezig met haar primaire proces en niet met het opstellen van verwerkersovereenkomsten, programma’s van eisen of de invulling van BIO-maatregelen.

Zouden ze daartoe in staat moeten zijn? In de ideale wereld misschien. In de praktijk doe je er goed aan om deze eigenaren te begeleiden in het proces, de juiste kennis en handvatten te bieden om de business een zorgvuldige afweging en keuze te laten maken. Dat betekent niet dat je het stokje en de verantwoordelijkheid overneemt, maar wel dat je als adviseur aan tafel gaat zitten en helpt om de weg te wijzen. Ik adviseer alleen maar!

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

To the point: informatiebeveiliging en privacy in Borsele

Lees het gehele artikel

In de periode 2017 tot en met 2021 heeft Telengy de gemeente Borsele ondersteund op het gebied van informatiebeveiliging en privacy. In een periode waarin voor de gemeente veel is veranderd, hebben we hopelijk veel waardevols mogen brengen, maar nemen we ook waardevolle inzichten mee. Over dit traject, waar ik van 2018 tot en met 2021 grotendeels bij betrokken ben geweest, valt veel te schrijven en ik deel in dit artikel enkele inzichten die breder toepasbaar zijn.

Het traject

Telengy is in november 2017 gestart met het traject met als primair doel om informatiebeveiliging en privacy structureel in te bedden in de organisatie, met daarbij de invulling van lopende zaken en taken op dit gebied. Dit vertaalde zich feitelijk naar drie sporen:

  1. Kwartiermaken voor de organisatie van informatiebeveiliging en privacy.
  2. Bewustwordingscampagne binnen de gehele organisatie.
  3. Ondersteuning en ontzorging bij de taken en verantwoordelijkheden bij informatiebeveiliging en privacy.

Kort gezegd hebben we de organisatie op alle lagen ondersteund, van governance en beleid tot ENSIA en van afhandeling datalek tot regionale samenwerking. Hierdoor kwamen we ook met alle lagen van de organisatie in gesprek en ontstond er een duidelijk beeld van wat er speelde binnen de organisatie. Deze aanpak heeft ervoor gezorgd dat we binnen de organisatie de basis op orde hebben kunnen krijgen en de organisatie met een eigen, structurele invulling verder kan.

Door de jaren heen zijn mijn collega’s Arno van Waesberghe, Roel Ottens en Tim van der Pol ook betrokken geweest bij dit traject. Waar nodig en in goed overleg konden we op deze manier een volwaardig en flexibel traject bieden, waarin we op de juiste momenten de juiste expertise konden inbrengen.

Ken je publiek

Om privacy en informatiebeveiliging succesvol te borgen in de organisatie, is het essentieel dat men in de hele organisatie doordrongen is van het belang en ook de handvatten heeft om het in de dagelijkse praktijk toe te passen. Dit betekent dat je in de communicatie over informatiebeveiliging en privacy zoveel mogelijk aansluit bij de beleefwereld van je gesprekspartner. Zoek het juiste detailniveau en ontdek wat de ander belangrijk vindt. Pas je verhaal daarop aan.

Een sessie over privacy kan er bij de buitendienst heel anders uitzien dan in het sociaal domein en dat is alleen maar goed. Waar privacy in het sociaal domein een haast vanzelfsprekend element is dat dagelijks aan bod komt, is dat bij de buitendienst veel minder het geval. Toch werken ook zij met bijvoorbeeld smartphones en hebben ze contact met de inwoners. In plaats van uitleggen wat de AVG exact inhoudt, startte ik hier het gesprek met de vraag: wat betekent privacy voor jou persoonlijk? De persoonlijke ideeën en opvattingen werden al snel (en niet door mij!) gerelateerd aan het werk, waardoor ik medewerkers goed kon helpen met de zaken waar zij tegenaan liepen.

Op dat moment is privacy niet langer iets vervelends, een beeld dat nog al te vaak bestaat, maar worden het serieuze en interessante overwegingen in je eigen dagelijkse werkzaamheden. Ook richting het bestuur is het belangrijk om je publiek te kennen. Informatiebeveiliging en privacy zijn (nog) niet altijd de meeste populaire onderwerpen voor bestuurders. Neem ze mee in het intrinsieke belang van informatiebeveiliging en privacy en stip vooral dat aan wat voor hen relevant is en daarnaast waar ze invloed op hebben. Op die manier voed je ze niet alleen met informatie, maar zit je als partner aan tafel.

Werk samen waar het kan

Zorgvuldig omgaan met informatie krijg je als adviseur, CISO of FG nooit alleen voor elkaar. De gemeente Borsele neemt deel aan gemeenschappelijke regeling De Bevelanden, samen met de gemeenten Goes, Kapelle, Noord-Beveland en Reimerswaal. De GR faciliteert de gemeenten onder meer op het gebied van ICT en HR. In dit verband wordt veel samengewerkt als het gaat om de implementatie van de BIO. Vanuit de gemeente Borsele was ik nauw betrokken bij deze samenwerking.

Het gezamenlijk optrekken betekent dat niet iedere organisatie zelf het wiel hoeft uit te vinden en bovendien stimuleert het kennisuitwisseling. Door samen vraagstukken op te pakken, leer je ook hoe het er bij andere gemeenten aan toe gaat en vind je sparringpartners voor de rol die je invult. Daarnaast geeft het organisaties met een beperkte capaciteit de mogelijkheid om toch relatief veel voor elkaar te krijgen.

Laagdrempelig en to the point

De manier waarop Telengy samen met de gemeente Borsele dit traject heeft opgepakt sluit goed aan bij wat we bij Telengy belangrijk vinden in het werk: als betrokken partner een organisatie helpen veranderen met een realistische en pragmatische aanpak. Gedreven door de inhoud, met aandacht voor de mens, overal in de organisatie.

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

 

 

 

Privacy in het sociaal domein: zorgvuldig samenwerken

Lees het gehele artikel

Het is inmiddels al drie jaar geleden dat de Algemene Verordening Gegevensbescherming in werking is getreden. Privacy van inwoners is in toenemende mate een belangrijk onderdeel geworden in de manier waarop lokale overheden hun taken uitvoeren. De afgelopen jaren hebben de eerste boetes opgelegd door de Autoriteit Persoonsgegevens laten zien dat het niet altijd goed gaat. We hebben echter vooral gezien dat gegevensbescherming een constante uitdaging is voor organisaties. Veranderende organisaties in een veranderende wereld maken dat we ons constant aan moeten passen om zorgvuldig met gegevens om te gaan.

Met name in het sociaal domein zijn er saillante uitdagingen als het gaat om privacy. In dit domein ligt voor veel gemeenten een duidelijk zwaartepunt als het gaat om gevoelige persoonsgegevens van soms kwetsbare inwoners. Bovendien is dit bij uitstek een domein waar veel samengewerkt wordt met ketenpartners. De uitdaging zit hem op het gebied van privacy niet alleen in de verwerking van persoonsgegevens door de organisatie zelf, maar ook in de manier waarop je die samenwerking vormgeeft.

Multidisciplinair

Dit komt heel duidelijk naar voren wanneer de toegang tot het sociaal domein georganiseerd is in de vorm van multidisciplinaire wijkteams. Hierin zitten niet alleen medewerkers van de gemeente zelf, maar ook medewerkers van ketenpartners die voorzieningen bieden. Denk hierbij aan de maatschappelijkwerker, jongerenwerker of ouderenadviseur die vanuit een welzijnsorganisatie lid is van een wijkteam. Hoe ga je daarmee om als verwerkingsverantwoordelijke?

Privacy-afspraken?

Deze uitdaging is tweeledig. Ten eerste is het essentieel dat er goede afspraken gemaakt worden met de moederorganisaties van de betreffende medewerkers over privacy. Er wordt vaak samengewerkt op basis van een subsidierelatie, waarbij er afspraken zijn over de taken en financiën, maar niet altijd over hoe de verhoudingen en verantwoordelijkheden georganiseerd zijn op het gebied van privacy. Hierdoor is het niet altijd duidelijk welke verwerkingen rechtmatig zijn en wie er verantwoordelijk is in het geval van een datalek.

Strikt noodzakelijke toegang

Ten tweede moeten deze medewerkers toegang krijgen tot de benodigde systemen om informatie op te halen en te registreren. Medewerkers van ketenpartners beschikken vaak over een eigen applicatie van hun moederorganisatie. Hoe geef je hen toegang tot gemeentelijke systemen als dat nodig is? En hoe beperk je hun toegang tot het strikt noodzakelijke? Als er geen duidelijke afspraken zijn tussen de organisaties is dit extra lastig. Hierbij moet bovendien rekening gehouden worden met andere kaders die binnen de gemeente gelden, bijvoorbeeld op het gebied van informatiebeveiliging. Als tweefactor authenticatie bijvoorbeeld een uitgangspunt is, dan moet je dit ook voor externe gebruikers faciliteren.

Zorgvuldig omgaan met persoonsgegevens in samenwerkingsverband begint met goede afspraken aan de voorkant en op basis daarvan werk je samen uit wat werkt. Vanuit Telengy denken wij graag mee over hoe organisaties praktisch en uitvoerbaar met privacy om kunnen gaan, juist in het sociaal domein, zie ook deze folder.

Meer weten?

Voor meer informatie over hoe wij uw organisatie kunnen helpen, kunt u contact opnemen met  Wouter Le Febre,  06 55 29 77 09 of w.l.febre@telengy.nl.

 

Kijken naar wat wel kan onder de AVG!

Lees het gehele artikel

Inmiddels is de Algemene Verordening Gegevensbescherming (AVG) al ruim twee jaar van kracht en zijn organisaties zo’n vier jaar bezig om gegevensbescherming in hun organisatie te organiseren. Uit recent onderzoek van onderzoeksprogramma Argos blijkt dat gemeenten nog steeds worstelen met de uitvoering van de AVG en het nemen van gepaste maatregelen.

Misleidende beeldvorming

Privacy wordt nog vaak als een probleem of beperkende factor gezien, terwijl tegelijkertijd blijkt dat kennis over de AVG binnen gemeenten in voorkomende gevallen niet toereikend is. Dat kan leiden tot misleidende beeldvorming over wat er wel of niet binnen de wet mogelijk is en wat het maatschappelijk belang van gegevensbescherming is. Zo stelden twee burgemeesters vorige maand dat de ‘doorgeslagen privacywet’ extra doden heeft gekost tijdens de coronacrisis, omdat cruciale informatie niet gedeeld zou mogen worden. De Autoriteit Persoonsgegevens reageerde dat er vanuit de wet geen belemmeringen zijn om dergelijke cruciale informatie (van vitaal belang, in termen van de AVG) te delen.

De wet biedt kaders om per gegevensverwerking te bepalen welke persoonsgegevens er verwerkt mogen worden. Voor de gemeente verloopt dat voornamelijk langs de lijnen van haar wettelijke en publiekrechtelijke taken. Voor veel gemeenten is dat al een uitdaging op zich. Daarnaast bestaan er binnen gemeenten, maar ook met ketenpartners, behoeften om gegevens met elkaar te delen. Bijvoorbeeld in het kader van integraal werken in het sociaal domein, maar ook bij vroegsignalering bij schuldenproblematiek of het bestrijden van ondermijning. Het lastige daarbij is dat dergelijke gegevensuitwisseling tussen verschillende disciplines (of wettelijke taakgebieden) niet of nauwelijks beschreven staat in de betreffende wetten. Daar komt langzaam beweging in, bijvoorbeeld met de wijziging in de Wet Gemeentelijke Schuldhulpverlening in 2021 waarmee de uitwisseling van persoonsgegevens beter gefaciliteerd wordt, maar het is zeker niet gezegd dat dit voor alle wettelijke taken zal gebeuren.

Onderbouwen en afwegen

Om het uitwisselen van gegevens op een passende en afgewogen manier te faciliteren is het essentieel om toch een wettelijke basis te vinden voor die uitwisseling. Dat kan bijvoorbeeld in de vorm van een privacyprotocol. In februari dit jaar verscheen het Model Privacyprotocol binnengemeentelijke gegevensdeling. Dat is voor een gemeente een mooie onderbouwde basis om in het kader van ondermijning gegevens uit te kunnen gaan wisselen. Bij gemeenten bestaat echter ook de behoefte om een dergelijk protocol te hebben voor andere domeinen binnen de gemeente. In dat kader ga ik de komende periode met de gemeente Borsele onderzoeken hoe we gegevensdeling binnen de gemeente én met externe partners op een gedegen manier kunnen onderbouwen en vastleggen.

Een van de grootste uitdagingen vanuit de AVG is de verantwoordelijkheid die de wet bij organisaties legt voor het maken van een gedegen afweging op basis van de principes en uitgangspunten die de wet voorschrijft. Dat geeft enerzijds onzekerheid, omdat het wel of niet voldoen aan de wet daardoor niet zwart-wit is en inherent risico’s met zich meebrengt. Anderzijds biedt het juist ook kansen om die ruimte te benutten en te onderzoeken waar gegevensuitwisseling meerwaarde kan bieden voor de dienstverlening, met het belang van de burger voorop uiteraard. Ga aantoonbaar afgewogen te werk en dan kan ‘dat mag niet van de AVG’ vaak genoeg veranderen in ‘dat kan prima onder de AVG’. Hoe heeft uw gemeente gegevensuitwisseling tussen verschillende domeinen geregeld?

Meer weten?

Telengy-adviseur Wouter Le Febre komt graag met u in gesprek via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

 

En nu echt BIO

risicomanagement BIO
Lees het gehele artikel

2019 was het overgangsjaar naar de BIO en vanaf 2020 komt het er echt op aan. Is uw organisatie al helemaal klaar voor de BIO of is de transitie nog in volle gang?

BIO wat was het ook alweer?

De BIO kan de organisatie helpen om meer grip te krijgen op informatiebeveiliging en de impact hiervan op de uitvoering van uw werkprocessen. Met de nadruk op risicomanagement en de verantwoordelijkheid van de lijnmanager daarin, ontstaat de gelegenheid en noodzaak om de impact van beveiligingsrisico’s op het primaire proces te behandelen en een passende strategie te kiezen.

risicomanagement BIO

Meer weten?

Telengy-adviseur Wouter Le Febre heeft afgelopen jaren veel ervaring opgedaan met informatieveiligheid, BIG en BIO. In eerdere artikelen deelde hij zijn ervaringen al:

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

1 Jaar AVG: waar staan we nu? 

Lees het gehele artikel

Het is inmiddels alweer iets meer dan een jaar geleden dat de Algemene Verordening Gegevensbescherming in werking trad. De nieuwe privacywetgeving moet er vooral voor zorgen dat de privacy van Europese inwoners beter beschermd wordt, maar na een jaar lijkt de wet voornamelijk tot kopzorgen te leiden bij veel organisaties, waaronder gemeenten, op te leveren. Wat heeft een jaar met de AVG ons gebracht? 

Bouwstenen 

Met de komst van de AVG lag de focus voor veel Nederlandse gemeenten op het in kaart brengen van de talloze verwerkingen van persoonsgegevens in het register van verwerkingen en het maken van de juiste afspraken aan de hand van verwerkersovereenkomsten. Inmiddels heeft de Informatiebeveiligingsdienst ook een standaardverwerkersovereenkomst gepubliceerd, waarvan het gebruik voor gemeenten verplicht wordt. Deze onderdelen zijn belangrijke bouwstenen voor een organisatie om meer grip te krijgen op het zorgvuldig werken met persoonsgegevens. 

Dat is een continu proces, dat niet klaar is na een implementatieproject AVG. Het is essentieel om scherp te houden welke (persoons)gegevens je verwerkt, maar ook hoe je die gegevens verwerkt en hoe de gegevensstromen er in de praktijk uitzien. Recent bleek uit onderzoek van RTL dat er bij een jeugdzorginstelling grootschalig persoonsgegevens lekten, omdat er gebruik gemaakt werd van verouderde e-mailadressen. Informatievoorziening verandert voortdurend en daar moet je als privacybewuste organisatie op bedacht zijn. Bovendien kun je je in het bovenstaande geval afvragen of e-mail wel het juiste kanaal is om dergelijke informatie te delen. 

Houd het werkbaar 

De uitdaging is om een goede balans te vinden tussen het zorgvuldig omgaan met persoonsgegevens en het werkbaar houden van je primaire werkprocessen. Wij zien in de praktijk nog maar al te vaak dat men in een kramp lijkt te schieten, gepaard met kreten als ‘dat mag niet van de AVG’ of ‘zo kunnen we niet werken’.  

De uitdaging is om samen te kijken naar hoe het wél kan en daarbij gebruik te maken van de ruimte die de wet biedt. Wees je bewust van de risico’s, benoem die en maak vervolgens de afweging hoe je daar op een zorgvuldige manier mee om kunt gaan. Als je dat als organisatie op een goed onderbouwde manier doet, hoeft de wet absoluut niet zo beknellend te zijn als vaak gedacht (en geroepen) wordt, integendeel. 

Handvatten voor de uitvoering 

Het vinden en behouden van die balans is niet alleen de uitdaging voor Functionarissen Gegevenbescherming en Privacy Officers, maar bij uitstek voor de medewerkers die het primaire proces uitvoeren. Zij hebben de juiste handvatten nodig om scherp te blijven op het omgaan met persoonsgegevens en knelpunten of ontwikkelingen te signaleren. Zorgvuldig omgaan met persoonsgegevens is een continu proces. Dat is nooit af, maar je blijft leren en verbeteren. Dat betekent dat men elkaar scherp moet houden binnen organisaties.  

Enerzijds kan dat uitstekend door middel van bewustwordingscampagnes, maar het kan juist ook heel waardevol zijn om het onderwerp te integreren in werkoverleggen. Op die manier kun je privacy op een heel inhoudelijk niveau bespreken en kun je samen je afwegingen maken en vastleggen, bijvoorbeeld door middel van een besluit. Bovendien helpt het goed om met elkaar in beeld te houden waar men zoal tegenaan loopt. Wanneer je er binnen het overleg niet uitkomt, kun je daarnaast een privacy officer bij het overleg laten aansluiten om te adviseren.  

Op die manier kun je echt een lerende organisatie zijn als het gaat om privacy. Samen onderzoeken en onderbouwen hoe het wel kan. Ga met elkaar het gesprek hierover aan, maak heldere afspraken en je zult zien dat er binnen de AVG eigenlijk best veel kan. 

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

 

BIO: momentum voor informatiebeveiliging

Lees het gehele artikel

Inmiddels is het eerste kwartaal van het overgangsjaar alweer bijna verstreken, waarin overheden overgaan op de gezamenlijke Baseline Informatiebeveiliging Overheid (BIO). Lokale overheden, waaronder veel gemeenten, werken hard aan de informatieveiligheid binnen (en ook buiten) de organisatie. Telengy ziet in het veld dat er nog steeds grote stappen gezet worden, in steeds meer gevallen met directe ondersteuning van onze adviseurs. Tegelijkertijd zien we dat het soms toch nog een uitdaging kan zijn om informatieveiligheid ook hoog op de agenda te houden.

Wat dat betreft is de BIO een uitstekende gelegenheid om informatieveiligheid weer onder de aandacht te brengen van de hele organisatie, van medewerker tot bestuurder. De BIO krijgt veel meer een verplichtend karakter dan de BIG en dat brengt ook meer urgentie met zich mee.  Daarbij is het essentieel voortdurend stappen te blijven zetten als organisatie op het gebied van informatiebeveiliging. Tegelijkertijd moet je er soms ook voor waken dat je niet te hard gaat, anders raak je de medewerkers kwijt. Het vinden van een modus waarin je de organisatie goed meekrijgt is van groot belang. Het kan daarbij in sommige gevallen helpen om verandertrajecten op te knippen en meer stapsgewijs te werk te gaan. In een organisatie waar al veel verandert, kan het waardevol zijn om al doende te leren.

Veilig worden door te leren

Het gaat er niet om dat de maatregelen die je implementeert gelijk perfect zijn. Het gaat erom dat je als organisatie bewust keuzes maakt en blijft monitoren of je het gewenste resultaat bereikt met de genomen maatregelen. Bij veel maatregelen zal er een zorgvuldige afweging gemaakt moeten worden tussen de beveiligingsrisico’s en de belangen vanuit de werkprocessen, zoals onder meer efficiëntie en ook gebruikersgemak. Die twee zaken zijn niet noodzakelijk tegenpolen, maar de belangen kunnen wel conflicteren. Als dat gebeurt kan er weerstand ontstaan bij de medewerkers die het werkproces uitvoeren en dat zijn bij uitstek de collega’s die je nodig hebt om informatiebeveiliging echt tot een succes te maken.

Vergeet niet dat je als organisatie altijd de vrijheid hebt om maatregelen opnieuw te evalueren en bij te stellen. Op het moment dat je op een bewuste manier met informatiebeveiliging bezig bent, kan dit je als organisatie helpen om echt te groeien in volwassenheid op dit gebied en echt veiliger te werken. Toch kan het lastig zijn om ineens (grote) veranderingen door te voeren. Ook in de organisatie moet een bepaalde mate van urgentie gevoeld worden om deze veranderingen goed geadopteerd te laten worden.

Aanhaken bij bestaande veranderingen

Momenten waarop er veranderingen plaatsvinden in de informatievoorziening van de organisatie kunnen een uitstekend moment zijn om (grote) veranderingen in de informatiebeveiliging te bewerkstelligen. Kiest een organisatie ervoor om (meer) te gaan flexwerken? Een uitstekend moment om in gesprek te gaan over spel- en gedragsregels rondom het gebruik van ICT-middelen. Stapt de gemeente over op een VDI (Virtual Desktop Infrastructure) met twee-factor authenticatie? Wellicht kan dan bij meer applicaties single sign-on gehanteerd worden.

Als verantwoordelijke voor informatiebeveiliging kan het je enorm helpen om waar mogelijk aan te sluiten bij bestaande veranderingen binnen de organisatie. Het is in die gevallen geen verrassing dat er zaken veranderen en dan is het ook niet zo gek als daar nieuwe afspraken omtrent  informatiebeveiliging bij horen.

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

Veilig mailen: nog steeds in beweging?

Lees het gehele artikel

Afgelopen jaar heeft Telengy uitgebreid onderzoek gedaan naar veilig mailen bij lokale overheden. We constateerden dat het belang van veilig mailen steeds meer werd onderkend, maar dat het vaak een uitdaging was voor lokale overheden om het daadwerkelijk te realiseren. In de praktijk betekende het vooral dat er nog vaak onveilig gemaild werd. Naar aanleiding van het onderzoek werden uiteindelijk zelfs Kamervragen gesteld en het werd maar al te duidelijk dat veilig mailen een plek op de agenda verdient. Hoe staat het er december 2018 voor?

Vooruitgang (on)zichtbaar?

Een belangrijk onderdeel om veilig mailen te realiseren is het implementeren van de diverse veiligheidsstandaarden, zoals onder meer STARTTLS en DMARC. Met deze standaarden kan een veilige verbinding opgezet worden en kan worden voorkomen dat het mailverkeer gemanipuleerd wordt. Daarbij is het wel van belang dat zowel de verzender als de ontvanger de standaarden juist heeft geïmplementeerd.

infographic overheidsinstellingen mailbeveiliging 2018

infographic overheidsinstellingen mailbeveiliging 2018

Net als vorig jaar hebben we met behulp van de online tool van Internet.nl alle domeinnamen van de lokale overheden getest. Met deze test kan iedere organisatie te allen tijde de eigen domeinen controleren en inzichtelijk krijgen welke standaarden (goed) geïmplementeerd zijn. Over de hele linie zien we een opmerkelijk beeld bij de verschillende lokale overheden vergeleken met vorig jaar, omdat verrassend veel organisaties slechter lijken te scoren. Dit valt te verklaren doordat Platform Internetstandaarden de test heeft uitgebreid en de verschillende aspecten anders gewogen worden in de test. Hierdoor lijkt het alsof diverse organisaties qua beveiliging achteruit zijn gegaan, maar dit is niet noodzakelijk het geval. Wel betekent een lagere score dat er meer werk aan de winkel is om goed aan de standaard te voldoen.

Landkaart resultaten gemeenten

Het is belangrijk om de standaarden volledig en juist te implementeren om deze goed tot hun recht te laten komen. Een relatief veel voorkomende situatie is dat een standaard als DMARC (waarmee spoofing van e-mail kan worden voorkomen) wel gehanteerd wordt, maar niet is ingesteld wat er met afwijkende berichten moet gebeuren. Het systeem detecteert de afwijking dan wel, maar doet er vervolgens niks mee, behalve het registeren. Een organisatie kan dan alleen achteraf vaststellen dat er onrechtmatig gebruik is gemaakt van hun domeinnaam. Dit is een gebruikelijke situatie tijdens de implementatie van de standaard, maar op termijn is het raadzaam om afwijkende berichten in quarantaine te zetten of zelfs te verwijderen.

Bewustzijn, ook in de keten

Juist omdat de veiligheidsstandaarden pas echt goed tot hun recht komen als zowel de verzender als ontvanger deze juist geïmplementeerd hebben, is het van belang het gesprek hierover te blijven voeren, zowel in uw eigen organisatie als bij uw ketenpartners. Met name in de uitwisseling met andere organisaties bestaat er een aanzienlijk risico dat gegevens, al dan niet per abuis, in verkeerde handen terecht kunnen komen.

Het adequaat kunnen faciliteren van veilig mailen is een belangrijke basis om datalekken te voorkomen. Uit alle onderzoeken blijkt echter nog steeds dat de meest voorkomende oorzaak van datalekken nog steeds de menselijke factor is. Verkeerde adressering, het bijvoegen van verkeerde bestanden of juist teveel informatie meesturen zijn voorbeelden van hoe een fout al snel gemaakt kan zijn.

Het is belangrijk om te beseffen dat organisaties dit aspect alleen echt goed onder controle kunnen krijgen door structureel en periodiek aan de bewustwording van medewerkers te werken. Maak mensen bewust van de risico’s en geef ze de handvatten om het veilig te doen: niet alleen eigen medewerkers maar ook de partijen waar  mee samengewerkt wordt. Eventuele technische voorzieningen of software die daarbij ondersteunen zijn mooi meegenomen, maar blind vertrouwen op de techniek is zelden een goed plan. Zeker bij ongestructureerde berichtenuitwisseling zoals e-mail.

Houd het op de agenda

Tot slot is het voor lokale overheden van belang om de beveiliging van e-mailverkeer scherp in beeld te houden, zowel door middel van bewustwording als de implementatie van de veiligheidsstandaarden. Dat laatste komt bovendien nadrukkelijk in beeld met de komst van de Baseline Informatiebeveiliging Overheid (BIO), omdat het gebruik van de standaarden voor onder meer e-mailverkeer daar als expliciete ‘control’ wordt benoemd.

Landkaart resultaten provincies

Meer weten?

Voor meer informatie kunt u contact opnemen met Telengy-adviseur Wouter Le Febre, 06 55 29 77 09, w.l.febre@telengy.nl, Telengy-adviseur Kim Lenders, 06 12 74 69 45,  k.lenders@telengy.nl of Telengy-adviseur Rik Duijmelinck, 06 46 66 18 71, r.duijmelinck@telengy.nl.

Informatieveiligheid: van vinkjes zetten naar risico’s managen

Lees het gehele artikel

Veel gemeenten zijn nog druk bezig om de Baseline Informatiebeveiliging voor Nederlandse Gemeenten (BIG) te implementeren, maar de opvolger staat inmiddels ook voor de deur. De Baseline Informatiebeveiliging Overheid (BIO) moet vanaf 2019 een eenduidige baseline voor alle overheidsinstellingen bieden. Is het oude wijn in nieuwe zakken of brengt de BIO meer met zich mee? En hoe kan de nieuwe baseline de lokale overheden helpen? 

Risicogericht door de hele organisatie 

Wie door de BIO heen bladert, zal delen van de structuur herkennen uit de BIG en in elk geval veel van de maatregelen. De nieuwe baseline is net als de BIG dan ook gebaseerd op de ISO 27001 en 27002 normen, zij het bijgewerkte versies daarvan, en ook de structuur van die normen is overgenomen. Het is voor gemeenten belangrijk om de twee baselines goed naast elkaar te leggen en stil te staan bij de plekken waar ze op elkaar aansluiten en vooral ook waar ze van elkaar verschillen. 

Twee belangrijke veranderingen met de komst van de BIO zijn de expliciete aandacht voor verantwoordelijkheden en risicomanagement. In de nieuwe baseline wordt de verantwoordelijkheid voor informatieveiligheid nadrukkelijk neergelegd bij de secretaris, de proceseigenaar of een derde partij als dat van toepassing is. Deze verantwoordelijke moet ervoor zorgen dat de risico’s bij zijn of haar processen in beeld zijn en dat daar passende maatregelen voor genomen worden. Daarbij is het van belang om gedegen kennis van zowel informatiebeveiliging als de inhoud van de processen mee te nemen. 

Basis Beveiligingsniveaus 

Om dat goed en gestructureerd te kunnen doen, worden er met de BIO drie beveiligingsniveaus geïntroduceerd: de zogeheten Basis Beveiligingsniveaus (BBN). Van BBN1 tot en met BBN3 zijn er bijbehorende verplichte overheidsmaatregelen beschreven die voor een passende bescherming bij het betreffende beveiligingsniveau moeten zorgen. In veel gevallen is de proceseigenaar verantwoordelijk voor het toepassen van het juiste beveiligingsniveau en de naleving daarvan. Deze verschuiving zorgt ervoor dat informatiebeveiliging nadrukkelijker in de organisatie wordt belegd. Het is dan ook een belangrijke stap in de groei naar volwassenheid op het gebied van informatieveiligheid, waarin proceseigenaren nadrukkelijk hun verantwoordelijkheid pakken op dit onderwerp en dit uitdragen binnen hun afdeling.  

Als dit op een gedegen manier gebeurt, zal de CISO meer een coördinerende rol kunnen pakken en meer grip krijgen op informatieveiligheid in de gehele organisatie, juist omdat dit door de hele organisatie gedragen wordt. Daarbij is het wel van belang dat er voldoende kennis en bewustwording aanwezig is op de verschillende afdelingen.  

Eén baseline als basis? 

Hoewel er binnen de BIO veel raakvlakken zijn met de BIG, zal het voor de meeste organisaties toch tijd kosten om goed bekend te raken met de inhoud van de nieuwe baseline en daaraan te gaan voldoen. Daarom is 2019 ook aangewezen als overgangsjaar, om deze stap te kunnen zetten. De verantwoording volgens ENSIA zal volgend jaar in principe nog conform de BIG gebeuren, maar uiteindelijk zal ook daar de BIO gaan gelden. 

Nu er een eenduidige baseline komt voor alle overheden kan het waardevol zijn als de BIO in combinatie met ENSIA daadwerkelijk als centrale spil gaat functioneren wat betreft de verantwoording ten aanzien van informatiebeveiliging. Nu vult de CISO naast de vragen in ENSIA ook nog de vragenlijst van de accountant voor de jaarrekening in en worden bij de audits wederom aparte assessments afgenomen voor vakgebieden die ook gewoon in ENSIA aan bod komen. Daar valt voor informatiebeveiligend Nederland nog een mooie stap te zetten. 

Meer weten?

Voor meer informatie kunt u contact opnemen met Wouter Le Febre , adviseur bij Telengy,  via telefoonnummer 06 55 29 77 09 of via e-mail: w.l.febre@telengy.nl.

 

 

AVG: wie doen er allemaal mee?

Lees het gehele artikel

Voor de meeste lokale overheden lijkt het (gaan) voldoen aan de AVG een heuse race tegen de klok. De winter loopt alweer bijna op zijn eind en dat betekent ook dat die ene datum, die zo scherp op ons netvlies staat, met rasse schreden nadert. In het vorige artikel gaf collega John Vloemans een overzicht van de belangrijkste punten voor uw organisatie in het kader van de AVG. In dit artikel aandacht voor de cruciale bewustwording.

Veel organisaties zijn druk bezig met het opleveren van de belangrijkste en vooral de meest concrete punten uit de AVG: het opstellen van het verwerkingsregister en het aanstellen van de Functionaris Gegevensbescherming. Vergelijkbaar met de trajecten rondom informatiebeveiliging zien wij bij veel organisaties dat het punt bewustwording doorgaans pas later in het traject aan bod komt. Dit is begrijpelijk vanuit het oogpunt dat bewustwording wellicht geen direct tastbare resultaten oplevert en je er als organisatie niet op afgerekend kunt worden als je het (nog) niet gedaan hebt. Bovendien zijn we allemaal druk met het aanstellen van de FG en het opstellen van het register. Maar is dat wel terecht? Op welke manier zou bewustwording eerder in het traject de implementatie juist kunnen bevorderen?

Privacy is overal in uw organisatie

In alle domeinen binnen de lokale overheid wordt er op ieder moment van de dag een veelheid aan gegevens verwerkt, waaronder persoonsgegevens. Hetzij een naam en adres, maar wellicht ook informatie over iemands gezondheid. Het maakt dat iedereen in de organisatie uiteindelijk, in meer of mindere mate, met privacy te maken krijgt. De AVG vraagt van uw organisatie dat u een verwerkingsregister opstelt met daarin per verwerking benoemd welke gegevens er verwerkt worden, waarvoor en waarom dat rechtmatig is.

Dat is een flinke klus, omdat het betekent dat u flink moet grasduinen binnen uw organisatie om dit allemaal op papier te krijgen. Het betekent ook dat u met uw hele organisatie in kaart gaat brengen wat er nou eigenlijk allemaal verwerkt wordt en waar dat voor nodig is. Die rondgang kunt u aangrijpen om binnen uw hele organisatie in gesprek te gaan over het belang van privacy en wat het betekent voor uw organisatie. Dat kan in plenaire bijeenkomsten, maar minstens zo interessant is het om gewoon eens de werkvloer op te gaan en vragen te stellen. In de natuurlijke setting van de werkvloer kun je effectief aan bewustwording werken, omdat het veel ruimte geeft voor een dialoog.

Met elkaar in gesprek over privacy

Juist door eerder in het implementatieproces aan bewustwording te doen, zullen collega’s actiever over de impact van privacy na gaan denken en kunt u mogelijk eerder identificeren waar knelpunten zitten en waar u eventuele weerstand kunt aantreffen. Weerstand op het gebied van privacy (‘ik mag niks delen’) blijkt in de praktijk regelmatig een uiting van onwetendheid of koudwatervrees te zijn, terwijl het in de praktijk vaak helemaal niet zo spannend hoeft te zijn. Voorkom deze tendens door vroegtijdig, samen, te kijken waar dit vandaan komt. Door de werkvloer op te gaan creëert u ruimte om concrete casussen te bespreken. Welke informatie mag ik gebruiken bij vermoeden van fraude? Mag ik zomaar een heel dossier met een ketenpartner delen? Dergelijke vragen komen beter tot hun recht in een kleinschalig gesprek dan in een plenaire sessie.

Levert dit u nóg meer werk op? Dat hangt ervan af hoe u het bekijkt. Volgens mij maakt het de implementatie van de AVG effectiever én duurzamer als u op tijd met de organisatie in gesprek gaat en goed luistert naar wat de behoeften zijn. Iedereen krijgt er uiteindelijk mee te maken, laat dat niet als een verrassing komen!

Meer weten?

Voor meer informatie kunt u contact opnemen met Telengy-adviseur Wouter Le Febre, 06 55 29 77 09, w.l.febre@telengy.nl.

Stevige roep om generieke voorziening veilig mailen

Lees het gehele artikel

Bewustzijn veilig mailen groeit

Een gestage toename van het bewustzijn voor veilig mailen is merkbaar. Maar het gebruik heeft alleen effect als de hele keten meewerkt. Verplicht gebruik zou afdwingbaar moeten zijn. Applicaties voor veilig mailen zijn vooral zinvol als én verzender én ontvanger deze gebruiken. Als partners in de keten geregeld veranderen zoals in het zorgdomein, dan is veilig mailen een nog grotere uitdaging. Respondenten zien unaniem veilig mailen bij voorkeur als een landelijke generieke voorziening. Helaas lijkt het nu vooral ieder voor zich met als gevolg een verkokerd en versnipperd landschap. Cruciale randvoorwaarde voor succes is dat veilig mailen eenvoudig in gebruik moet zijn. Tot slot hebben overheden een morele plicht aan de samenleving om op een veilige en betrouwbare wijze informatie te delen. Het raakt het vertrouwen in de overheid. Dit zijn de belangrijkste uitkomsten van het onderzoek dat Telengy heeft uitgevoerd naar de stand in overheidsland op het gebied van veilig mailen.

Er worden dagelijks vele duizenden e-mails verstuurd vanuit lokale overheden naar andere overheden, ketenpartners en inwoners. Het gaat daarbij vaak om gevoelige informatie en gelukkig komt er steeds meer aandacht voor de vraag hoe dit op een veilige manier kan gebeuren. Wat kan de lokale overheid doen om het veilig uitwisselen van informatie met ketenpartners en inwoners te faciliteren? Op basis van onderzoek geeft Telengy inzicht in hoe de zoektocht naar veilig mailen verloopt en wat er zoal aangetroffen wordt tijdens deze tocht.

Zoektocht

In het voorjaar van 2017 schreef Telengy over veiligheidsstandaarden voor e-mail bij lokale overheden. Daar kwam een wisselend beeld naar voren. Aan de ene kant beschikten de meeste organisaties over een beveiligde verbinding, maar tegelijkertijd had bijna 10% nog geen enkele stap gezet op dit gebied. De meeste organisaties waren wel begonnen aan hun zoektocht om veilig mailen te faciliteren binnen hun organisatie. Hoe staat het eind 2017 met die zoektocht en waar lopen zij tegenaan?

Standaard veilig mailen?

Het bewustzijn op het gebied van informatiebeveiliging neemt bij de lokale overheid gestaag toe en dit geldt ook voor de veiligheidsstandaarden voor e-mail. Ruim een half jaar na onze vorige meting hebben we opnieuw de domeinnamen van lokale overheden getest op de verschillende standaarden voor e-mail, aan de hand van de test van Internet.nl. Het gaat hierbij om standaarden zoals:

  • echtheidswaarmerken tegen e-mailphishing (DMARC, DKIM en SPF);
  • ondertekening van domeinnamen (DNSSEC);
  • beveiligde verbinding mogelijk (STARTTLS);
  • bereikbaarheid via modern internetadres (IPv6).

Over de hele linie is vooruitgang te zien en voor alle standaarden zien we een hogere score. Waar dit voorjaar slechts 3 organisaties in de test 100% scoorden, zijn dat er nu 15. Bovendien is het aantal organisaties dat geen enkele standaard heeft geïmplementeerd gedaald van 32 naar 2. Het laat zien dat in praktisch alle organisaties inmiddels aandacht is voor de standaarden en dat deze steeds breder gedragen gaan worden. Een bemoedigend teken, ondanks dat de meerderheid van de organisaties de beveiliging nog steeds niet op orde heeft. Er is nog werk aan de winkel.

infographic gemeenten veilig mailen eind 2017

infographic gemeenten veilig mailen eind 2017

infographic veilig mailen overheden eind 2017

infographic veilig mailen overheden eind 2017

Verzender en ontvanger

Het lastige met de veiligheidsstandaarden is dat ze pas ten volste gebruikt worden als zowel de verzendende als de ontvangende partij deze geïmplementeerd heeft. Op het moment dat de ontvangende partij bijvoorbeeld geen beveiligde verbinding (STARTTLS) heeft, is er al een kwetsbaarheid. Als organisatie wil je streven naar beveiliging in de hele keten, niet alleen in de eigen organisatie. Dat is strevenswaardig, maar is dat ook haalbaar? Als het gaat om ketenpartners wel, geeft Paul van Bergen in gesprek met Telengy aan. Hij is technisch architect bij het samenwerkingsverband ICT Rijk van Nijmegen.

Afdwingen?

Als het aan hem ligt mogen overheden best wat strenger zijn richting ketenpartners als het gaat om het geïmplementeerd hebben van de standaarden. “In theorie zou je het moeten afdwingen”, stelt hij, “maar het uitsluiten van ‘achterblijvers’ is nooit een optie.” In de praktijk zou een dergelijk streven betekenen dat je in kaart brengt welke standaarden bij welke organisatie ontbreken om samen tot veilig mailen te komen. Als je die weg bewandelt, valt er aan het einde van de rit feitelijk niks meer af te dwingen; dat is niet meer nodig. Uiteindelijk is dat wel een situatie waar lokale overheden uiteindelijk naar toe moeten willen. Veiligheidsstandaarden komen pas echt tot hun recht als ze hun naam eer aan doen en in de hele keten de standaard zijn geworden.

Een woud van applicaties

Naast de veiligheidsstandaarden is een scala aan applicaties in de markt beschikbaar die (‘kant-en-klaar’) voorzien in het veilig uitwisselen van informatie. Het kan daarbij gaan om applicaties waarmee veilig bestanden gedeeld kunnen worden, maar er zijn ook applicaties die het mailen zelf beveiligen, al dan niet geïntegreerd in de bestaande mailvoorziening (bijvoorbeeld Outlook). In hoeverre bieden deze applicaties een uitkomst als het gaat om veilig mailen?

Lastig te organiseren in ketens

Nog sterker dan bij de standaarden geldt voor de meeste applicaties dat de ontvangende partij ook aangesloten moet zijn op de gebruikte voorziening, want de verschillende applicaties kunnen doorgaans niet met elkaar ‘praten’. In veel gevallen betekent dit dat een ketenpartner hetzelfde product moet aanschaffen om via die lijn veilig informatie uit te wisselen. Een alternatief kan zijn dat de ontvangende partij inlogt op een online portaal, om het bericht op te halen. Dit is iets waar lokale overheden tegenaan lopen bij de aanschaf van een applicatie voor veilig mailen. Met name in het sociaal domein waar veel verschillende ketenpartners zijn, variërend van zorgboerderij tot GGD, kan dit problematisch zijn. Bij de gemeente Montferland hebben ze dit nadrukkelijk ervaren bij de recente keuze voor een applicatie voor veilig mailen. Informatiemanager Marco Robins, van de gemeente Montferland, geeft aan dat er eigenlijk geen enkele applicatie was die door meer dan 20% van hun ketenpartners gebruikt werd. Bovendien kunnen de ketenpartners jaarlijks wijzigen door aanbestedingen, waardoor de dekking kan blijven wisselen.

Wat betekent dit voor de organisatie als er de wens is om veilig te mailen met alle ketenpartners? En hoe zit het met inwoners? De keuze voor een specifieke applicatie blijkt in de praktijk vaak een compromis te zijn. Enerzijds is dat begrijpelijk, want volledige dekking met volledige veiligheid bestaat helaas niet, maar anderzijds moet het aanzetten tot denken. Waarom bepaalt een product met wie de organisatie veilig kan mailen? En is er reden om aan te nemen dat in de toekomst anders zal gaan?

Veilig mailen als landelijke voorziening?

Op landelijk niveau is er weinig sturing als het gaat om veilig mailen. In het kader van de Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) is er wel aandacht voor het veilig uitwisselen van data over het GGI-netwerk. Daarnaast zijn in de softwarecatalogus van KING de meeste veiligheidsstandaarden voor mail inmiddels op de pas-toe-of-leg-uit lijst gezet voor de kantoorautomatiseringscomponent. Dit betekent dat deze standaarden bij bijvoorbeeld aanbestedingen een meer nadrukkelijke rol spelen. Hoewel het nog geen vuist op tafel is, zet het de standaarden wel beter op de kaart.

In de gesprekken met lokale overheden komt steevast naar voren dat er een sterke wens bestaat om veilig mailen als generieke voorziening beschikbaar te hebben, zonder dat het bereik beperkt wordt door specifieke producten. Eenduidigheid in de manier waarop de overheid veilig mailt maakt het meer aantrekkelijk voor andere partijen om daarbij aan te haken. Bovendien voorkom je dat iedere organisatie zelf uit gaat zoeken hoe veilig mailen geregeld kan worden en het versnipperde landschap in stand gehouden wordt.

Lokale overheden kunnen daar samen in optreden en de eerste stappen zetten. Paul Flachs, strategisch adviseur bij de BsGW, geeft aan dat zij met andere belastingkantoren om de tafel zitten om informatieveiligheid, waaronder veilig mailen, zoveel mogelijk samen te organiseren. Het wordt dan ook makkelijker om bijvoorbeeld ketenpartners hierin mee te nemen. Samen organiseren kan het vliegwiel zijn voor veilig mailen.

Het gebruik van veilig mailen

Als er eenmaal een applicatie in huis is om veilig te mailen, dient het volgende vraagstuk zich aan: hoe zorg je ervoor dat medewerkers het daadwerkelijk gaan gebruiken? Een aparte applicatie betekent vaak dat er een onderscheid is tussen veilig mailen en regulier mailen. Unaniem vinden de respondenten van het kwalitatieve onderzoek dat het gebruik van de applicatie zo eenvoudig mogelijk moet zijn. Als het veilig mailen te veel extra werk kost, haken gebruikers af. Volgens de respondenten zijn gebruiksvriendelijkheid en integratie in bestaande mailvoorzieningen de belangrijkste factoren om veilig mailen een succes te maken onder gebruikers.

Bewustzijn is urgent

Vanuit de techniek is het niet altijd mogelijk om veilig mailen bij gebruikers af te dwingen en daarnaast blijft de reguliere ‘onveilige’ mail ook nog bestaan. Dat is een realiteit waar de organisatie mee om moet gaan. Dat betekent dat gebruikers er bewust voor moeten kiezen om iets veilig te versturen. Juist die bewustwording is een sleutelfactor om van veilig mailen een succes te maken. Het gaat erom dat mensen bewust verstandig willen handelen en zorgvuldig met gegevens om willen gaan. Bewustzijn kweken en deze onderhouden zijn daarbij noodzakelijke stappen in de organisatie.

Dat bewustwording een sleutelfactor is, geeft ook ICT-adviseur Paddy Verberne van de gemeente ’s-Hertogenbosch aan. Hij heeft werk gemaakt van de veiligheidsstandaarden in ’s-Hertogenbosch (100 %-score in de internet.nl test). Maar daarmee is de organisatie er nog niet. “Als gebruikers zich realiseren dat het gaat om het zorgvuldig omgaan met gegevens van inwoners, dan is veilig mailen een middel dat ze helpt om dat doel te bereiken. Als ambtenaar heb je daar wat dat betreft ook een morele plicht toe richting de samenleving”, benadrukt Paddy.

Het oog wil ook wat

Bij het zorgvuldig omgaan met gegevens hoort ook dat de overheid vertrouwen uitstraalt naar inwoners en organisaties. Met name in het sociaal domein, waar veelal gevoelige informatie van kwetsbare inwoners verwerkt wordt, is die vertrouwensband met de inwoner een groot goed. Dat speelt ook mee in de communicatie naar de inwoners, geeft Esther Hazeleger aan.

Zij is kwaliteitsmedewerker jeugd bij de gemeente Zeist en werkt veel samen met het Centrum voor Jeugd en Gezin (CJG). Veel applicaties om veilig informatie uit te wisselen maken gebruik van automatisch gegenereerde berichten die naar de ontvanger verstuurd worden. Dit zijn statische en onpersoonlijke berichten en in de communicatie met de inwoner is het belangrijk om stil te staan hoe zulke berichten overkomen en of dat past binnen de dienstverlening.

Bij een andere gemeente werd in een pilot voor het veilig delen van bestanden geconstateerd dat er bij het delen een automatisch bericht werd verstuurd met de tekst ‘Proficiat, er staat een bestand voor u klaar’. In het geval dat je een beschikking, met wellicht een afwijzing, naar een inwoner stuurt kun je je afvragen of ‘proficiat’ de meeste empathische tekst is. Dit soort kleine dingen kunnen grote invloed hebben op het vertrouwen van de inwoner. Als dit negatief is, zullen gebruikers dit middel niet snel inzetten.

Hoe verder met veilig mailen?

Uiteindelijk is iedereen gebaat bij veilige e-mail en hoort het bij een betrouwbare dienstverlening vanuit de overheid. Als je als organisatie een betrouwbare en veilige dienstverlening hoog in het vaandel hebt staan, is veilig mailen een belangrijk middel om tot dat doel te kunnen komen. In een tijd van digitalisering en toenemende cybercriminaliteit is het noodzakelijk om daar gepaste maatregelen voor te nemen en moeten overheden zich rekenschap geven van deze ontwikkelingen.

In den lande gebeurt dit ook, maar is het vaak ieder voor zich. Dit levert een verkokerd en versnipperd landschap op, waardoor het bereik van veilig mailen structureel beperkt wordt. De veiligheidsstandaarden bieden een uitkomst zolang verzender en ontvanger deze hanteren, maar daarbuiten is men veelal aangewezen op een van de vele applicaties. Voor afzonderlijke organisaties is dit vanuit pragmatisch oogpunt erg begrijpelijk. Tegelijkertijd moet er nagedacht worden over hoe veilig mailen in de hele keten gemeengoed kan worden. Los van welke leverancier dan ook en los van de ontvanger.

Op landelijk niveau zou samen gekeken kunnen worden waar de gemeenschappelijke behoeften liggen. Van onderaf doen organisaties er goed aan om de samenwerking in de regio op te zoeken en medewerkers mee te nemen in de bewustwording van informatieveiligheid en het delen van informatie.

Score per organisatie

Bent u benieuwd hoe veilig het mailverkeer van uw gemeente is? Via onderstaande linkjes en kaartje vindt u het percentage op basis van de onderzoeksrapportage. Bent u geïnteresseerd in de onderzoeksrapportage, dan kunt u deze opvragen bij een van de onderstaande Telengy-adviseurs. U kunt natuurlijk ook zelf de test uitvoeren via internet.nl.

Wat hebben we gedaan?

Dit onderzoek is een vervolg op een eerste meting via internet.nl onder gemeenten, omgevingsdiensten en belastingsamenwerkingen in het voorjaar van 2017.

In de eerste plaats hebben we de domeinnamen van 388 gemeenten, 12 provincies, 21 waterschappen, 15 belastingsamenwerkingen en 29 omgevingsdiensten getest op veiligheidsstandaarden voor e-mail via internet.nl.

Vervolgens hebben we organisaties via een enquête gevraagd welke factoren meespelen bij de keuze voor een veilig mailen oplossing. 33 respondenten hebben gereageerd. Hoewel de uitkomsten hiervan niet representatief zijn voor alle overheden, geven de uitkomsten op een diverse punten een eenduidig beeld.

Tot slot zijn we met verschillende organisaties in gesprek gegaan. In 7 interviews hebben we gesproken met medewerkers uit het sociaal domein, ICT-afdelingen, informatiemanagement en op strategisch niveau. De uitkomsten van de interviews zijn vervolgens voorgelegd aan een controlegroep van 3 gemeenten. Zij onderschreven de bevindingen uit de interviews.

Meer weten?

Voor meer informatie kunt u contact opnemen met Telengy-adviseur Wouter Le Febre, 06 55 29 77 09, w.l.febre@telengy.nl, Telengy-adviseur Kim Lenders, 06 12 74 69 45,  k.lenders@telengy.nl of Telengy-adviseur Luciënne Wynans, 06 50 62 15 28 l.wynans@telengy.nl.