De regels op het gebied van informatiebeveiliging en privacy zijn de laatste jaren flink aangescherpt en met de komst van de AVG kunnen organisaties er eigenlijk niet meer omheen. Toch ziet nog lang niet iedereen het belang van informatiebeveiliging en privacy in. Ondanks desinteresse in deze onderwerpen, is het wel belangrijk dat er door iedere organisatie en door iedere collega aandacht aan wordt besteed. Maar hoe implementeer je de BIG

en/of AVG wanneer collega’s, waaronder bijvoorbeeld je leidinggevende, onverschillig lijken te zijn over informatiebeveiliging en privacy? In deze overzichtsblog ontkracht ik een aantal veelgehoorde aannames aan de hand van enkele eerder geschreven blogs. Dit is deel 2 van 2, deel 1 vind je hier.

‘Daar hebben wij een tool voor’

In het licht van gemeentelijk informatiebeveiliging wordt veel geschreven en gepraat over ISMS- en GRC-tooling. Deze tooling neemt je simpelweg mee langs alle eisen die de BIG stelt en helpt bij het aantonen dat je bedrijfsvoering op orde is. Echter een tool hebben is één, je moet je organisatie ook voorbereiden hierop en de oplossingen implementeren. En wat dacht je van het onderhoud en beheer van de gekozen tooling? Daarnaast is het belangrijk om van te voren goed na te denken waar je behoefte ligt en naar welke functionaliteit je primair op zoek bent als gemeente voordat je de tooling aanschaft. Je zal niet de eerste gemeente zijn die daarin verkeerd heeft besloten. Alleen de juiste tooling helpt de CISO in zijn of haar werk.

‘Daarvoor hebben we een CISO aangesteld, maar die lijkt niet de juiste persoon te zijn om het van de grond te krijgen’

Naar mijn mening is het functieprofiel van CISO er een voor het schaap met de vijf poten. De functie omvat namelijk vier verschillende resultaatgebieden, te weten: Beleid & Coördinatie, Controle & Registratie, Communicatie & Voorlichting en Advies & Rapportage. Daarom is het belangrijk om stil te staan bij de invulling van deze functie, zodat de CISO zijn of haar werk goed kan doen. Kies je bijvoorbeeld voor een technische of een meer organisatorische functie van de CISO? En hoe positioneer je de CISO-functie binnen de gemeente?
Lees de blog ‘De CISO: het schaap met de vijf poten?’ voor mijn kijk hierop.

‘Informatiebeveiliging en privacy is eigenlijk hetzelfde en daarvoor is de CISO verantwoordelijk’

Activiteiten op informatiebeveiligingsvlak behoren goed te worden gecoördineerd door vertegenwoordigers uit verschillende disciplines binnen de gemeente. Vanaf het moment dat de AVG van kracht wordt, zijn er diverse functies te onderscheiden. Lees de blog ‘De CISO, Privacy Officer en FG; wie doet en mag wat?’ voor een korte uitleg van deze functies en bijbehorende verantwoordelijkheden. Een belangrijk feit is wel dat de CISO (en privacyfunctionaris) helemaal geen eindverantwoordelijkheid dragen voor de implementatie van maatregelen. Zij zijn verantwoordelijk voor het proces van informatiebeveiliging en privacy, conform de PDCA cyclus met behulp van een ISMS. Kortom; privacy en informatiebeveiliging zijn niet hetzelfde en de CISO is niet de enige die binnen de gemeente verantwoordelijk is hiervoor.

‘We hebben niets te verbergen’

Zoals Edward Snowden zegt; ‘Privacy niet belangrijk vinden omdat je niets te verbergen hebt, is hetzelfde als niet geven om vrijheid van meningsuiting omdat je niets te zeggen hebt’. Als je het hebt over privacy, dan hoor je mensen al snel roepen dat ze niks te verbergen hebben. Maar zodra er iets gebeurt of in het nieuws is wat onze privacy aangaat, zitten we er wel bovenop. Hebben we dan toch iets te verbergen? Enerzijds zijn we erop tegen dat ons gedrag en onze handelingen op de voet gevolgd worden door bedrijven en overheden, anderzijds handelen we er niet naar. Zeg nou eerlijk, wanneer heb jij voor het laatste de algemene voorwaarden gelezen voordat je deze accepteerde? We kiezen er vaak uit gemak voor ons niet te verdiepen in de details van onze keuzes.

‘Het is praktisch onmogelijk je aan de privacywetgeving te houden, vooral in het sociaal domein’

In mijn blog ‘Integrale gegevensverwerking in wijkteams, hoe? ’ heb ik al geschreven over de lastige situatie in het sociaal domein op het gebied van privacy. De landelijke overheid oefent namelijk druk uit op gemeenten om zoveel mogelijk domein overstijgend te (gaan) werken, maar diezelfde overheid verzuimt daar de bijpassende grondslag voor te leveren. En laat deze grondslag nou net nodig zijn om integrale gegevensverwerking te laten plaatsvinden. Dit betekent echter niet dat beide ‘wensen’ helemaal onverenigbaar zijn. Ik verwijs je graag naar bovenstaande blog als je hier meer over wilt weten, voor nu houd ik het bij een korte wrap up.
Een mogelijke oplossing is het aanbieden van ‘gegevensverwerking op maat’. Daarmee wordt integrale gegevensverwerking optioneel en niet de standaard werkwijze zoals nu wel vaak het geval is. De gemeente verwerkt zoveel mogelijk ‘enkelvoudig’ persoonsgegevens (dus binnen de schotten van de drie wetten). Waar nodig biedt ze de burger de optie om vanuit integrale dienstverlening ook integraal gegevens te gaan verwerken. Uiteraard moet je dit uitleggen als gemeente: waarom zijn gegevens uit andere domeinen nodig?

‘Onze mensen hebben toch allemaal een integriteitsverklaring getekend en/of de ambtseed afgelegd?’

Voor werkgevers is het belangrijk dat hun medewerkers eerlijk en oprecht zijn, ofwel integer. Om deze integriteit te borgen zijn er allerlei regels en gedragscodes opgesteld die elke ambtenaar bij de start van zijn/haar dienstverband belooft na te leven. Dit start met het afleggen van een eed en/of integriteitstoets. Vraag is natuurlijk wel of deze regels in de praktijk ook echt worden nageleefd. Met andere woorden; hoe zwaar kun je leunen op de integriteit van mensen?
Ook bij integriteit geldt: de gelegenheid maakt de dief. Niet-integer gedrag is namelijk van alle tijden en wordt bepaald door onder meer persoonlijke omstandigheden, frustratie en hebzucht. Ook toeval en organisatorische omstandigheden kunnen een rol spelen. Wat dus niets hoeft te zeggen over je karaktereigenschappen. Het is dus wel degelijk van belang dat een organisatie maatregelen neemt om incidenten te voorkomen. Bijvoorbeeld middels procedures, strikt autorisatiebeheer en functiescheiding. Vertrouwen is goed, maar sluit controle niet uit.

Conclusie

Kortom; denk niet te luchtig over het belang van informatiebeveiliging en privacy, en wees overal op voorbereid. Een incident zit namelijk in een klein hoekje en kan ook jouw organisatie overkomen. Met deze overzichtsblog hebben we geprobeerd een aantal zaken te verhelderen die we de afgelopen tijd door middel van blogs hebben aangesneden. Een blog die je hopelijk heeft aangezet tot het lezen, of nogmaals lezen, van onze blogs. Wil je dichter op de actualiteit zitten? Meld je dan aan voor ons wekelijkse nieuwsoverzicht.