Home

 

 

Informatiebeveiliging

 

realiseren met

 

GripOp-Data-Governance

Europese Algemene Verordening Gegevensbescherming

Gemeenten hebben de afgelopen twee jaren belangrijke stappen gezet om de informatie die digitaal vastgelegd wordt beter te beveiligen.

Toch staat de informatiebeveiliging op diverse terreinen nog in de kinderschoenen blijkt uit onderzoek.

bewustwording en menselijk gedrag

Met name op het gebied van bewustwording en menselijk gedrag, op het gebied van uitwisseling van gegevens en afspraken met andere organisaties en het uitvoeren van een strategische integrale gemeentebrede informatiebeveiligingsaanpak, moeten veel gemeenten nog fors aan de bak.

Information Security Management Sytem

Ook moeten gemeenten moeten aan de slag met het inrichten van een Information Security Management System (een ISMS).

Een ISMS is de manier waarop je de informatiebeveiliging bestuurt. Deze besturing kun je naar eigen inzicht inrichten. Wel zijn er aan aantal ISMS activiteiten die verplicht zijn. 

Denk daarbij aan het uitvoeren van bijvoorbeeld een interne audit of een risico analyse.
Belangrijk is dat je het aantoonbaar kunt maken (bewijs kunt leveren) tijdens een audit.
Het ISMS is dus feitelijk een manier van werken die aantoonbaar te maken is.

Het ISMS gaat uit van de PDCA cirkel, wat betekent dat je constant moet verbeteren. Dit doe je doordat je het ISMS aan de ene kant input geeft, wat uiteindelijk resulteert in output. Sinds 2013 wordt niet meer gesproken over de PDCA cirkel, maar over constant verbeteren.

Bij input voor het ISMS moet je denken aan zaken als:

  • De controles die de onderneming gaat uitvoeren en de bevindingen die hier uit voorkomen.
  • De bevindingen vanuit interne audits en externe audits.
  • Security incidenten die door medewerkers, externen etc. worden gemeld.
  • Input vanuit de risico analyse.
  • Input vanuit het bespreken van management rapportages.

 
IN DER BESCHRENKUNG ZEIGT SICH DER MEISTER

Is een bekende uitspraak van de Duitse wetenschapper Goethe.

Deze slogan is in de context van informatieveiligheid zeker van toepassing voor het Midden en Klein-bedrijf!

De Europese Algemene Verordening Gegevensbescherming 

De nieuwe Europese regels leggen het midden en kleinbedrijf een veelheid aan maatregelen op die gepaard kunnen gaan met flinke financiële investeringen.
Met ingang van 25 mei 2018 moet de verantwoordelijke ondernemer kunnen aan tonen dat:

  • van klanten en andere betrokken de nadrukkelijke en aantoonbare toestemming verkregen is alvorens persoonsgegevens vastgelegd kunnen worden;
  • de verwerking van de gegevens noodzakelijk is op basis van een overeenkomst;
  • betrokkenen weten voor welk doel hun gegevens worden bijgehouden;
  • betrokkenen op de hoogte gesteld worden van de verwerking van hun persoonsgegevens;
  • er in beknopte en transparantie, begrijpelijk en makkelijk toegankelijk vorm gecommuniceerd wordt;
  • betrokkene moet voorgelicht wordt over:
    • zijn recht op inzage
    • zijn recht op rectificatie
    • zijn recht om vergeten te worden
    • zijn recht op beperking van de verwerking
    • de kennisgevingsplicht ingeval van inbreuk
    • zijn recht op overdraagbaarheid van de gegevens

Een slimme aanpak waarbij de zaken die het meeste effect sorteren en het minste kosten, het eerst aangepakt moeten worden

 

De Wet bescherming persoonsgegevens (Wbp)

De Wet bescherming persoonsgegevens (Wbp) bevat regels voor het verwerken van persoonsgegevens. De Wbp eist van organisaties (en daar vallen ook Stichtingen en verenigingen onder), die persoonsgegevens verwerken, dat zij “passende technische en organisatorische maatregelen treffen” om de persoonsgegevens te beveiligen. De "Wet meldplicht datalekken" die op 1 januari 2016 is ingegaan en de Europese Algemene Verordening gegevensbescherming die op 25 mei 2018 van kracht wordt, voegen daar nog een aantal stevige eisen en nu ook het risico op zware sancties aan toe.
Bestuurders van verenigingen en stichtingen moeten zich bewust zijn van hun hoofdelijke aansprakelijkheid die voortvloeit uit het Burgerlijk Wetboek. Reden genoeg dus om tijdig maatregelen te treffen.

De Europese Algemene Verordening Gegevensbescherming 

Wat wordt er toegevoegd aan de bestaande regelgeving?

  • de nadrukkelijke en aantoonbare toestemming van de betrokkene;
  • de verwerking moet noodzakelijk zijn op basis van een (lidmaatschaps)overeenkomst;
  • betrokkenen moeten op de hoogte gesteld worden van de verwerking;
  • er moet in beknopte en transparantie, begrijpelijk en makkelijk toegankelijk vorm gecommuniceerd worden;
  • de communicatie moet schriftelijk of met andere elektronische middelen;
  • betrokkene moet voorgelicht worden over:
    • zijn recht op inzage
    • zijn recht op rectificatie
    • zijn recht om vergeten te worden
    • zijn recht op beperking van de verwerking
    • de kennisgevingsplicht ingeval van inbreuk
    • zijn recht op overdraagbaarheid van de gegevens

DE CURSUS VEILIG GEBRUIK PERSOONSGEGEVENS

Een training in het veilig gebruik van peroonsgegevens is de ideale oplossing voor het creëren van de noodzakelijke awareness als de volgende vragen herkenbaar voor u zijn:

  • Kennen gebruikers de lokale regels met betrekking tot het gebruik van persoonsgegevens?
  • Zijn de gebruiker zich bewust welke privacyrisico’s er zijn?
  • Weten zij hoe zij de privacyrisico's moeten beperken?
  • Zijn de gebruikers bekend met de wijze waarop u toezicht houdt op het juiste gebruik van persoonsgegevens?
  • Zijn zij zich bewust van de gevolgen van het niet naleven van de regels omtrent het gebruik van persoonsgegevens?

Na het volgen van de gemeentespecifiek gemaakte cursus "Veilig gebruik persoonsgegevens" weet de cursist:

  • Wat de lokale privacyrichtlijnen inhouden en welke wetgeving er geldt;
  • Wat wel en niet mag met persoonsgegevens;
  • Wat de gevolgen kunnen zijn van het niet naleven van de richtlijnen.

Klik hier voor meer informatie over de cursus "Veilig gebruik persoonsgegevens" voor gemeenten

GripOp-Data Governance

Voor het in beeld brengen van:

  • de tekortkomingen in de informatiebeveiliging om te kunnen voldoen aan de Europese regelgeving
  • het realiseren van de te treffen organisatorische en technische informatiebeveiligingsmaatregelen en
  • het kunnen aantonen dat de ontbrekende maatregelen zijn opgenomen in een meerjaren beveiligingsplan

hebben wij GripOp-Data Governance ontwikkeld.

GripOp-Data Governance bevat

  • een handboek informatieveiligheid met een beschrijving van alle te treffen maatregelen en modeldocumenten
  • het Privacy-impact assesment
  • de GAP-analyse technische en organisatorische maatregelen
  • een zaaksysteem annex beveiligingsplan waarmee de realisatie van de te treffen maatregelen bewaakt kan worden
  • een archiefsysteem waarmee aangetoond kan worden welke maatregelen getroffen zijn

Klik hier voor meer informatie over GripOp-Governance voor gemeenten

 

De GripOp-methodiek

GripOp heeft een methodische aanpak ontwikkeld waarbij de zaken die het meeste effect sorteren en het minste kosten, het eerst aangepakt moeten worden.

De eerste stap is het opstellen van een Privacy-verklaring.
Het plaatsen van een privacyverklaring op de website is namelijk verplicht als je persoonsgegevens verwerkt.
En welke ondernemer doet dat nou niet?

Door het invullen van de vragenlijst van de privacy-verklaring wordt niet alleen aan de bewustwording gewerkt maar wordt tevens de basis gelegd voor de GripOp-Privacy-Quickscan.
Met behulp van deze Quickscan worden een prioriteitenlijst opgesteld voor de beveiligingscategorieën die een diepgaandere analyse behoeven.

De te onderzoeken beveiligingscategorieën

  1. De Organisatie van de informatiebeveiliging
  2. Het beheer van bedrijfsmiddelen
  3. De personele beveiliging
  4. De fysieke beveiliging en beveiliging van de omgeving
  5. Het beheer en de beschikbaarheid van (persoons)gegevens
  6. De toegangsbeveiliging van gegevens
  7. De verwerving, ontwikkeling en het onderhoud van Informatiesystemen
  8. Het beheer van informatiebeveiligingsincidenten
  9. Het bedrijfscontinuïteitsbeheer
  10. De naleving van wettelijke regels en contracten.

Klik hier voor meer informatie over het diepgaandere onderzoek

 

De GripOp-methodiek

Verenigingen en stichtingen vormen een bijzondere doelgroep.
Bestuurders zijn zich vaak onvoldoende bewust van de risico's voor de persoonlijke levenssfeer van hun leden en
GripOp heeft een methodische aanpak ontwikkeld waarbij de zaken die het meeste effect sorteren en het minste kosten, het eerst aangepakt moeten worden.

De eerste stap is het opstellen van een Privacy-verklaring.
Het plaatsen van een privacyverklaring op de website is namelijk verplicht als je persoonsgegevens verwerkt.
En welke vereniging doet dat nou niet?

De Privacyverklaring

Tijdens het invullen van de vragenlijst van de privacy-verklaring wordt door GripOp getoets of het wettelijke uitgangspunt data-minimalisatie daadwerkelijk gevolgd wordt. Ook wordt een eerste Quickscan t.a.v. de veiligheid van de website uitgevoerd.
Met het invullen van de Privacyverklaring wordt niet  alleen aan de bewustwording gewerkt maar wordt tevens de basis gelegd voor de GripOp-Privacy-Quickscan. 

Klik hier voor meer informatie over de privacyverklaring

Het vervolgonderzoek

Met behulp van deze Quickscan worden een prioriteitenlijst opgesteld voor de beveiligingscategorieën die een diepgaandere analyse behoeven. De te onderzoeken beveiligingscategorieën zijn:

  1. De Organisatie van de informatiebeveiliging
  2. Het beheer van bedrijfsmiddelen
  3. De personele beveiliging
  4. De fysieke beveiliging en beveiliging van de omgeving
  5. Het beheer en de beschikbaarheid van (persoons)gegevens
  6. De toegangsbeveiliging van gegevens
  7. De verwerving, ontwikkeling en het onderhoud van Informatiesystemen
  8. Het beheer van informatiebeveiligingsincidenten
  9. Het bedrijfscontinuïteitsbeheer
  10. De naleving van wettelijke regels en contracten.

Voor elk van deze onderdelen is een aparte vragenlijst opgesteld.
Klik hier voor meer informatie over het diepgaandere onderzoek