Advies & bedrijfsvoering

Schakel hulp in

  • Met PInzicht bent u volledig ‘in control’ als het gaat om privacy en informatieveiligheid.
Bekijk 'PInzicht'

Wat is informatieveiligheid?

Informatiebeveiliging is het geheel van preventieve, detectieve, repressieve en correctieve maatregelen. Plus procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen een organisatie of een maatschappij garanderen. Dit alles met doel de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau te beperken.

Daarvoor is het noodzakelijk om organisatorische, procedurele en technische maatregelen te treffen. Deze zijn gebaseerd op een (organisatieafhankelijke) risicoanalyse of een wettelijke verplichting. De Nederlandse regels vindt u o.a. in de WBP (Wet bescherming persoonsgegevens) en de Algemene verordening gegevensbescherming (AVG).

Beveiliging is geen garantie

Wanneer u de technische beveiligingen installeert en goed inregelt, heeft u nog geen garantie dat het stoplicht op groen blijft staan. Vergelijk het met de beveiliging van uw computer: een geavanceerd beveiligingsprogramma installeren garandeert niet dat u geen phishingmail aanklikt. Dat werkt ook zo op al uw administratiesystemen.

Continu aandacht

Het installeren van een beveiligingsprogramma en het instellen van alle security is vandaag up-to-date, maar kan morgen weer achterhaald zijn. De techniek verandert rap waardoor de beveiliging niet meer up-to-date is. Het kan ook zijn dat de taken zijn veranderd en daarmee is ook het gebruik veranderd.

Een voorbeeld. Na de decentralisatie van de Wmo en de Jeugdzorg werd een bestaand softwarepakket gebruikt om de aanvragen te registreren. In de Wmo en de Jeugdzorg werd vaak geen cliëntnummer aangemaakt, maar een BSN-nummer als sleutel gebruikt om toegang te krijgen tot de cliëntgegevens. Een BSN-nummer is echter direct terug te herleiden tot een persoon en heel privacygevoelig. En het gebruik ervan stelt hogere eisen aan informatieveiligheid dan een cliëntnummer.

Een simpele verandering in het gebruik van de informatie in een softwarepakket, maakt dus dat er andere eisen voor de informatieveiligheid gelden. Wat goed geregeld was voor bijvoorbeeld het gebruik van een administratiesysteem voor de Participatiewet, kan in het kader van de Wmo en de Jeugd veel meer risico’s met zich meebrengen. Terwijl u nog steeds dezelfde software gebruikt.

Ook bij de aanschaf van nieuwe software geldt dat heel kritisch moet worden getoetst of aan de veiligheidseisen wordt voldaan.

Veiligheid is een kruisbestuiving

Informatieveiligheid of cyber security staat niet op zichzelf. Het valt of staat met het privacybeleid en privacy bewustzijn. De uitvoering en het gebruik van administratiesystemen is voor een belangrijk deel mensenwerk.

Voor cyber security bestaan veiligheidsnormen. Voor privacy zijn ook normen. Veiligheid is als het ware een ‘kruisbestuiving’ van de privacy normen met de veiligheidsnormen.

De mate waarin de veiligheid van privacygevoelige gegevens in de administratieve systemen is gewaarborgd bepaalt uiteindelijk hoe ‘groen’ uw dashboard er uitziet. Als eerste toetst u de opzet en het bestaan van zowel informatieveiligheids- als privacybeleid en daarna kijkt u of het in de praktijk werkt. Neem hiervoor de tijd.

Begin eenvoudig per fase

Fase 1: Opzet

Toets de opzet en het bestaan van de informatieveiligheidsnormen van al uw software. En check daarna de werking in de praktijk.

Fase 2: Bestaan

Nadat het privacybeleid is ingericht, toetst u of de gebruikers van software aan de privacy normen hanteren.

Fase 3: Werking

Breng de toetsing van opzet en bestaan van informatieveiligheid en de privacy normen bij elkaar en controleer of de ‘kruisbestuiving’ werkt.

Informatie en ondersteuning vanuit Stimulansz

Hoe waarborgt u de veiligheid van gegevens in uw gemeente? Stimulansz ondersteunt u bij het vormgeven van uw privacy & informatiebeleid.

Neem nu contact op met

Wiljan de Jong

Wiljan ontwikkelt en implementeert tools voor kwaliteitsverbetering en privacy- en informatieveiligheid.

Anderen bekeken ook

Advies & bedrijfsvoering

Schakel hulp in

  • Met PInzicht bent u volledig ‘in control’ als het gaat om privacy en informatieveiligheid.
Bekijk 'PInzicht'