Grip op gemeentelijke informatiebeveiliging
De ‘fundamenten’ van elektronische gegevensverwerking worden goed omschreven in het factsheet informatiebeveiliging van de Rijksoverheid: “De bestuurs- en bedrijfsprocessen van de overheid zijn vrijwel onmogelijk te realiseren zonder het toepassen van geautomatiseerde gegevensverwerking.” Die onmogelijkheid schuilt hem niet alleen meer in bijvoorbeeld de opslag van gegevens en procesondersteunende systemen, maar in toenemende mate ook in (bijna) volledig geautomatiseerde processen. Een voorbeeld van een proces dat al door veel gemeentes nagenoeg volledig geautomatiseerd wordt afgehandeld, is het opvragen van een uittreksel uit de gemeentelijke basisadministratie (GBA). Het proces is vaak zelfs heel simpel: je logt in met je DigiD en je geeft aan welk type uittreksel je nodig hebt, of ditzelfde in omgekeerde volgorde. Op de achtergrond worden je actuele en historische gegevens erbij gehaald, geverifieerd en afgedrukt op een officieel A4-documentje. Als er al handwerk aan te pas komt, dan is dat het in de enveloppe doen van de afgedrukte documenten en het incidenteel monitoren van de procesverwerking. Al jouw (persoons)gegevens worden steeds vaker door slimme koppelingen op software- en hardwaregebied aan elkaar gevlochten.
Een grote sprong voorwaarts
De toename van het aantal (privacy-gevoelige) informatie-verwerkende, geautomatiseerde processen en de toenemende mate van integratie tussen al deze processystemen zijn overtuigend bewijs van nut en noodzaak van een goede informatiebeveiliging. Versterkt en aangewakkerd door een toenemend aantal aangetoonde zwakheden in (zowel publieke als private) informatiebeveiliging – denk o.a. aan Diginotar en ING/iDeal – krijgt informatiebeveiliging de laatse jaren in toenemende mate de erkenning die het verdient, in de vorm van een toenemend aantal CISO’s (Chief Information Security Officers) en (de)centrale security officers binnen de gemeentelijke (en andere publieke) organisaties. Deze security officers krijgen te maken met een complex speelveld. Niet alleen kent de gemeentelijke organisatie als dienstverlener een omvangrijk loket, ook is de hoeveelheid privacy-gevoelige informatie welke wordt verwerkt niet gering, is de wet- en regelgeving hieromtrent volcontinu in beweging en groeit het aantal koppelingen en relaties tussen gegevens zienderogen.
Casus: de thuiswerkende medewerker burgerzaken
Stel je voor: je bent medewerker informatiebeveiliging, beleidsmaker informatiebeveiliging of security officer bij een afdeling burgerzaken van gemeente XYZ. Deze gemeente gaat mee in de trend van flexibilisering van werk en heeft besloten om (mede in het kader van toenemende bezuinigingsdruk) het nieuwe werken te gaan stimuleren, om zo het aantal werkplekken te kunnen verminderen. Immers, niet elke burgerzaken-ambtenaar behoeft elke dag aan het loket te zitten voor de afhandeling van zijn of haar taken. Daarom heeft de directie of het afdelingshoofd het voornemen, om al deze medewerkers de mogelijkheid te geven om van huis uit in te loggen – wellicht zelfs gecombineerd met de plicht om een dag per week vanuit huis te gaan werken.
Er gaan wel honderd bellen bij je rinkelen: is de integriteit van persoonsgegevens gewaarborgd als mensen vanuit huis inloggen? Is de verbinding wel voldoende beveiligd? Wat als de computer van een medewerker zelf onvoldoende beveiligd is? En is de privacy van burgers voldoende geborgd als iemand met een laptop in de woonkamer aan het werk is, en er komt visite binnen en de laptop blijft aan, open en in het zicht staan? En wat als deze laptop gestolen wordt? En… en..
Het is belangrijk om te onthouden dat u niet de enige bent die met deze vragen zit. In algemene zin is er namelijk niet alleen sprake van krijgen van grip op de situatie, ook het behouden van grip op dergelijke situaties kost tijd en inspanng. En er is geen eensluidende oplossing: in uitzonderlijke gevallen is de (bewuste) acceptatie van risico’s het enige alternatief. Wel is het mogelijk om middels een gestructureerde aanpak grip op deze situatie te ontwikkelen en middels een kleine inspanning deze grip te behouden. Dick Jense Advies kan u helpen met het krijgen van grip op informatiebeveiliging, onder andere door de volgende zaken:
- het in beeld brengen van het kader juridisch kader van informatiebeveiliging in relatie tot betreffende processen (oa. Wbp, nieuwe GBA-wetgeving etc.);
- Het in kaart brengen van informatiebronnen, -stromen en -koppelingen binnen de organisatie;
- Het in beeld brengen van de risico’s en tegenmaatregelen.
Voor meer informatie over informatiebeveiliging, het verkrijgen van grip op informatiebeveiliging of een goed gesprek over ICT en overheid in algemene zin, neem vooral contact op!
Dick Jense
Plaats een Reactie
Meepraten?Draag gerust bij!