Informatieveiligheid meer dan ooit nodig

We drukken elke dag documenten af zonder nadenken. We kopiëren of versturen persoonsgegevens zonder beveiliging. We gebruiken, een weliswaar complex, wachtwoord voor vele toepassingen maar zetten ondoordacht vertrouwelijke documenten op Dropbox of Google Drive of versturen ze via WeTransfer zonder na te denken waar onze documenten bewaard worden.

De Europese, federale en Vlaamse overheden stellen echter steeds strengere eisen aan de bescherming van de persoonsgegevens van natuurlijke personen.

Vaak is de aandacht bij lokale besturen erg beperkt. Nog te veel  besturen zijn helemaal niet in orde of beperken zich tot enkele formele maatregelen. Informatieveiligheid kan volgens ons bijdragen aan efficiëntie en openheid van uw werking.

Samen op weg richting vereisten van de GDPR

Inwoners hebben vertrouwen in de lokale besturen. Ze rekenen op ambtenaren die vertrouwelijk en integer omgaan met hun persoonlijke informatie. Vandaag begeleidt C-smart een veertigtal gemeenten en OCMW’s in het beschermen van hun gegevens. De ISO27K-normen, de richtsnoeren voor gemeenten en OCMW’s van de privacycommissie en de geactualiseerde veiligheidsnormen van de Kruispuntbank Sociale Zekerheid hebben het kader van gegevensbescherming jarenlang bepaald.

Vanaf mei 2018 ondergaat dit kader een grondige facelift. De Europese General Data Protection Regulation (GDPR), ook wel Algemene Verordening Gegevensbescherming (AVG) genoemd, legt juridisch afdwingbare verplichtingen op aan de lokale besturen. Gemeenten, OCMW’s, politie- en hulpverleningszones dienen een informatieveiligheidsbeleid te voeren conform aan deze nieuwe verordening. 

Het goede nieuws is dat de besturen die de normering vanuit de privacycommissie volgen al een flink eind op de goede weg zijn. Toch zijn er enkele belangrijke accentverschuivingen met juridische en organisatorische impact.

Met de GDPR wordt het beschermen van persoonsgegevens juridisch afdwingbaar. Besturen hebben een verantwoordingsplicht. Ze moeten kunnen bewijzen dat ze conform de regels werken.

U bent als bestuur verwerkersverantwoordelijke. Andere partijen die ten behoeve van uw bestuur data verwerken (verwerkers) dienen door u gehouden te worden aan dezelfde beveiligingsvereisten die voor u van toepassing zijn.

Daarnaast moet u kunnen aantonen dat u over een dataregister beschikt. Hiermee kan u aantonen  dat u weet welke persoonsgegevens uw diensten verwerken. U kent de reden van verwerking, u weet wie de data verwerkt (m.a.w. wie er toegang toe heeft), wat de bron is van de data, waar u de data bewaart en hoe u ze beveiligt. Het dataregister wordt door de toezichthoudende autoriteit ter controle opgevraagd.   

Bovendien dient het bestuur binnen de 72u iedere inbreuk in verband met persoonsgegevens te melden aan de toezichthoudende autoriteit. Wanneer de inbreuk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkenen, worden de betrokkenen ingelicht over de inbreuk. De toezichthoudende autoriteit kan de VWV verplichten om de inbreuken openbaar te maken.

En last but not least is er de verplichting om gegevensbeschermingeffectenbeoordelingen uit te voeren. De toezichthoudende autoriteit stelt een lijst samen van gevallen waarin zo’n beoordeling noodzakelijk is.

Kortom, wat voorheen richtsnoeren waren die niet wettelijk konden gehandhaafd worden, veranderen met enkele accentverschuivingen in juridisch afdwingbare wetgeving.

Ons advies is dat u vandaag start met de voorbereiding op de GDPR. Documenteer uw databeheer in een dataregister. Doe een gegevensbeschermingseffectbeoordeling bij de diensten waar u een verhoogd risico op incidenten verwacht. Formaliseer de relatie tussen u, als verwerkersverantwoordelijke, en uw verwerker(s).  Neem op basis van deze beoordeling gerichte beveiligingsmaatregelen. En organiseer uw incidentenbeheer.

Wacht niet meer. Het is tijd voor actie. 

 

Informatieveiligheid, waar zit de meerwaarde?

Lock pc

Gemeenten, OCMW's, brandweer- en politiezones hebben wel belangrijker zaken te verrichten dan zich bezig te houden met informatieveiligheid. De extra ballast van een heleboel strenge regels in tijden van besparingen kunnen ze wel missen. Bovendien neemt het tijd in beslag. De Vlaamse toezichtcommissie verwacht dat u als bestuur er minstens 4u per week, dat is 26 dagen op jaarbasis, mee bezig bent.  Bovendien moet u een medewerker of externe, die onafhankelijk en neutraal is, aanstellen als veiligheidsconsulent. Tijd en geld gaan verloren. En waarom?

Omdat het moet van Europa, België en Vlaanderen, zeggen veel mandatarissen. De financieel beheerders daarentegen zien dit met lede ogen aan. Zij verwachten voor al die tijd en al dat geld een return voor de organisatie, het personeel en als het even kan ook voor de burger en de lokale bedrijven.

Uit ervaring weten we dat gemeenten zich in eerste instantie in regel willen stellen met de wetgeving. Alleen dan ontvangen ze de machtigingen om te kunnen werken met het rijksregister, de dienst voor inschrijvingen van voertuigen (DIV), E-birth, enzovoort. Het traject hiernaartoe, risicoanalyse, opmaak veiligheidsplan, aanstelling veiligheidsconsulent, oprichting informatieveiligheidsteam (beheersysteem), doet bij heel wat besturen ideeën groeien om informatieveiligheid te gebruiken als hefboom voor interne organisatorische verbeteringen.

Het idee dat informatieveiligheid moet, verandert in het geloof dat informatieveiligheid de organisatie versterkt.

De meerwaarde manifesteert zich op verschillende domeinen. Ten eerste verbeteren uw interne afspraken over het bewaren, verwerken en delen van informatie. Hierdoor vindt u makkelijker info terug, sluipen er minder snel fouten in de verwerking en heeft u een goed werkend e-loket.

Dit heeft een direct effect op de doorlooptijd en afhandeling van aanvragen van klanten. Die zullen sneller en correcter gebeuren, met hogere klantentevredenheid tot gevolg. 

Door na te denken over wie er recht heeft op welke informatie, gaat u de rollen en bevoegdheden binnen uw bestuur helderder krijgen. Medewerkers weten zo duidelijk wat van hen verwacht wordt en welke verantwoordelijkheden ze van het bestuur krijgen om hun opdracht(en) uit te voeren. Dit biedt een goede basis voor individuele aansturing.

Evident zijn een betere beveiliging van de gebouwen, uw apparatuur en ICT-netwerk.

Bovendien zal de dienstcontinuïteit beter gewaarborgd zijn. Informatieveiligheid betekent namelijk ook dat uw informatie continu beschikbaar is. Voor éénmansdiensten moet er een back-up geregeld zijn tijdens verlofperiodes. En na een brand of stroompanne, zal u een bedrijfscontinuïteitplan hebben dat u stap voor stap de weg aangeeft hoe terug op te starten. 

Bij de opmaak van zo’n bedrijfscontinuïteitsplan worden bestaande processen geoptimaliseerd (vereenvoudigd) zodat een snelle opstart mogelijk is, startend met dienstverlening in volgorde van belangrijkheid.  

Ten slotte is het beheersysteem van informatieveiligheid gebouwd op projectmatig werken, communicatie, draagvlakcreatie, een cultuur van continu verbeteren en een sterk middenkader dat medewerkers coacht en bijstuurt. Dit zijn handvaten die bijdragen tot het succesvol beheren van uw organisatie.

Wanneer u dan ook nog eens uw inspanningen rond het beveiligen van uw informatie extern in de verf zet, dan creëert u voor uw bestuur een professioneel imago dat vertrouwen uitstraalt. Burger, bedrijven en andere overheden zullen u als een betrouwbare en integere partner beschouwen.  Een partner waar ze altijd op kunnen rekenen.