Gepubliceerd: 02-10-2024, laatst gewijzigd:
02-10-2024
Datalekken, ransomware en de opkomst van AI: het zijn aanzienlijke risico’s op het gebied van informatiebeveiliging voor lokale overheden. Daarnaast moeten zij binnenkort voldoen aan de Baseline Informatiebeveiliging Overheid 2.0, die de informatiebeveiliging naar een hoger niveau tilt. Alex Raaijmakers (Senior Adviseur en Functionaris gegevensbescherming van Privaty) en Meindert Wenting (Junior Manager bij Flynth) leggen uit hoe overheden zich goed voorbereiden.
Bestuurders hebben veel taken en verantwoordelijkheden en ervaren informatiebeveiliging en privacybescherming (IBP) vaak als abstracte materie, vertelt Raaijmakers. “Daardoor krijgt IBP niet altijd de prioriteit die het verdient. Toch zijn de risico’s concreet en dichtbij. Zo maakten hackers – in 2022 - vijf terabyte aan gegevens van een gemeente buit en plaatsten een deel ervan op het darkweb. Een andere gemeente kreeg een fikse boete van de Autoriteit Persoonsgegevens omdat ze informatie over afval van individuele huishoudens te lang bewaarde en de huishoudens hier niet goed over informeerde.”
Zie risico’s onder ogen
Raaijmakers noemt ook het IoT (Internet of Things), als een groot risico. Dit verwijst naar met internet verbonden apparaten die voortdurend data genereren en een mogelijke toegangspoort voor hackers zijn. Een ander actueel risico is Artificial Intelligence (AI). ‘‘Copilot bijvoorbeeld, is een vorm van AI die in opkomst is. Een handige tool die suggesties kan doen om abstracte teksten begrijpelijker te maken. Gebruikers geven die teksten in handen van de maker. Het is maar de vraag wat die doet met de gevoelige gegevens die erin kunnen staan.’’
Blijf eigenaar van uw informatie
Wenting: “De kern van alle privacywetgeving is dat u eigenaar blijft van uw informatie. Goede beveiliging is daarom cruciaal. BIV vormt hiervoor de basis: Beschikbaarheid, Integriteit en Vertrouwelijkheid."
Bij de B gaat het bijvoorbeeld om het digitaal loket, waar burgers 24 uur per dag veilig gemeentelijke producten en diensten kunnen aanvragen of een afspraak maken. Bij de I staat centraal dat gegevens niet zomaar veranderd kunnen worden door kwaadwillenden. ”Als ik als accountant een jaarrekening controleer, moet ik er op kunnen vertrouwen dat niet met de cijfers is geknoeid.” De V houdt onder meer in dat gegevens niet op straat mogen komen te liggen.
Heeft een gemeente BIV niet op orde dan loopt ze forse risico’s, vervolgt Wenting. "Het kan bijvoorbeeld gebeuren dat dienstverlening of bedrijfsvoering uitvalt doordat informatie niet beschikbaar is. Of dat er losgeld betaald moet worden om gegevens terug te krijgen. Ook kan een boete volgen. Naast financiële schade, levert het ook een deuk op in het imago.”
GRC-tooling
Overheden weten in de praktijk vaak niet waar ze moeten beginnen bij het verbeteren van hun informatiebeveiliging. GRC-tooling is dan een handig hulpmiddel, zegt Raaijmakers. ‘’Een goed GRC systeem kent alle wettelijke normen, wat helpt om eraan te voldoen. Ook voorziet het in een module waarin alle risico’s en de impact op de organisatie beoordeeld kunnen worden. Daarnaast reikt het maatregelen aan om risico’s af te wenden.”
Techniek en mensenwerk
Het is volgens Raaijmakers belangrijk om mensen verantwoordelijk te maken voor uitvoering van de maatregelen die de tooling aanreikt. Veiligheid is dus niet alleen een kwestie van techniek. ‘’Het is echt mensenwerk en een teamprestatie. Zo moet er een cultuur zijn waarin mensen incidenten durven melden. Bewustwording is ook belangrijk, want 80 procent van alle beveiligingsincidenten zijn het gevolg van menselijk handelen. Daarom zijn er ook e-learnings en trainingen beschikbaar om bijvoorbeeld phishingmails eerder te herkennen. Ook het borgen van taken en rollen is essentieel.’’
Continu verbeteren
Beide adviseurs zien informatiebeveiliging als een continu verbeterproces. Wenting: ‘’Er is veel kennis nodig om future fit te worden en te blijven. Wij helpen om abstracte en complexe informatiebeveiligingsmaterie helder en begrijpelijker te maken voor bestuurders. Zodat zij helder inzicht krijgen in welke risico’s prioriteit hebben en hoe ze de juiste maatregelen kunnen nemen.’’
Kom naar het kennisevent Risicomanagement
Wilt u meer verdieping in dit onderwerp? Kom dan op dinsdag 8 oktober naar het kennisevent Risicomanagement van Flynth. Laat u inspireren door de aanwezige experts en wissel kennis en ervaring uit met bestuurders en toezichthouders van andere overheidsinstellingen.