Gemeenten zijn sinds 1 januari 2016 verplicht om hun dataveiligheid op orde te hebben en ernstige datalekken te melden bij de Autoriteit Persoonsgegevens (AP). Bijna dagelijks komen bij de Autoriteit Persoonsgegevens meldingen binnen van datalekken van gemeenten. Hoe zorgt jouw gemeente ervoor dat jouw gegevens niet in handen van derden terechtkomen?
USB-sticks, laptops en mobiele telefoons met privacygevoelige informatie raken regelmatig kwijt of worden gestolen. Daarnaast worden gemeenten steeds vaker het slachtoffer van ransomware, waarbij systemen of data pas ontgrendeld worden nadat losgeld is betaald. Of het nu een ongeluk is of een actie van snode cybercriminelen, u wilt niet dat gevoelige gegevens op straat komen te liggen. De gemeenten zijn verplicht die data goed te beschermen. Uit onderzoek blijkt dat de Baseline Informatie Beveiliging Nederlandse Gemeenten soms helemaal niet wordt ingevuld.
1. Nieuwe, nog strengere regels in aantocht
Daarnaast is nóg beter datamanagement noodzakelijk om te kunnen voldoen aan de Europese General Data Protection Regulation (GDPR). Hierdoor wordt vanaf 25 mei 2018 privacy by designenby defaultverplicht. Data mogen alleen worden opgeslagen en gebruikt voor die zaken waarvoor de burger expliciete toestemming heeft gegeven. Miljoenenboetes zijn natuurlijk rampzalig, maar het allerbelangrijkste is dat de gegevens van uw burgers veilig zijn en blijven.
2. Eén hoofdverantwoordelijke voor dataveiligheid
Gemeenten zijn wettelijk verplicht een databeschermingsbeleid op te stellen en te handhaven. In dit plan staat wie verantwoordelijk is voor het melden van een (mogelijk) datalek. Een Chief Information Security Officer (CISO) is onder andere verantwoordelijk voor het opstellen, bijstellen, vernieuwen en herzien van het informatiebeveiligingsbeleid en de daaruit voortvloeiende informatie(beveiligings-)plannen.
In de plannen is het verstandig om na te gaan waar gevoelige gegevens zich bevinden. Inventariseer waar in de gemeente welke gegevens worden verwerkt en breng de datastromen van de organisatie in kaart. Zijn die data goed beveiligd of schiet het tekort? Bij twijfel is de hulp van een expert een goed idee. Achteraf aan burgers en de Autoriteit Persoonsgegevens moeten uitleggen dat data zijn verdwenen, is een stuk vervelender.
3. Alle ambtenaren databewust en verantwoordelijk
De keten is zo sterk als de zwakste schakel. Daarom gaat het erom dat iedereen het ingezette beleid ook volgt. Alle gemeenteambtenaren zouden ervan doordrongen moeten zijn dat het veiligheidsbeleid ieders verantwoordelijkheid is. Dat houdt niet op bij één presentatie, maar is een continu proces. In een ideale situatie worden medewerkers continu op de hoogte gehouden van de nieuwste mogelijkheden en regelgeving. Vaak gaat het om simpele dingen, bijvoorbeeld het herkennen van phishingmails en hier niet op te klikken.
Tegenwoordig werken steeds meer ambtenaren met een smartphone of notebook vanuit de cloud. Dat is steeds vaker een device van eigen keuze. Deze vallen in mindere mate onder IT-toezicht dan de traditionele kantoorcomputer. Een goed veiligheidsbeleid is een must. Stel daarom iemand aan die veiligheid van systemen controleert en collega’s helpt databewust te zijn en na te denken over datarisico’s.
4. Wachtwoorden instellen
Elk gemeente beschikt over data. Of die gegevens in de cloud of op USB-sticks staan, ze kunnen in verkeerde handen vallen. Het wordt wel eens vergeten, maar de eerste stap is het instellen van wachtwoorden op computers en smartphones. De tweede cruciale stap is om gegevens via encryptie (versleuteling) te beveiligen.
5. Verbeter e-mailveiligheid
Uit een steekproef van Binnenlands Bestuur blijkt dat slechts drie van vijftig verschillende gemeenten aan moderne standaarden voor veilige e-mail voldoen. Daarom heeft het Nationaal Beraad Digitale Overheid aangekondigd dat Nederlandse gemeenten uiterlijk eind dit jaar standaarden zoals STARTTLS, DKIM+SPF en DNSSEC moeten implementeren om hun e-mail beter te beveiligen. Dat zijn goede technische maatregelen, maar de mens blijkt vaak de zwakste schakel bij e-mailveiligheid.
6. Sluitende afspraken met leveranciers
Gegevens staan steeds minder vaak op één plek, maar bevinden zich bij verschillende cloud-providers. In contracten moeten afspraken over opslag, gebruik en eigendom van data worden vastgelegd. De beveiligingscertificaten moeten overeenkomen met de bedrijfseisen die worden gesteld aan security.
7. Dankzij goede back-ups snel weer aan het werk
Door gegevens regelmatig op te slaan, en die back-ups weer te back-uppen, raken gemeenten nooit iets kwijt. Daardoor kan het werk weer snel worden opgepakt. Back-up-tools zijn tegenwoordig vaak in besturingssystemen ingebouwd en er zijn ook tal van andere goede oplossingen te vinden. Via automatische back-ups loopt u de minste kans op grootschalig gegevensverlies.
8. Een calamiteitenplan
Omdat volledig beveiligen niet bestaat en ongelukken helaas niet te voorkomen zijn, is incidentmanagement belangrijk. Als data worden gelekt, is het gemakkelijker het hoofd koel te houden als er een stappenplan op zowel technisch als communicatief (intern en extern) gebied klaar ligt. De belangrijkste te verwachten incidenten kunnen hiermee van tevoren in kaart gebracht worden. Ook kunnen bijpassende reacties en een escalatieprocedure van tevoren uitgewerkt en geoefend worden.