IBD producten privacy en informatiebeveiliging


De Informatiebeveiligingsdienst (IBD) is het Computer Emergency Response Team, of Computer Security Incident Response Team (CERT/CSIRT) voor alle Nederlandse gemeenten. De IBD ondersteunt gemeenten op het gebied van informatiebeveiliging en privacy. In lijn met breed geldende producten zoals de Baseline Informatiebeveiliging Overheid (BIO) en het Borgingsproduct gegevensbescherming AVG publiceert de IBD op gemeenten toegesneden operationele kennisproducten over informatiebeveiliging en privacy.

De GEMMA kent geen aparte beveiligingsarchitectuur, maar ziet privacy en informatiebeveiliging als aspecten die integraal onderdeel uitmaken van gemeentelijke architectuur. Beveiligings- en privacyoverwegingen moeten in alle fasen van architectuur- en ontwerpprocessen een prominente rol spelen ('security and privacy by design'). IBD-producten zijn daarbij voor verschillende doelen en op verschillende momenten bruikbaar.

Informatiebeveiliging[bewerken]

Iedere overheidsorganisatie moet de Baseline Informatiebeveiliging Overheid (BIO) hanteren als basis voor informatiebeveiliging. De BIO beschrijft aan welke controls ('beheermaatregelen') uit de NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017 moet worden voldaan. Bij alle controls dient, op basis van een individuele risicoafweging, bepaald te worden hoe aan de beveiligingsdoelstelling van de control voldaan kan worden.

De IBD-website bevat operationele kennisproducten (bijvoorbeeld handreikingen en factsheets) voor gemeenten en gemeentelijke samenwerkingsverbanden ter ondersteuning van de implementatie van de BIO. De overzichtspagina met beveiligingsmaatregelen toont alle kennisproducten, gegroepeerd volgens de hoofdstukindeling van het BIO-kader (BIO hoofdstuk 5 tot en met 17).

Ter illustratie een vijftal producten uit de eerste hoofdstukken, die een duidelijke relatie hebben met de GEMMA als generieke referentiearchitectuur en die in sommige gevallen informatie bevatten over een onderwerp dat (nog) niet in de GEMMA is opgenomen:

  • Gemeentelijk strategisch Informatiebeveiligings- en Privacy beleid (H5: Beveiligingsbeleid): handreiking die ondersteunt bij het formuleren van strategisch informatiebeveiligings- en privacybeleid, inclusief organisatiestructuur en functieprofielen die nodig zijn om dit beleid te realiseren.
  • Handreiking hardening beleid voor gemeenten (H6: Organiseren van informatiebeveiliging): Handreiking voor het beveiligen van systemen door de kwetsbaarheden ervan te verminderen ('hardening'); bijvoorbeeld via het configureren van hardware-, software- en netwerkcomponenten zodat ze weerbaarder zijn tegen cyberaanvallen en ongeautoriseerde toegang.
  • Handreiking Procesautomatisering Beleid (H7: Veilig personeel): Handreiking voor het opstellen van specifiek beveiligingsbeleid voor technologiebesturing, zoals die vaak wordt toegepast in de openbare ruimte (bijvoorbeeld verkeersregelsystemen, sensoren, gebouwbeheersing).
  • Handreiking dataclassificatietoets (H8: Beheer van bedrijfsmiddelen): Handreiking om inzicht te krijgen in de waarde van informatie over de assen Beschikbaarheid, Integriteit en Vertrouwelijkheid om op basis daarvan passende maatregelen te kunnen nemen.
  • Handreiking logging (H9: Toegangsbeveiliging): Handreiking voor uitwerking van informatiebeveiligingsmaatregelen voor logging en controle en het opstellen van logging-beleid.

Aanvullend kent de IBD projecten om, samen met gemeenten en leveranciers, te werken aan verbetering van de informatiebeveiliging bij gemeenten . Bijvoorbeeld:

  • Verhogen digitale weerbaarheid: Een ondersteuningspakket met specifieke modules om gemeenten te helpen met het verhogen van de digitale weerbaarheid voor de processen en maatregelen uit de BIO met de hoogste prioriteit.
  • Eenduidige Normatiek Single Information Audit (ENSIA): Project om te komen tot een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid met eenmalige informatieverstrekking en IT-audit.
  • Bewustwording, best practices en oefenen: Verschillende soorten producten die bruikbaar zijn om bewustwording rondom informatiebeveiliging te vergroten.

Privacy[bewerken]

De IBD heeft verschillende producten (handreikingen, factsheets) ontwikkeld die gemeenten ondersteunen bij het implementeren en borgen van privacybeleid in de eigen organisatie en bij samenwerkingsverbanden. Het AVG Borgingsproduct is een handvat voor gemeenten om een goede omgang met persoonsgegevens te waarborgen. Hierin komen 7 thema's aan bod: Organisatorische inbedding, Beleid, Processen, Rechten van betrokkenen, Samenwerking, Beveiliging, Verantwoording en Bewustwording. De producten staan op een overzichtspagina en in een klikbaar PDF-bestand.

Privacy-gerelateerde IBD-producten:

'Privacy' is binnen de GEMMA een kwaliteistdoel dat beschrijft waar overheidsdienstverlening aan moet voldoen. Privacymaatregelen en overwegingen moeten daarvoor vanaf het begin worden meegenomen bij architectuur en ontwerp: 'privacy by design'. De IBD heeft voor dit doel een aantal privacy-ontwerpstrategieën en AVG-beginselen vertaald naar een set 'Privacy by Design instrumenten'. Hiermee wordt AVG artikel 25 ('gegevensbescherming door ontwerp en door standaardinstellingen') geconcretiseerd om vroegtijdig de juiste afwegingen en maatregelen te kunnen treffen. Bij het opstellen is onder andere gebruik gemaakt van het Blauwe Boekje van Jaap-Henk Hoepman met daarin onderstaande compacte groepering van strategieën :

  • data-georiënteerde strategieën (gericht op privacy-vriendelijke verwerking van data):
    • Minimaliseer (Minimise): Beperk zo veel mogelijk de verwerking van persoonsgegevens.
    • Scheid (Separate): Scheid de verwerking van persoonsgegevens zo veel mogelijk van elkaar.
    • Abstraheer (Abstract): Beperk zoveel mogelijk het detail waarin persoonsgegevens worden verwerkt.
    • Verberg (Hide): Bescherm persoonsgegevens, of maak ze onherleidbaar of onobserveerbaar. Voorkom dat persoonsgegevens openbaar worden.
  • proces-georiënteerde strategieën (gericht op de processen rond verwerking van persoonsgegevens):
    • Informeer (Inform): Informeer gebruikers over de verwerking van hun persoonsgegevens.
    • Geef controle (Control): Geef gebruikers controle over de verwerking van hun persoonsgegevens.
    • Dwing af (Enforce): Committeer je aan een privacy vriendelijke verwerking van persoonsgegevens, en dwing deze af.
    • Toon aan (Demonstrate): Toon aan dat je op een privacy vriendelijke wijze persoonsgegevens verwerkt.
Deze pagina is voor het laatst bewerkt op 21 mei 2024 om 15:30.