1. Basis op orde
Veiligheid eerst
De Chief Information Security Officer (CISO) en Functionarissen Gegevensbescherming (FG’s) zien toe op de invoering van de BIO Top10 maatregelen. Dit programma is risicogebaseerd opgezet.
Kwetsbaarheidsscan-/penetratietesten
Op basis van de uitkomsten van de kwetsbaarheidsscan die in 2022 is uitgevoerd, worden mitigerende maatregelen genomen en wordt bepaald welk soort penetratietest uitgevoerd wordt.
Risicomanagement
In 2022 zijn het Information Security Management System (ISMS) en Privacy Management System (PMS) geïmplementeerd en heeft het privacyteam daar de eerste ervaringen mee opgedaan. Met behulp van dit ISMS en PMS kunnen we informatiebeveiliging en gegevensbescherming op een gestructureerde manier borgen in de P&C-cyclus. In 2023 krijgen de proceseigenaren beter inzicht in de risico’s. FG’s en CISO adviseren ons over de te nemen maatregelen.
Verwerkers- en samenwerkingsovereenkomsten
De FG’s blijven ook in 2023 sturen op het vastleggen van afspraken met onze samenwerkingspartners.
Verwerkingenregister
In het verwerkingenregister staan alle verwerkingsactiviteiten die onder de verantwoordelijkheid van een organisatie plaatsvinden. Dit register bevat onder andere de verwerkingsdoeleinden, de categorieën van persoonsgegevens die we verwerken, wie de betrokkenen daarbij zijn, wie de gegevens mag ontvangen en hoe lang we de gegevens mogen bewaren. Iedere organisatie is verplicht om een eigen register bij en actueel te houden. De FG’s sporen de leidinggevenden hiertoe aan en toetsen de volledigheid.
2. Bedrijfscontinuïteit
Bedrijfscontinuïteitsplannen
Om voorbereid te zijn op cyberincidenten moeten bedrijfscontinuïteitsplannen opgesteld worden. Daarin werken we de volgende 3 onderwerpen uit:
- Inhoudelijk en technisch: We bepalen welke processen het meest kritisch zijn en op welke wijze de dienstverlening kan doorgaan bij uitval of niet-beschikbaarheid van systemen.
- Privacy: Als (persoons)gegevens die de gemeente in beheer heeft in verkeerde handen vallen, zijn de mogelijke gevolgen voor inwoners, ondernemers en medewerkers bijna niet te overzien. We moeten de impact daarvan op de betrokkenen bepalen en maatregelen beschrijven om de gevolgen te verkleinen. Dit doen we om onze inwoners en medewerkers te beschermen. Ook om aansprakelijkheidsstellingen van getroffenen of boetes van de privacytoezichthouder te voorkomen.
- Communicatie: In hun bedrijfscontinuïteitsplannen beschrijven we hoe ze over incidenten communiceren. Zowel intern als extern. Een goede communicatie zorgt ervoor dat de berichtgeving gebaseerd is op feiten en minder op speculaties.
Werken in de Cloud
We werken steeds meer in de Cloud. De risico’s die daarmee gepaard gaan worden op 3 fronten gemitigeerd:
- Veilige inrichting van de omgeving. Dienst Dommelvallei heeft aandacht voor de juiste inrichting van de Cloud en bij de keuzes in de licenties. Ook besteden zij aandacht aan de juiste back-up strategie en de versleuteling van gegevens.
- Beschermen van de gegevens door er voor te zorgen dat alleen de bevoegden toegang hebben, door de autorisatieprocessen hierop aan te passen en periodieke controles op autorisaties uit te voeren.
- Beschermen van de toegang tot de gegevens door te zorgen dat alleen toegestane apparaten toegang krijgen door dat technisch af te dwingen.
Crisisbeheersing
Met de toegenomen dreigingen van buitenaf is een goede crisisbeheersing onontbeerlijk. Immers de risico’s met betrekking tot de bedrijfscontinuïteit nemen toe, omdat digitale processen steeds meer de standaard worden. Bij het bestrijden van een crisis is het belangrijk om de verantwoordelijkheden en rollen duidelijk af te spreken. Het crisisteam is bezig met het opstellen van een draaiboek, met daarin een stappenplan om de gevolgen van een ransomware aanval of een hack te bestrijden. Vervolgens zal hiermee geoefend worden.
3. Bewustwording
Bewustwording is en blijft voor informatiebeveiliging en gegevensbescherming essentieel. Het privacyteam maakt medewerkers bewust van de risico’s van het werken met (persoons)gegevens en maakt risicomanagement expliciet onderdeel van de besluitvorming. In Dommelvallei-verband wordt doorgegaan met brede bewustwordingscampagne, onder andere bestaande uit e-Learning, een Nano training en een phishing mail campagne. Op basis van de behaalde resultaten wordt beoordeeld op welke onderwerpen de focus wordt gelegd. Bewustwording is een cyclisch proces.
FG’s en CISO zien er op toe dat gegevensbescherming een wezenlijk onderdeel is van het verwerken en analyseren van (big)data.