2Staff

 

Informatiebeveiligingsbeleid

Voor veel van onze opdrachtgevers vormt de baseline informatiebeveiliging (minimale maatregelen) een uitwerking van het Informatiebeveiligingsbeleid en omvat maatregelen met betrekking tot inrichting, ontwikkeling, onderhoud en beheer van de informatievoorziening.

Daarnaast worden een aantal maatregelen opgesomd dat voorziet in een basisniveau aan beveiliging voor de informatiesystemen. Met de vaststelling en invoering van deze baseline wordt uitvoering gegeven aan de strategische beleidsuitgangspunten die zijn vastgelegd in het informatiebeveiligingsbeleid (separaat document).
De directie en het management tonen hierdoor dat het actief bijdraagt aan de veiligheid en de veiligheidsbeleving van alle aan het bedrijf verbonden medewerkers. Niet omdat het onveilig is, maar om een veilige omgeving te kunnen blijven waarborgen.

Veiligheid is een randvoorwaarde voor een goed werk klimaat waarbinnen betrokkenen zich ongehinderd hun doelstellingen kunnen behalen.
In een aantal punten samengevat betekent dit:

• Informatiebeveiliging is en blijft ten allertijde een verantwoordelijkheid van het lijnmanagement
• Het primaire uitgangspunt voor informatiebeveiliging blijft risicomanagement
• De klassieke informatiebeveiligings aanpak waarbij inperking van mogelijkheden de boventoon voert maakt plaats voor veilig faciliteren
• De focus verschuift van IT netwerkbeveiliging naar bedrijfsbrede gegevensbeveiliging
• Verantwoord en bewust gedrag van mensen is essentieel voor een goede informatiebeveiliging
• Informatiebeveiliging vereist een integrale aanpak

Het normenkader voor het informatiebeveiligingsbeleid en de baseline van maatregelen is gebaseerd op de code voor Informatiebeveiliging: NEN 27001 en NEN 27002 en afgeleide daarvan NEN7510, BIG, BIR.

NEN 7510 vs. ISO 27001

Het grootste verschil tussen ISO 27001 en NEN 7510 zit in de specifieke toepasbaarheid van NEN 7510 voor de zorg. Daarnaast is er nog een belangrijk verschil: NEN 7510 is in 2011 voor het laatst uitgegeven. De norm werd toen gebaseerd op de geldende ISO 27001 norm (ISO 27001:2005 red.). De huidige ISO 27001 norm, ISO 27001:2013, maakt echter gebruik van de HLS structuur. Dit is de nieuwe structuur waaronder de ISO normen (bijv. ISO 9001:2015) worden uitgegeven. Zodoende wordt het eenvoudiger om verschillende normen te combineren in een integraal managementsysteem. Voor de duidelijkheid: NEN 7510 maakt dus geen gebruik van de HLS structuur.

De overeenkomst tussen NEN 7510 en ISO 27001, is dat het beide kaders zijn voor het opzetten van een managementsysteem; het ISMS. Beide normen beschrijven hoe een organisatie de informatiebeveiliging moet organiseren in haar processen. De NEN 7510 lijkt inhoudelijk dan ook erg veel op de ISO 27001 norm.

Hetzelfde geldt voor de BIR en de BIG (Rijksoverheid en lokale overheid-Gemeenten)

NEN 7510, NEN 7512 en NEN 7513

De NEN 7510 norm kent nog wat specifieke aanvullingen. Dit zijn de normen NEN 7512 en NEN 7513. NEN 7512 gaat over het niveau van betrouwbaarheid bij elektronische gegevensuitwisseling in de zorg. De NEN 7513 norm gaat over logging: het bijhouden van gegevens. Ook deze norm is voorschrijvend en stelt eisen aan de werkwijze van de organisatie. Moet iedere zorginstelling die NEN 7510 wil certificeren dan ook NEN 7512 en NEN 7513 halen? Nee, gelukkig niet. Uit de risicoanalyse die bij de NEN 7510 norm hoort, zal blijken of de instelling te maken heeft met deze onderwerpen.

Doelstelling baseline

De baseline heeft tot doel het waarborgen van de continuïteit van de bedrijfsvoering en het minimaliseren van de schade door het voorkomen van beveiligingsincidenten en het minimaliseren van eventuele gevolgen.

Verantwoordelijke
Bestuurder van de onderneming is bij de wet eindverantwoordelijk voor de goede uitvoer van de baseline en daarmee voor de bedrijfsbrede gegevensbeveiliging. De verantwoordelijkheid voor "Gevoelige Datalekken" - beveiligingsincidenten komt daarmee ook bij de bestuurder te liggen. Deze stelt daarom graag de budgetten ter beschikking voor een goede baseline informatiebeveiliging.
De securitymanager is verantwoordelijk voor het onderhoud. De informatie- of systeemeigenaar is aanspreekbaar op de toepassing van de baseline.

AVG en de Informatiebeveiliging en privacy 

De omgang met persoonsgegevens brengt een grote verantwoordelijkheid met zich mee. Het veld rond privacy wordt steeds complexer. Dit komt onder andere door de decentralisatie van overheidstaken naar gemeenten, de gegevensuitwisseling met (keten)partners, de technische mogelijkheden, het gebruik van big en open data voor dienstverlening en veranderende privacy wetgeving. Privacy is niet langer een onderwerp waar alleen juristen mee bezig zijn: privacy raakt de hele organisatie.

Wet en regelgeving
Beheer en opslag van persoonsgegevens zijn gebonden aan wettelijke verplichtingen. Hetzelfde geldt voor het uitwisselen van gegevens met (keten)partners. Overheden hebben hier intern en in samenwerking met elkaar mee te maken. Het bespreken van elkaars verantwoordelijkheid en het vastleggen van afspraken hierover is cruciaal. In Nederland wordt de bescherming van privacy gewaarborgd door middel van de Wet bescherming persoonsgegevens (Wbp). Uit deze wet volgt dat elke handeling (verwerking) met betrekking tot gegevens die tot een persoon herleidbaar zijn (persoonsgegevens), aan bepaalde eisen is gebonden. In 2018 verandert dat. Hierbij is het volgende van belang:

Vanaf 1 januari 2016 is de gewijzigde Wbp, uitgebreid met de meldplicht datalekken, in werking getreden. Deze kan leiden tot bestuurlijke boetes. Organisaties zijn sindsdien verplicht de Autoriteit Persoonsgegevens (AP) direct op de hoogte te stellen van ernstige datalekken.
Op 25 mei 2016 is ook de nieuwe Europese privacy verordening, de algemene verordening gegevensbescherming (AVG), in werking getreden. Dit heeft voor organisaties tot veel veranderingen geleid op het gebied van privacy en gegevensverwerking.
Per 25 mei 2018 is de AVG rechtstreeks van toepassing in alle EU-lidstaten. De huidige Wbp, en daarmee dus ook de meldplicht datalekken, worden dan vervangen door de tekst van de AVG.
Gemeenten hadden dus twee jaar de tijd om hun gegevensbescherming in lijn te brengen met de AVG, want de AP is gaan handhaven per 25 mei 2018.

Contact
Wilt u ondersteuning zowel Juridisch, ICT Juridisch of Technisch, neem dan gerust contact met ons op via ons contactformulier of bel vrijblijvend naar: 030 - 600 5000

Of kujk eens bij 1 van onze Security Awareness of AVG-GDPR2018 oplossingen.

Onze klanten
Contact

Duwboot 6
3991 CD HOUTEN
Postbus 123
3990 DC Houten

T 030- 600 5000
F 030- 600 5001
E info@2staff.nl