Informatie en veiligheidsorganisatie

Speerpunt	Kwetsbaarheid
Wat willen we bereiken?	Informatie veiligheidsorganisatie
Wat willen we ervoor doen?	De informatieveiligheid heeft hoge prioriteit. Enerzijds betreft het de informatieveiligheid in de breedste zin van het woord en anderzijds betreft het de bescherming van de privacygevoelige gegevens. Periodiek worden de nodige (interne) controles gedaan om te kijken of de organisatie qua informatieveiligheid nog adequaat is. Dit aan de hand van de inrichting van de organisatie, de wettelijke voorschriften en de eigen regelgeving. De Baseline Informatieveiligheid Overheid (BIO) is het normenkader voor alle overheidsorganisaties en daarmee ook voor Duo+. Dit normenkader wordt in 2021 verder in de organisatie geïmplementeerd en gemonitord. Het betekent een aanscherping van de regelgeving en de bewaking ervan.
Wat is de stand van zaken?	Door voortschrijdend inzicht werd in de loop van 2020 steeds duidelijker dat het vrijblijvende karakter van de wettelijke verplichtingen op AVG-gebied en de maatregelen die de BIO (Baseline informatieveiligheid Overheid) aan de DUO-organisaties stelt afneemt. Ook werd geconstateerd dat de teams/afdelingen moeite hebben om de informatieveiligheid in de lijn te borgen. Om te kunnen voldoen aan de invulling, uitvoering en controle op de uitvoering van het informatieveiligheidsbeleid is in overleg met de DUO-organisatie het budget voor informatieveiligheid met ingang van 2021 verhoogd. Hierdoor werd het mogelijk om in het eerste kwartaal van 2021 twee nieuwe functies van Privacy Officers (PO's) te creëren. Deze PO's moeten zorgen voor verbinding tussen de Chief Information Security Officer (CISO), de Functionaris Gegevensbescherming (FG) en de lijn. Aansturing van deze Officers gebeurt op basis van de prioriteiten uit de jaarplanning die de CISO en FG jaarlijks opstelt in overleg met de afdelingen. Daarnaast zullen deze ‘Officers’ op termijn samen met het Verbijzondere Interne Controle team (VIC-team) de teams en de afdelingen te helpen met de het in de lijn brengen van de interne controle maar dan meer op zaken die betrekking hebben op de controle op de uitvoering van de processen rondom informatieveiligheid (inclusief AVG). Dit in verband met de komende wetswijziging in 2021 met betrekking tot de ‘rechtmatigheidsverantwoording'. BIO en AVG Met als vertrekpunt het informatieveiligheidsbeleid (2020 -2023) waarin de BIO en de AVG beschreven staan, is besloten om het wettelijk verplichte register van verwerkingen voor alle DUO-organisaties als uitgangspunt te nemen. De BIO kijkt naar processen en de AVG noemt dit 'verwerkingen'. Werkend vanuit deze basis maakt het mogelijk om voor elke afdeling inzicht te krijgen wie voor welk proces/verwerking verantwoordelijk is. Vervolgens is het de bedoeling om per proces hiervoor de gewenste BIO-beheersmaatregelen in te richten. Deze aanpak past ook in de lijn van de wettelijke verplichte maatregelen die er genomen moeten worden ten behoeve van de invulling van de AVG. De AVG vraagt bijvoorbeeld ook om transparantie van het inzichtelijk hebben van de processen (opzet), hoe gaan de medewerkers er mee om (werking) en hoe doe je als organisatie de controle hierop (bestaan). De CISO en de FG bepalen in overleg met de afzonderlijke afdelingen een prioriteitstelling op welke onderdelen de meeste risico's zijn op informatieveiligheid of specifiek op persoonsgegevens zijn. Deze 'jaarlijkse informatieveiligheidsplanning" moet het mogelijk maken de uitvoering van het meerjaren beleid geleidelijk uit te voeren. Het zal voor zich spreken dat het onmogelijk is om meteen elke afdeling in detail hierbij te betrekken. Het is de bedoeling om hierbij de start van de aanpak zoveel mogelijk te concentreren op die afdelingen die ook jaarlijks betrokken zijn bij de ENSIA-audit.

Speerpunt

Kwetsbaarheid

Wat willen we bereiken?

Informatie veiligheidsorganisatie

Wat willen we ervoor doen?

De informatieveiligheid heeft hoge prioriteit. Enerzijds betreft het de informatieveiligheid in de breedste zin van het woord en anderzijds betreft het de bescherming van de privacygevoelige gegevens. Periodiek worden de nodige (interne) controles gedaan om te kijken of de organisatie qua informatieveiligheid nog adequaat is. Dit aan de hand van de inrichting van de organisatie, de wettelijke voorschriften en de eigen regelgeving. De Baseline Informatieveiligheid Overheid (BIO) is het normenkader voor alle overheidsorganisaties en daarmee ook voor Duo+. Dit normenkader wordt in 2021 verder in de organisatie geïmplementeerd en gemonitord. Het betekent een aanscherping van de regelgeving en de bewaking ervan.

Wat is de stand van zaken?

Door voortschrijdend inzicht werd in de loop van 2020 steeds duidelijker dat het vrijblijvende karakter van de wettelijke verplichtingen op AVG-gebied en de maatregelen die de BIO (Baseline informatieveiligheid Overheid) aan de DUO-organisaties stelt afneemt. Ook werd geconstateerd dat de teams/afdelingen moeite hebben om de informatieveiligheid in de lijn te borgen. Om te kunnen voldoen aan de invulling, uitvoering en controle op de uitvoering van het informatieveiligheidsbeleid is in overleg met de DUO-organisatie het budget voor informatieveiligheid met ingang van 2021 verhoogd. Hierdoor werd het mogelijk om in het eerste kwartaal van 2021 twee nieuwe functies van Privacy Officers (PO's) te creëren. Deze PO's moeten zorgen voor verbinding tussen de Chief Information Security Officer (CISO), de Functionaris Gegevensbescherming (FG) en de lijn.

Aansturing van deze Officers gebeurt op basis van de prioriteiten uit de jaarplanning die de CISO en FG jaarlijks opstelt in overleg met de afdelingen. Daarnaast zullen deze ‘Officers’ op termijn samen met het Verbijzondere Interne Controle team (VIC-team) de teams en de afdelingen te helpen met de het in de lijn brengen van de interne controle maar dan meer op zaken die betrekking hebben op de controle op de uitvoering van de processen rondom informatieveiligheid (inclusief AVG). Dit in verband met de komende wetswijziging in 2021 met betrekking tot de ‘rechtmatigheidsverantwoording'.

BIO en AVG

Met als vertrekpunt het informatieveiligheidsbeleid (2020 -2023) waarin de BIO en de AVG beschreven staan, is besloten om het wettelijk verplichte register van verwerkingen voor alle DUO-organisaties als uitgangspunt te nemen. De BIO kijkt naar processen en de AVG noemt dit 'verwerkingen'. Werkend vanuit deze basis maakt het mogelijk om voor elke afdeling inzicht te krijgen wie voor welk proces/verwerking verantwoordelijk is. Vervolgens is het de bedoeling om per proces hiervoor de gewenste BIO-beheersmaatregelen in te richten.

Deze aanpak past ook in de lijn van de wettelijke verplichte maatregelen die er genomen moeten worden ten behoeve van de invulling van de AVG. De AVG vraagt bijvoorbeeld ook om transparantie van het inzichtelijk hebben van de processen (opzet), hoe gaan de medewerkers er mee om (werking) en hoe doe je als organisatie de controle hierop (bestaan).

De CISO en de FG bepalen in overleg met de afzonderlijke afdelingen een prioriteitstelling op welke onderdelen de meeste risico's zijn op informatieveiligheid of specifiek op persoonsgegevens zijn. Deze 'jaarlijkse informatieveiligheidsplanning" moet het mogelijk maken de uitvoering van het meerjaren beleid geleidelijk uit te voeren. Het zal voor zich spreken dat het onmogelijk is om meteen elke afdeling in detail hierbij te betrekken. Het is de bedoeling om hierbij de start van de aanpak zoveel mogelijk te concentreren op die afdelingen die ook jaarlijks betrokken zijn bij de ENSIA-audit.

Informatie en veiligheidsorganisatie

Stel uw document zelf samen

SELECTIE

Direct downloaden