Informatieveiligheid & GDPR

1/ Wat is informatieveiligheid, en wat is het belang hiervan voor lokale besturen?

Het belang van informatieveiligheid wordt in heel wat organisaties onderschat. Toch is ook dit aspect van een digitaal beleid belangrijk voor een goed functionerend bestuur. Informatieveiligheid betreft namelijk de bescherming van alle soorten data die een organisatie te verwerken krijgt. Het kan hierbij gaan om belangrijke bedrijfsdocumenten, klantgegevens, financiële gegevens, emailverkeer, etc.

Een doelgerichte informatiebeveiliging vereist een samenhangend geheel van technische en organisatorische maatregelen. Een hacker, fraudeur, schadelijke software of simpelweg een verloren USB-stick kunnen ervoor zorgen dat gevoelige gegevens in de verkeerde handen vallen. Ontbrekende of onvoldoende beveiliging kan in zo’n geval leiden tot ernstige technische schade, een datalek of imagoschade die niet altijd even makkelijk te herstellen valt. Overheidsinstanties zijn daarom wettelijk verplicht aan bepaalde beveiligingseisen te voldoen.

Informatieveiligheid steunt op drie principes:

  1. Vertrouwelijkheid: hebben enkel bevoegde personen toegang tot bepaalde data? Is er gevaar op een datalek?
  2. Betrouwbaarheid: is de informatie die ter beschikking gesteld wordt aan de organisatie actueel en correct?
  3. Beschikbaarheid: in welke mate kan de continuïteit van de toegang tot informatie voor de organisatie gegarandeerd worden? Wat als de server het begeeft? Wat in geval van bv. een computervirus, brand of diefstal?

Deze drie aspecten worden samen behandeld in het informatieveiligheidsplan. Het doel van zo’n plan is om de bovenvermelde risico’s tot een minimum te herleiden en een structurele aanpak te garanderen. Haviland kan ook uw bestuur ondersteunen bij de opmaak van een degelijk plan, en de uitrol ervan binnen uw organisatie.

2/ GDPR binnen het geheel van informatieveiligheid

Persoonlijke gegevens zijn een bijzondere categorie data die extra aandacht verdient. Het spreekt voor zich dat bijvoorbeeld persoonlijke identificatiegegevens, financiële informatie of medische gegevens bijzondere bescherming vereisen. Mede daarom is op 25 mei 2018 de GDPR (General Data Protection Regulation) − of in het Nederlands AVG (Algemene verordening Gegevensbescherming) − in werking getreden. Deze Europese verordening zorgt ervoor dat persoonlijke gegevens beter beschermd worden en kent op dit gebied ook uitgebreidere rechten toe aan consumenten en burgers.

Voor openbare besturen brengt de GDPR ook nieuwe uitdagingen met zich mee. Hoe beschermen we de privacy van onze medewerkers en burgers? Waarvoor moet de toestemming van de burger gevraagd worden? Hoe maak ik best afspraken met leveranciers die persoonsgegevens verwerken, zoals payrollbedrijven of bepaalde softwarebedrijven? Ook hier kan Haviland u ondersteunen door het aanbieden van een DPO (Data Protection Officer).

Alle organisaties, ook openbare besturen, zijn sinds de invoering van GDPR verplicht een DPO aan te stellen. Deze persoon staat in voor de implementatie en handhaving van GDPR in de gehele organisatie en dient als centraal aanspreekpunt inzake privacy. Een professionele DPO vormt een belangrijke meerwaarde voor openbare besturen, want naast GDPR bestaat er ook heel wat andere nationale wetgeving die men in acht moet nemen wat betreft privacy.

Naast het aanstellen van een DPO, vereist de GDPR dat u een verwerkingsregister bijhoudt. Dat is een overzicht van o.a. welke persoonlijke gegevens u verwerkt, voor welk doeleinde, welke bewaartermijn u hanteert, of er niet meer gegevens verwerkt worden dan nodig, enz. Haviland stelt hiervoor de nodige sjablonen, expertise en tools ter beschikking om dit op een gebruiksvriendelijke en kostenefficiënte manier te doen.

Overzicht deelnemende besturen informatieveiligheid
Kaart informatieveiligheid november 2018
Wat biedt Haviland aan
• Het ter beschikking stellen van een informatieveiligheidsconsulent en DPO voor uw bestuur *  
• Het opstellen van een informatieveiligheidsplan, bestaande uit: − Een nulmeting waarbij de huidige situatie in kaart gebracht wordt
− Een risicoanalyse waarbij nagegaan wordt wat de grootste risico’s zijn
− Op basis van de nulmeting en de risicoanalyse wordt vervolgens een op maat gemaakt veiligheidsplan opgesteld voor de komende twee jaar. Hierbij worden de grootste risico’s eerst aangepakt.
− Structurele begeleiding en nauwgezette opvolging bij het uitvoeren van het veiligheidsplan
 
• Begeleiding bij de implementatie van GDPR, met onder andere: − Het opstellen van een verwerkingsregister voor persoonsgegevens
− Opstellen van verwerkingscontracten voor leveranciers die persoonsgegevens verwerken
− Opstellen van een procedure ingeval een datalek zich heeft voorgedaan
− Bewustmaking in de organisatie via bv. een workshop over een goed paswoordbeleid
− …
 
• Een professionele aanpak: Doordat onze consulenten fulltime aan de slag zijn bij verschillende besturen krijgen ze de kans om een grote expertise en ervaring op te bouwen. Onze consulenten werken ook op een continue basis hun kennis bij.
• Maximale aanwezigheid voor een beperkte kostprijs: Aangezien onze consulenten centraal aanspreekpunt zijn voor uw bestuur, komen ze zo vaak mogelijk langs. Dit gebeurt op basis van een vooraf aantal afgesproken uren aangepast aan de noden van de organisatie.
• Een nauwe samenwerking met de ICT-dienst om de vooropgestelde doelen te realiseren  

 

Meer informatie over informatieveiligheid

Frank Desmet

Informatieveiligheidsconsulent/DPO

informatieveiligheid@haviland.be
 

Roman De Schrijver

Informatieveiligheidsconsulent/DPO

informatieveiligheid@haviland.be

Terminologie

De taak van een DPO beperkt zich tot de uitvoering van de GDPR, terwijl een informatieveiligheids-consulent handelt binnen het geheel van informatie-veiligheid. Geschat wordt dat op termijn beide functies zullen samengevoegd worden.