Van alle overheden wordt verwacht dat ze vanaf 2019 de Baseline Informatiebeveiliging Overheid (BIO) hebben doorgevoerd. Toch duiken er met zekere regelmaat in de media berichten op over instellingen die hun beveiliging niet op orde hebben. En dat knaagt, want hoe zit het met de compliance in jullie organisatie? Kun je ervan op aan dat het bij jullie wel is geregeld?
Persoonsgegevens die op straat liggen of in handen komen van mensen met criminele bedoelingen. Ruim twee jaar na invoering van de BIO kun je nog te vaak lezen over dit soort incidenten. Daaruit blijkt dat de beveiliging van informatie bij te veel instellingen te weinig prioriteit heeft. Die onverschilligheid blijkt riskant. Want gelegenheid maakt de dief. Het gaat cybercriminelen niet alleen om de grote overheden of instellingen. Ze zoeken simpelweg naar de zwakste schakel.
Ook het digitaal gijzelen van een kleine gemeente of het roven van gegevens van een paar duizend studenten kan enorme gevolgen hebben. Zeker is dat je na zo’n datalek een fikse boete wacht van de Autoriteit Persoonsgegevens. En dat je publiekelijk aan de schandpaal wordt genageld – wat gezien de privacygevoelige informatie van dit soort datalekken misschien best terecht is.
Digitale communicatie wordt steeds belangrijker. Zowel die tussen overheden onderling als tussen de overheid en burgers en bedrijven. Om ervoor te zorgen dat dit veilig gebeurt, zijn sinds 2017 de verschillende baselines van rijk, provincies, gemeenten en waterschappen gestandaardiseerd in de Baseline Informatiebeveiliging Overheid (BIO). Wel zo handig. Mits de BIO ook daadwerkelijk is ingevoerd. En dat is waar de schoen wringt.
Want als het om iets simpels ging, dan was de BIO geen issue – en las je deze blogpost waarschijnlijk niet. Maar eenvoudig is het soms allerminst. Versnippering in de organisatie, onduidelijke taakverdeling, hoge werkdruk. Waar begin je?
Het pad naar invoering van de BIO begint ook binnen jouw organisatie met inventariseren. Om preciezer te zijn: inventariseren van waar jullie staan op het vlak van compliance. Is duidelijk waaraan jullie moeten voldoen? En wie daarbij een rol spelen? Zijn er afspraken over hoe compliance wordt vastgesteld? Wie moet wat doen om verbeteringen aan te brengen? Focus daarbij niet alleen op je eigen afdeling. Privacy stopt niet bij de grens van de afdeling Personeelszaken. Databeveiliging is niet exclusief een zaak van de afdeling IT. Dus kijk organisatiebreed. Meteen vanaf het begin.
De veelheid, verwevenheid en complexiteit van compliance maken automatisering onvermijdelijk. Toch gaat het niet alleen om techniek. Kennis van wet- en regelgeving, weten hoe overheidsorganisaties werken, inzicht in de mogelijkheden en beperkingen van de software. Ze zijn minstens zo belangrijk om samenhang te creëren. Net als goed bestuur: overzicht creëren en simpelweg doen wat de wet van je vraagt. Het is het pad naar voren. Daar waar een knagend gevoel plaatsmaakt voor geruststelling. Voortaan weet je zeker dat de zaken rondom compliance voor elkaar zijn
Download de infographic ‘Roadmap: van crisis naar compliance’ en ontdek jouw weg naar dataveiligheid. Want ook jij wil weer rustig kunnen slapen in de wetenschap dat de zaken in jouw organisatie goed zijn geregeld.