Seminar AVG; hoe kom je als gemeente ‘in control’?

Op 9 mei 2019 heeft IvO-Partners in samenwerking met ESET-Nederland in het oude stadhuis van Culemborg het seminar georganiseerd; “AVG; hoe kom je als gemeente ‘in control’?”. Dit seminar trok deelnemers uit zo’n 32 gemeenten en gemeentelijke samenwerkingsverbanden, van Zwolle, Brielle tot Waalwijk, de Achterhoek en Terneuzen.

Het progamma bestond uit de volgende presentaties:

  • De aanpak binnen de gemeente Heusden door Monique Smits en Pieter-Bas Wijne
  • De AVG Check; is mijn (gemeentelijke) organisatie in control m.b.t. AVG? Sprekers; privacy jurist Wim Keuvelaar van IvO-Partners en Niels van der Meij van Accoris Audit Services
  • De nieuwste mogelijkheden om met DLP (Data Leak Prevention)
    datalekken te voorkomen via je IT-netwerk systemen, e-mails
    en printers. Spreker: Dave Maasland van ESET-Nederland
  • Hoe kijkt de Autoriteit Persoonsgegevens aan tegen de gemeentelijke
    praktijk? Wat moet er beter? Waar moet prioriteit aan worden
    gegeven? Hoe wordt er gehandhaafd? Spreker: Cecile Schut, directeur Systeemtoezicht, Beveiliging, en Technologie bij de Autoriteit
    Persoonsgegevens.

Daarnaast was er tijdens het seminar volop ruimte voor dialoog en discussie en de uitwisseling van ‘best practices’.

U kunt via onderstaande link alle presentaties downloaden.

Presentaties van seminar AVG: Hoe kom je als gemeente ‘in control’?

Cecile Schut, directeur Systeemtoezicht, Beveiliging en Technologie bij de Autoriteit Persoonsgegevens

Monique Smits van de gemeente Heusden

Druk bezochte bijeenkomst over Privacy & Informatieveiligheid; ‘De AVG in de gemeentelijke praktijk’

Op 13 februari 2018 heeft Swinth IvO-Partners in samenwerking met Stimulansz in het stadhuis van Nieuwegein, een bijeenkomst georganiseerd over de Algemene Verordening Gegevensbescherming(AVG) die vanaf 25 mei in werking treedt. Tijdens deze druk bezochte bijeenkomst met vertegenwoordigers uit zo’n 40 gemeenten, spraken diverse privacy specialisten en ervaringsdeskundigen uit de gemeentelijke praktijk over hun aanpak  van de AVG. Eén van de sprekers was Sofie van der Meulen van de Autoriteit Persoonsgegevens.

Zie onderstaande video voor een sfeerimpressie van deze bijeenkomst.

 

Blog Ad Koppejan: Cyberaanvallen weren met gezamenlijke aanpak van overheid en bedrijfsleven

Sinds vrijdag 12 mei worden we opgeschrikt door een wereldwijde cyberaanval van ongekende omvang. Volgens Europol zijn zeker 200.000 mensen in minstens 150 landen al slachtoffer geworden. Op maandag zullen er meer slachtoffers bijkomen wanneer mensen na het vrije weekend weer aan het werk gaan en hun computer of laptop aanzetten.

Zogenaamde ransomware of in gewoon Nederlands; gijzelsoftware onder de naam “Wannacry”, infecteert vanaf vrijdag de computersystemen van vele bedrijven, instellingen en particulieren in tientallen landen. Zo zijn in Engeland en Schotland ziekenhuizen getroffen, in Duitsland de spoorwegen, in Spanje telecombedrijf Telefonica. In Frankrijk kwamen productiecentra van Renault stil te liggen. Het Russische Ministerie van Binnenlandse Zaken en vervoersbedrijf FedEx werden besmet. Verder kwamen er meldingen uit Italië, Zweden, de Verenigde Staten, China, Vietnam en Taiwan. Het Nationaal Cyber Security Centrum(NCSC) heeft waarschuwingen uitgestuurd naar vitale sectoren, zoals gas-, water-, en elektriciteitsvoorziening en ziekenhuizen. In Nederland bleef de schade dit weekend vooralsnog beperkt tot de melding dat de geldautomaten van het parkeerbedrijf Q-Park waren getroffen door de ransomware-aanval.

Cyberaanvallen zijn inmiddels aan de orde van de dag. Wen er maar aan. Voorlopig zullen deze blijven terugkeren. In Nederland zijn in een jaar tijd al veel gemeenten, zorginstellingen en bedrijven het slachtoffer geworden. Ook burgers hebben steeds meer last van cybercriminaliteit.

De grootschalige cyberaanval waar we nu mee te maken hebben, laat zien hoe kwetsbaar we als samenleving zijn geworden. Dit was nog maar een aanval van een bende goed georganiseerde criminelen. Wat te denken als vijandige staten een gerichte aanval doen op onze vitale infrastructuur.

 

Belangrijke vraag is hoe we als samenleving ons het beste kunt wapenen tegen dit soort cyberaanvallen?

Ronald Prins van Fox-IT pleitte voor meer investeringen in cyber security. Hij adviseert het nog te formeren kabinet om ‘cybersecurity’ serieus te nemen. Volgens hem besteedt Groot-Brittannië zo’n 6,5 miljard euro aan cybersecurity terwijl dit in Nederland slechts een 100 miljoen euro per jaar zou zijn.

Het pleidooi voor meer investeringen in cybersecurity is terecht. Maar meer geld is nog geen garantie voor een goede investering in het effectief bestrijden van cyberaanvallen en cybercriminaliteit.

De overheid heeft als hoeder van de openbare orde en veiligheid, een belangrijke verantwoordelijkheid voor de veiligheid op het internet. Maar zij kan dit niet alleen. Als samenleving; overheden, bedrijven, instellingen, werknemers en burgers, hebben we zowel gezamenlijk als ook afzonderlijk een eigen verantwoordelijkheid. We maken allemaal dagelijks gebruik van het internet en maken daarbij keuzes hoe veilig we willen internetten, op welke links we klikken, of we onze (beveiligings) software up-dates tijdig installeren en back-ups maken van onze bestanden.

Tegelijkertijd laat de praktijk zien dat we vaak onvoldoende weten hoe we ons beter kunnen wapenen tegen cyberaanvallen. Naast een gebrek aan middelen is er een enorm gebrek aan kennis en bewustzijn van de gevaren van cybercriminaliteit. Veel MKB ondernemers hebben geen flauw idee waar te beginnen. Helaas is dit gebrek aan kennis niet beperkt tot kleine ondernemers. Ook grotere bedrijven, zorginstellingen, woningcorporaties, onderwijsinstellingen zijn zoekende naar een goede en effectieve aanpak.

Een voorbeeld van zo’n effectieve aanpak is de Informatiebeveiligingsdienst voor gemeenten(IBD). Er is in de afgelopen tijd wel eens schamper gedaan over gemeenten die hun zaken niet op orde hadden en daardoor getroffen werden door cyberaanvallen en datalekken. Onlangs was de Autoriteit Persoonsgegevens nog zeer kritisch richting gemeenten. Internet deskundige Brenno de Winter wijst er in zijn Blog terecht op dat gemeenten niet helemaal recht worden gedaan. Ja, er is bij een groot aantal gemeenten nog veel te verbeteren. Tegelijkertijd hebben de gemeenten, vanuit de VNG, wel samen een organisatie opgezet, de IBD, die als voorbeeld kan dienen voor andere sectoren. Alle gemeenten zijn verplicht aangesloten bij de IBD. De IBD geeft een handboek uit in de vorm van de Baseline Informatiebeveiliging Gemeenten, geeft advies en voorlichting, werkt aan normenkaders en coördineert bij incidenten. Als er ergens een nieuw internetvirus wordt gesignaleerd of een lek in bepaalde software, dan worden de contactpersonen binnen de gemeenten hierover onmiddellijk geïnformeerd, inclusief adviezen hoe te handelen.

De aanpak van de VNG stelt grote en kleine gemeenten in staat om in gezamenlijkheid cybersecurity op een professionele wijze op te pakken.

Zo’n aanpak bepleit ik ook voor organisaties in de zorg, het onderwijs en de diverse branches en sectoren in het bedrijfsleven en het MKB. Organisaties en bedrijven bundelen de krachten per sector/branche door de opzet van een sector/branche specifieke cyber security centrum en een op de eigen beroepsgroep toegespitst handboek informatieveiligheid.

Alle afzonderlijke sector/branche specifieke cyber security centra werken weer samen met elkaar en het Nationaal Cyber Security Centrum.

Nu we toch bezig zijn met het inrichten van de cybersecurity organisatie in Nederland, zou het ook wel heel wenselijk zijn dat cybersecurity op nationaal niveau onder één ministerie zou vallen in plaats van de huidige versnippering onder de ministeries van Justitie, Binnenlandse Zaken, Economische Zaken en Defensie.

Laten we de grootschalige cyberaanval waar we nu mee te maken hebben, goed benutten door als overheid en bedrijfsleven, vanaf heden de handen ineen te slaan, de krachten te bundelen en gezamenlijk echt als Nederland te gaan investeren in cybersecurity.

Ad Koppejan

Werkconferentie gemeentelijke informatieveiligheid over positie van de CISO levert veel nieuwe inzichten op

Op donderdagmiddag 31 maart heeft IvO-Partners in het mooie oude stadhuis van Culemborg een werkconferentie over informatieveiligheid georganiseerd met als thema; “de positie van de CISO”.

Voor de meeste gemeenten is de CISO (Chief Information Security Officer) een nieuwe functionaris. Hoe geef je deze nieuwe functie voldoende ‘body’? Wat heb je als CISO nodig om je rol goed te kunnen vervullen? Over welke instrumenten dien je te beschikken? Wat is je positie en mandaat binnen de gemeentelijke organisatie? Dat waren de vragen die centraal stonden tijdens alweer de vierde werkconferentie van Swinth IvO-Partners. Deze keer georganiseerd in samenwerking met de Bedrijfsvoeringsorganisatie West-Betuwe (samenwerkingsverband van de gemeenten Culemborg, Geldermalsen en Tiel).

Sprekers waren:

  • Paulien van der Hoeven, projectleider ENSIA van het Ministerie van Binnenlandse Zaken.
  • Rein Zijlstra, verantwoordelijk wethouder voor informatieveiligheid van de gemeente Zeewolde
  • Chris Deben, interim-CISO bij de gemeente Meerinzicht
  • Marc Ligthart van SECWATCH
  • Pieter-Bas Wijne, informatiemanager bij de gemeente Neder-Betuwe

Na afloop was er volop gelegenheid voor de aanwezige gemeente ambtenaren, waaronder veel CISO’s, om met de sprekers te debatteren over de positionering van de CISO binnen de gemeentelijke organisaties. Ook was er de mogelijkheid om zich uit te spreken over een aantal stellingen.

Paulien van der Hoeven legde uit waar ENSIA (Eenduidige Normering Single Information Audit) voor staat en wat de belangrijkste doelstellingen zijn. Met het ENSIA project wordt de verantwoording op het gebied van informatieveiligheid geharmoniseerd. Belangrijkste doelstelling is het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid dat in 2017 door alle gemeenten wordt gebruikt.
Daarnaast heeft het project als subdoelstelling om toe te werken naar 1 verantwoordingsregime!
Voor niet-informatieveiligheidsapecten van de BRP, PUN, BAG en BGT (m.a.w. zaken die niet door de BIG vragenlijst worden afgedekt) is het in de toekomst de bedoeling dat de uitvraag op hetzelfde moment plaats als de BIG vragenlijst. Waar mogelijk (in de beperkingen van tijd en capaciteit van dit project) worden ook taal, tooling en afspraken rond het verantwoordingstelsel geharmoniseerd. Met het ENSIA project wordt de implementatie van de BIG versneld, hetgeen een betere borging geeft van informatieveiligheid binnen de gemeentelijke organisatie. Daarnaast biedt ENSIA een verlaging van de auditlast voor gemeenten omdat veel vragen in kader van BRP, PUN, DigiD SuwiNet, BAG en BGT, nog maar een keer gesteld worden door ze te integreren in de BIG vragenlijst.

Rein Zijlstra, wethouder van Zeewolde ging in op de positie van de CISO bezien vanuit het College van B&W. Hij ziet een belangrijke rol voor de CISO om de bestuurder te ontzorgen op het gebied van informatieveiligheid. Tegelijkertijd dient de CISO ook voldoende middelen en een stevige positie binnen de organisatie te krijgen. Rein deed de suggestie om de CISO standaard deel te laten nemen aan het periodieke directieteam overleg binnen de gemeente. Dat doet recht aan het belang van informatieveiligheid binnen de gemeentelijke organisatie.

Chris Deben die voor diverse gemeenten en andere organisaties de functie van CISO heeft waargenomen, schetste de uitdagingen waar een CISO voor staat en hoe te komen tot een praktische aanpak. Enkele van zijn aanbevelingen waren:

  • Zorg dat je voldoende kennis van zaken hebt of weet waar je die halen kunt;
  • Gevoel voor politiek en interne verhoudingen;
  • Creëer draagvlak en commitment;
  • Proceseigenaar is en blijft verantwoordelijk. Dus neem niet alle ‘aapjes’ op je schouders;
  • Onafhankelijke positie, geef gevraagd en ongevraagd advies;
  • Wees ambitieus;
  • Focus op houding & gedrag;
  • Lange adem, olifant in stukjes eten..!

Marc Ligthart van SECWATCH liet zien hoe je je het beste kunt verdedigen tegen allerlei vormen van ransomware. Sommige technische maatregelen hoeven helemaal niet veel geld te kosten. Het tijdig up-daten van de software maak je al een stuk minder kwetsbaar.

Pieter-Bas Wijne liet zien hoe men in de gemeente Neder-Betuwe het ISMS heeft ingericht en welke afwegingen de doorslag hebben gegeven om te kiezen voor het GRC-tool van CompLions.  

De middag werd afgesloten met een discussie panel waarin de sprekers, aangevuld met een aantal CISO’s van gemeenten, het debat aangingen met de aanwezigen over de rol van de CISO. Er werd onder andere gestemd over  volgende stelling “Na deze middag heb ik er meer vertrouwen in gekregen dat het ENSIA traject de positie van de CISO versterkt en de auditlast voor de gemeente gaat verlagen.” Uitslag 99% van de aanwezigen was het hiermee eens!

 

 

Seminar “Informatieveiligheid gemeenten” op 14 oktober in Alkmaar was succes

Woensdag 14 oktober zijn vertegenwoordigers van  gemeenten bij elkaar gekomen in het oude en mooie stadhuis van Alkmaar. Samen met de gemeente Alkmaar had Swinth IvO-Partners een seminar georganiseerd over het thema informatieveiligheid. In de afgelopen periode zijn diverse gemeenten getroffen door cybercrime; ‘phishing mails’, ‘ransomware’, pogingen van hackers om vertrouwelijke informatie te bemachtigen en DDoS-aanvallen die gemeentelijke websites platleggen. Tijdens het seminar stond de vraag centraal hoe je als gemeente informatieveiligheid en de continuïteit van (digitale) dienstverlening het beste waarborgen? Waar moet je beginnen en hoe krijg je als gemeente grip op informatieveiligheid en digitale veiligheid?

Continue Reading

Geslaagd seminar Identiteitsfraude 10 juni 2015

Gisteren heeft in het prachtige gemeentehuis van Midden Delfland het Swinth seminar Identiteitsfraude plaatsgevonden. Met circa 80 deelnemers vanuit verschillende gemeenten in het hele land.

Ad Koppejan sprak vanuit zijn dagelijkse ervaringen over hoe er binnen gemeenten omgegaan wordt met informatieveiligheid.

Continue Reading

Swinth werkconferentie gemeentelijke informatiebeveiliging

Op 2 april heeft er in het stadhuis van Culemborg een geslaagde werkconferentie plaatsgevonden. Het thema was “Gemeenten en informatieveiligheid”. Met ruim 50 deelnemers was het een erg gezellige en vooral informatieve dag.

Onderwerpen die besproken zijn o.a.: nieuwste technische ontwikkelingen in de strijd tegen (criminele)hackers, Baseline Informatiebeveiliging Gemeenten(BIG), bewustwording van medewerkers, hoe in control komen met een Information Security Management System.

Continue Reading