De nieuwe privacywetgeving in combinatie met de voortschrijdende automatisering: het levert tal van bedrijven en instellingen de nodige hoofdbrekens op. Bij een brede organisatie als de Gemeente Groningen, die momenteel ook nog midden in een ingrijpende ICT-transitie zit, brengt het nog meer uitdagingen met zich mee. Aan het Informatiebeveiligingsteam de taak om alles in goede banen te leiden: “Van rondslingerende notitieboekjes tot hardcore ICT-vraagstukken: het komt allemaal voorbij”, aldus Chief Information Security Officer (CISO) Bas Verheijen en Coördinator Bewustwording Informatieveiligheid Liselotte Schutten.
Tegenwoordig denk je bij het horen van de term ‘informatieveiligheid’ direct aan digitale informatie, maar ook traditionele formulieren en notitieboekjes zijn natuurlijk gewoon informatiedragers. “En dus moet je daar voorzichtig mee omspringen”, zo luidt de boodschap die Liselotte Schutten in alle geledingen van het gemeentelijk apparaat uitdraagt. “Of je nu bij Stadsbeheer werkt, op de afdeling Ruimtelijke Ordening of binnen een WIJ-team; als ambtenaar werk je bijna dagelijks met privacygevoelige informatie. Dat brengt een grote verantwoordelijkheid met zich mee en daar moet iedereen zich bewust van zijn.”
De belangrijkste vraag die elke gemeentemedewerker zichzelf moet stellen als het om persoonsgegevens gaat, is ‘Is het nodig om dit te bewaren en zo ja, waarom?’. “Als het antwoord op die eerste vraag nee is, kun je de gegevens het beste direct vernietigen”, geeft CISO Bas Verheijen aan. “Des te minder (overbodige) informatie je bewaart, des te minder kun je lekken. Het is een simpele grondregel, maar wel een heel belangrijke.”
Maar ook als alle overbodige randjes zijn weggesneden, blijft er – vooral binnen een complexe maatschappelijke organisatie als een gemeentelijk apparaat – natuurlijk nog heel wat informatie over die wel van belang is. Bijvoorbeeld voor het goed functioneren van allerlei voorzieningen. “Daarvoor is het zaak dat je die zo goed mogelijk beveiligt en dat is zeker niet alleen een ICT-aangelegenheid”, aldus Verheijen. “Op verschillende terreinen hebben we echter te maken met belangrijke transities in ons ICT-apparaat. Het daarin borgen van informatieveiligheid is momenteel een belangrijke hoofdtaak voor ons als Informatiebeveiligingsteam.”
Zoals bekend is de gemeente Groningen drukdoende alle ‘harde ICT’ uit te besteden aan het Japanse Fujitsu. Omdat informatieveiligheid daarbij vanzelfsprekend een belangrijke rol speelt, is het achtkoppige Informatiebeveiligingsteam vertegenwoordigd in het ‘transitieteam’. “En dan zitten we ondertussen nog met de doorontwikkeling van de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten) naar de BIO (Baseline Informatieveiligheid Overheid) (lees meer)”, geeft Verheijen aan. “Het zal dus niet verbazen dat we momenteel tevens druk zijn op beleidsgebied. Om te zorgen dat bij elke beslissing, op welk niveau die ook genomen wordt, rekening wordt gehouden met informatieveiligheid.”
“Het scheppen van bewustzijn is erg belangrijk om dat bij iedereen ‘top of mind’ te krijgen”, vult Schutten aan. “Daarvoor hanteren we bijvoorbeeld de game ‘Zet jezelf op scherp!’. De eerste ronde van dit spel is inmiddels door 1.730 gemeentemedewerkers gespeeld. Daarin wordt op een leuke manier ingegaan op zaken als phishing, het ‘locken’ van je beeldscherm en andere zaken rond informatiebeveiliging. Binnenkort start de tweede ronde en die wordt alweer een stukje pittiger. Uiteindelijk hopen we zo dat iedereen zich bewust is van de gevaren én de regels.”
“Als iedereen binnen de organisatie zich bewust is van het belang en de basiskennis heeft, dan kunnen we daar beleid op voeren en iedereen daar ook in meekrijgen”, aldus Verheijen. “En dat is uiteindelijk waar het ons om te doen is.”