Compliant is niet hetzelfde als veilig

Keep IT Simple

blogimage

“Er moet op elke plaats in het veld verdedigd worden. Dat kost de minste energie, want dan moet je niet helemaal teruglopen om een doelpunt te maken.”

Een uitspraak van een man van wie ik de naam niet hoef te noemen… Tijdens mijn research over informatiebeveiliging binnen de lokale overheid sta ik stil bij een complex speelveld, te weten ‘het sociaal domein' en het onderwerp 'privacy'. Er wordt veel over gesproken en er worden PIA’s uitgevoerd. De gemeente is eindverantwoordelijk, maar is dat wel realistisch? Moet dit niet een ketenverantwoordelijkheid zijn?

Rol

De gemeente zorgt ervoor dat afspraken worden gemaakt met de betrokken partijen over zorgvuldige gegevensverwerking en privacy: jeugdhulpinstelling, medische hulpverleners, onderwijsinstellingen en/of woningcorporaties zijn hierbij betrokken. Maar de verantwoordelijkheid ten aanzien van privacy ligt, buiten wat eisen omtrent gegevensbescherming die door de gemeente gesteld worden om, bij derde partijen zelf. De gemeente heeft dus een zeer belangrijke rol wat betreft strategie en coördinatie. Hoe komt de gemeente “in-control” over al die spelers in het speelveld?

De uitvoering van dienstverlening in het Sociaal domein gaat over zoveel schijven dat het beveiligen van privacy gevoelige informatie van burgers geen sinecure is. Van gemeente tot werkgever en betrokken zorginstelling: als niet iedereen zich bewust is van het bezit ervan en de impact bij verlies of diefstal, zijn met de komst van de AVG in mei 2018 vooral de financiële risico's niet te overzien.

In control

Het speelveld is groot en complex en dat maakt het bewaken van privacy gevoelige informatie een flinke dobber. Om het initiatief te nemen en hiermee een start te maken, vergt een diepe investering in tijd, mensen en middelen. Wellicht dat dat de reden is dat er voor het Sociaal domein geen baseline is geformuleerd zoals de BIG en de BIR. Hoewel veel organisaties in de keten wel op deze baselines leunen, blijft het een serie van maatregelen die op weg helpen met het voldoen aan de WBP. En dát is het hem nou juist… ze helpen te voldoen aan. Maar ben je daarmee ook in-control over de continu veranderende informatie, mensen, processen en systemen binnen de keten?

Onlangs kwam ik bij een klant in het Sociaal domein een prachtig voorbeeld tegen. De procesmanager had de volledige keten in de vorm van een metronetwerk in kaart gebracht. Eén compleet overzicht van alle partners die in de keten betrokken zijn en waar ze samenkomen. Een dergelijk overzicht stelt hen in staat om per deelnemer in het speelveld alle processen en informatie vast te leggen, te controleren en de privacy gevoelige informatie met de ketenpartner te borgen.

Baseline

Net zo goed als bij de BIG draait het borgen van privacy om het vastleggen van maatregelen en spelregels over hoe de betrokken spelers hiermee om dienen te gaan. Omdat het een complex speelveld betreft, met spelers die gewisseld worden en informatie die voortdurend onderhevig is aan verandering, is het evenmin een kwestie van eenmalig vastleggen maar in-control komen en continu de Plan, Do, Check, Act cyclus uitvoeren. Eigenlijk is het een ‘Never Ending Story’.

Om maar even terug te pakken op de uitspraak van Johan, maak ik de vertaling: 'Voorkomen is beter dan genezen'. En het valt niet te ontkennen; dit vraagt heel veel effort van alle ketenpartners. Maar niet doen is geen optie! Zeker niet waar het de privacy-informatie betreft van een kwetsbare groep mensen die ondersteund wordt door het Sociaal domein. Met het ISMS van Mavim bent u in staat om alle ketenpartners actief te betrekken bij het vastleggen, uitvoeren en valideren van de maatregelen ten behoeve van informatiebeveiliging en privacy.


Auteur: Wouter van den Ham, Mavim


Wilt u snel van start met het borgen en verbeteren van uw informatiebeveiliging?
Lees hier hoe u de BIG eenvoudig implementeert met Mavim.

Bekijk ook mijn vorige blog over informatiebeveiliging bij gemeenten

Reacties (0)

Reageer op dit artikel





Toegestaande tags: <b><i><br>Voeg een nieuwe reactie toe: