Managed hosting door True

'Overheid en IT-leveranciers botsen over GDPR'

Computable Debat tijdens Overheid 360

 

André Biesheuvel (Duthler Associates), Gershon Janssen (OASIS) en Arwi van der Sluijs (True-xs Cyber Security)

It-leveranciers kunnen niet voldoen aan het door gemeente gevraagde beveiligingsniveau dat voor de GDPR nodig is. Om te voorkomen dat de nieuwe wet als een molensteen om de nek hangt, moeten gemeenten it-leveranciers blijven aansporen en door de gangen slepen om hun beveiligingseisen gerealiseerd te krijgen. Dat stelt André Biesheuvel, partner bij advieskantoor Duthler Associates, tijdens het Computable Debat over dataveiligheid.

Biesheuvel meent dat gemeenten verder zijn dan ict-leveranciers en dat leveranciers nog veel slagen moeten maken om aan de benodigde veiligheidseisen te voldoen. ‘Zet ook vast in een contract dat het gaat om gedeelde verantwoordelijkheid en houd een vinger aan de pols. Betrek eventueel ook een derde partij erbij en zoek de samenwerking met andere gemeenten om eventueel een contract bij een it-leverancier af te dwingen.’

Het debat vond plaats tijdens het congres Overheid 360 in Jaarbeurs Utrecht. Andere deelnemers aan het debat waren Gershon Janssen, directeur bij OASIS, en Arwi van der Sluijs, algemeen directeur bij True-xs Cyber Security. Het debat werd geleid door Computable-hoofdredacteur Sander Hulsman en Jule Hintzbergen, adviseur Informatiebeveiliging IBD bij KING Gemeenten.

Volgens Hintzbergen zijn gemeenten goede ‘hoeders van de privacy’. ‘Gemeenten zijn op de goede weg en bewust bezig met privacy en persoonsgegevens. Ze zijn echter nog niet klaar met de voorbereidingen op de GDPR, er moet nog het een en ander gebeuren.’

Van der Sluijs meent dat het ergste nog moet komen. ‘De WannaCry-aanval is wat dat betreft een wake-up call. Van het weekend zijn we veel gebeld, veel partijen hadden onvoldoende capaciteit om gemeentes en andere partijen ter hulp te schieten. En deze aanval viel mee, we zijn nog niets gewend. We moeten ons voorbereiden op cyberincidenten en niet ad hoc reageren zoals nu het geval was. Cyberellende blijft en zal steeds meer gemeengoed worden. We moeten ons beter voorbereiden, onder andere door in kaart te brengen welke risico’s je als overheidsinstelling wilt lopen.’

Nieuwe patches

Van der Sluijs stelt dat als gemeenten hun patches op orde hadden, WannaCry geen effect zou hebben. Ook valt het succes van deze cyberaanval volgens hem tegen. 'Als je naar het verdienmodel kijkt, hadden ze geen succes. Ze hebben slechts 31 bitcoins, ofwel nog geen 50.000 euro, gescoord.’

Piet Woudt, ciso van de gemeente Houten, stelt dat systeembeheerders bij zijn gemeente niet te spreken zijn over het kwaliteitsniveau van de patches. ‘Ze zijn bang voor kinderziektes en daardoor huiverig om patches in te voeren. Bovendien is het uitschakelen van een oude Windows-versie binnen een zakelijke omgeving moeilijker dan bij een privéapparaat.’

Van der Sluijs beaamt dit en stelt dat hier ook een verantwoordelijkheid bij Microsoft ligt. Janssen onderstreept het belang van het doorvoeren van nieuwe patches. ‘Het is essentieel om het tempo hoog te houden, want anders zijn de gevolgen onbekend.’

Hij voegt hieraan toe dat gemeenten kritisch naar hun partners moeten kijken. ‘Partners hangen vaak via een vpn-verbinding aan het netwerk. Het is daarom belangrijk om te kijken naar hoe zij zijn gepached, vraag naar hun beleid. Je lijkt schijnbaar veilig, maar als een toeleverancier besmet is, raak je alsnog geïnfecteerd.’

‘GDPR-deadline haalt niemand’

Janssen stelt dat geen enkele gemeente de GDPR-deadline, 25 mei 2018, gaat halen. ‘Het is ontzettend complex wat moet gebeuren. Niemand heeft het totale overzicht.'

Wat zijn hiervan de gevolgen? Biesheuvel: ‘Veel mensen vergeten dat er in Nederland al vanaf 1 januari 2016 een wet omtrent data van burgers is; de Nederlandse meldplicht datalekken, onderdeel van de Wet Bescherming Persoonsgegevens. Gemeenten en andere instanties moeten dus al ruim een jaar bewust zijn van hun omgang met data.'

Daarnaast geeft hij extra duidelijkheid over de Europese GDPR. 'Gemeenten gaan ten onrechte uit van de GDPR-deadline van 25 mei 2018, terwijl de wet al op 24 mei 2016 in werking is getreden. Er is afgesproken dat tot 25 mei 2018 toezichthouders terughoudend zijn in het uitdelen van sancties en overtreders van deze wet eerst een waarschuwing krijgen.'

Vanaf mei 2018 wordt dat volgens hem anders. 'Ik verwacht dat ze vanaf 25 mei 2018 direct een bestuurlijke sanctie geven in plaats van een waarschuwing. Ook wil ik benadrukken dat overheden zeker niet gevrijwaard zijn van deze sancties en net zoveel kans maken op controle en eventuele sancties als bedrijven.'  

Wie is bij gemeenten eigenlijk verantwoordelijk voor de veiligheid van data? Woudt is dat naar eigen zeggen niet. ‘Ik ben verantwoordelijk voor de coördinatie op het gebied van informatieveiligheid en draag niet de volledige verantwoording.'

Ook de deelnemers aan het debat zijn die mening toegedaan. Hintzbergen beaamt dat de ciso niet verantwoordelijk is en dat er bij elke gemeente een proceseigenaar moet zijn die verantwoordelijk is en bijvoorbeeld besluit of er opgeschaald moet worden en of er geld aan extra beveiliging wordt uitgegeven. De ciso is vervolgens degene die de strategie uitvoert.

Ethisch vraagstuk

Het is volgens Biesheuvel belangrijk om te beseffen dat de GDPR een ethisch vraagstuk betreft. ‘Neem de burger serieus. Je moet je verantwoorden over het dataverkeer. Het is hierbij essentieel dat het college en topambtenaren hierin mee gaan. Velen denken dat ze nu niets hoeven te doen, omdat de controle pas in mei 2018 begint. ‘Het zal me een worst zijn’, is een hele slechte strategie. Ik adviseer om ambtenaren binnen je gemeente vrij te maken om de boel te regelen. Besef ook dat het geen politiek is, maar een administratief proces.’ Biesheuvel onderstreept dat afwachten geen zin heeft. ‘Je moet antwoord kunnen geven op vragen als ‘hoe gebruik je mijn gegevens’ of ‘wilt u mijn gegevens verwijderen.’ Van der Sluijs benadrukt dat gemeenten verantwoordelijk zijn voor de security van de data. ‘Het is daarom je plicht om verwerkers van je data te toetsen op het veilig verwerken van privacygegevens.’

Biesheuvel stelt ten slotte dat er een paradigmaverandering nodig is. ‘Gemeenten zijn als strandjutters, ze blijven maar persoonsgegevens verzamelen. Zie de GDPR liever als een aanmoediging om informatie waar geen grondslag voor is, weg te gooien.'

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/6021070). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×