Meldplicht datalekken: het schiet niet erg op

Maat: px
Weergave met pagina beginnen:

Download "Meldplicht datalekken: het schiet niet erg op"

Transcriptie

1 CIP-post Meldplicht datalekken: het schiet niet erg op Al geruime tijd is in de 2e Kamer een wetsvoorstel Meldplicht datalekken in voorbereiding. Dit wetsvoorstel is bedoeld om de schade te beperken, die kan ontstaan ten gevolge van het lekken van gevoelige gegevens. De organisatie die verantwoordelijk is voor de verwerking van de gelekte of verloren gegane persoonsgegevens is hierbij de meldplichtige. Nadrukkelijk wordt ook geregeld dat de betrokkenen tijdig en accuraat worden geïnformeerd en geadviseerd over vervolgstappen. Een datalek onder de pet houden of niet (onverwijld) melden is geen optie meer: als het uitkomt hang je. Met de meldplicht alleen houdt het in het voorstel niet op: als bij toetsing vervolgens blijkt dat de zaakjes qua beveiliging niet op orde waren, dan kan het College Bescherming Persoonsgegevens (CBP) een fikse boete uitdelen. Er wordt nog wat gesteggeld over de hoogte, maar het zou zomaar wellicht in de buurt van 800 duizend euro kunnen komen. Dat is overigens nog niets vergeleken bij de boetebedragen die in soortgelijke Europese wetsvoorstellen worden genoemd: maar liefst 1 miljard(!) of 5% van de jaarlijkse wereldwijde omzet. Maar ook hier is over boetes nog een hoop te doen. De boete van maximaal 1 miljard is een voorstel van het Europese Parlement, het voorstel van de EU-Commissie is veel lager: (1 miljoen of 2%). Hoe het ook gaat uitpakken, het lijkt verstandig om op tijd te anticiperen en maatregelen te treffen. Of je ooit slachtoffer wordt van een datadiefstal - van buitenaf of van binnenuit - is voor veel gegevensverwerkende organisaties geen vraag meer. Het is niet de zozeer de vraag óf het gebeurt, maar veeleer wannéér. Als je op dat moment kunt aantonen dat je de juiste maatregelen hebt genomen, en dat die ook in werking zijn, kun je boetes voorkomen. Ooit was het de bedoeling om het wetsvoorstel per 1 januari 2014 in te laten gaan. Nu is het wel zeker dat ook 1 januari 2015 niet gehaald zal worden. In het Europese traject, de Algemene Verordening Gegevensbescherming (AVG) gaat het niet veel beter: dat wordt 2017, en dan moet het niet teveel tegenzitten. Er is dus nog wel even tijd maar vergis je niet: als je eens goed op een rijtje zet wat je allemaal ingeregeld moet hebben om het vermoeden van nalatigheid in de kiem te kunnen smoren, dan valt er in heel veel organisaties en bedrijven nog heel wat in te regelen. Lees meer over meldiplicht datalekken op nov 2014 nummer 6 in deze uitgave o.a. BIR: naar informatiebeveiliging als regulier onderdeel van de bedrijfsvoering lees meer op pagina 3 Veilig delen: naar standaarden, handige hulpmiddelen en software op het gebied van informatieuitwisseling lees meer op pagina 5 Capgemini over SSD: leesbaar en toepasbaar, een absolute win-win voor zowel bedrijfsleven als overheid lees meer op pagina 9 Beveiliging in inkoopcontracten: van audits achteraf naar vooraf sturen op resultaat lees meer op pagina 12 en 13 Gerard Hurkmans, CAK directeur, nieuw in het CIP bestuur: een enorm belangrijk netwerk lees meer op pagina 19

2 2 3 2 BIR implementatie: naar informatiebeveiliging als regulier onderdeel van de bedrijfsvoering Frank Ossewaarde, verbonden aan I-Interim Rijk, is sinds eind 2013 als programmadirecteur verantwoordelijk voor de implementatie van de BIR (Baseline Informatiebeveiliging Rijksdienst) bij de gehele Rijksoverheid. Dit omvat alle departementen, diensten en agentschappen. Daarnaast zijn de ZBO s en gemeenten als belangrijke ketenpartners van het rijk ook in de aandacht van het programma. door Ad Reuijl Voorwoord Aan het eind van de voorjaarconferentie gaf ik aan met welke nieuwe activiteiten we aan de slag wilden gaan. Dat is nog een hele drukte geworden. Inmiddels draait de nieuwe domeingroep Identiteitsfraude onder leiding van Wouter Fellendans van het Ministerie van BZK en zijn er een tweetal Practitioners Communities (voor Secure Software Development en Keten Service Library) opgezet. In de afgelopen periode hebben we bovendien ook weer meerdere kennissessies met kennispartners rond verschillende thema s georganiseerd. In de serie Grip op verschijnt nu een tweede deel: Grip op beveiliging in inkoopcontracten : een mooi instrument waarmee je systematisch kunt nagaan welke concrete zaken er geregeld moeten worden met leveranciers. Ook het jaarplan voor 2015 ligt klaar en is te downloaden vanuit cip.pleio. Nadat met de bestuurders van het CIP (het Bestuurlijk Overleg Compacte Uitvoering) de richting voor de komende jaren is besproken, hebben we met een groep van 25 deelnemers, vnl. leden van domeingroepen en het Rijks ISAC, gekauwd op het plan en daaraan nog extra scherpte toegevoegd. Diversiteit van inbreng vind ik erg belangrijk. Vooral in een netwerkorganisatie zoals we die samen vormen, is het van belang een breed draagvlak te houden voor de dingen die we doen. Daarin zoeken we ook steeds een goede modus tussen wat bestuurders willen en wat managers en uitvoerders signaleren. We gaan de komende tijd werken aan een sterkere verbinding tussen uitvoering en beleid. Ambitie is daarbij dat het voor alle overheidslagen aantrekkelijk moet zijn om aan te haken bij het CIP voor kennisdeling en samenwerking rond informatieveiligheid. Zo willen we ook ons steentje bijdragen in het opvangen van het gat dat de scheidende Taskforce Bid achterlaat. Het Inlichtingenbureau is een klein bedrijf. Zonder externen hebben we nog geen vijftig medewerkers. Dat betekent dat iedere medewerker in zijn functie vaak op meerdere vlakken iets van zijn of haar vakgebied af moet weten. Ook op het gebied van informatiebeveiliging speelt dit punt. Toegangs-, netwerk, applicatiebeveiliging: alles is bij een of twee personen belegd. Aansluiting bij het CIP betekent een extra netwerk van collega's buiten het bedrijf, maar wel binnen het vakgebied. Een welkome aanvulling. Marjolein Etten Specialist Informatiebeveiliging, Inlichtingenbureau Zowel hard als zacht De implementatie van de BIR in de rijksoverheid steunt op twee pijlers: aan de ene kant de harde lijn van afspraken, kaders en controle, en aan de andere kant de zachtere invalshoek waarin het bouwen van een community voor de betrokken professionals centraal staat. Bij dit laatste wordt nadrukkelijk de samenwerking met het CIP gezocht. Informatiebeveiliging is enorm belangrijk. Het is mijn doel dat het de plaats krijgt die het verdient in de reguliere bedrijfsvoeringscyclus van een organisatie. Dat is wat ik met dit programma wil bereiken. Ik ben heel blij met de samenwerking met het CIP op dit vlak Voor betere samenwerking In 2012 is de BIR ontstaan door een samenvoeging van een groot aantal bestaande baselines gebaseerd op de in de markt gangbare ISO-standaarden en De BIR omvat alles bij elkaar zo n 400 regels en voorschriften. De BIR is er op gericht om een gemeenschappelijk beveiligingskader te realiseren, en er bijvoorbeeld voor te zorgen dat ieder onderdeel van de Rijksoverheid dezelfde instellingen voor firewalls en hetzelfde basisbeveiligingsbeleid hanteert, zodat ketensamenwerking eenvoudiger wordt. Daarnaast is ook de bewustwording bij het management een heel belangrijk doel, aldus Frank. In control-verklaring De BIR betreft een interdepartementale afspraak en de opdrachtgever is de CIO Rijk. BZK geeft hiermee op dit terrein invulling aan zijn systeemverantwoordelijkheid voor de bedrijfsvoering van de rijksdienst. Inmiddels hebben er in 2014 rijksbreed auditonderzoeken plaats gevonden naar het naleven van de BIR. Deze auditonderzoeken worden in 2015 herhaald. In 2014 ligt de nadruk op het terugkoppelen van bevindingen, in 2015 wordt dit strenger en gaat het langzamerhand meer richting beoordelen. Per 1 januari 2015 dienen alle betrokken organisaties een in control Frank Ossewaarde Programmadirecteur BIR verklaring af te geven. Hierin staat beschreven op welke onderdelen men voldoet, en op welke niet. Voor de zaken waarop men niet voldoet, dient er een goede verklaring te zijn (explain) en een plan van aanpak hoe men alsnog gaat voldoen. Het risicobewustzijn zal hierdoor ook stijgen. De verwachting van Frank is dat de betrokken partijen per 1 januari 2015 nog niet volledig compliant zijn aan de BIR, maar dat de meesten wel in control zijn. Samen met CIP Het verbreden van de doelgroep naar bijvoorbeeld ZBO s is ook een ambitie van het programma. Hiervoor is Frank de samenwerking met het CIP aangegaan. Zo zal hij de trekker worden van de op te richten BIR Practitioners Community van het CIP. Deze community heeft tot doel de implementatie van de BIR te stimuleren door enerzijds praktijkervaringen te delen en te toetsen en anderzijds de leereffecten weer terug te koppelen naar de grotere gemeenschap van het CIP, de overheid en het bedrijfsleven. In deze PraCo, kort voor Practitioners Community, nemen in de eerste plaats publieke partijen deel, mogelijk aangevuld met CIP-kennispartners uit de markt. De PraCo is een mooie aanvulling op het bestaande BIR coördinatoren overleg van de Rijksoverheid.

3 Overheid en bedrijfsleven slaan handen in één voor veilige software 4 5 Zo n twintig organisaties uit overheid en bedrijfsleven hebben zich aangesloten bij de Practitioners Community grip op secure software development van het CIP, waaronder Belastingdienst, Rijkswaterstaat, DICTU, UWV, Ordina, IBM, CGI, SIG, Valori, DKTP, Capgemini, Sogeti, SNS Reaal en diverse ministeries. Het doel van deze marktbrede samenwerking gaat verder dan het delen van ervaringen. Men baseert zich namelijk op de binnen het CIP ontwikkelde methode en normen Grip op SSD, die eerder dit jaar werd gelanceerd tijdens het ibestuur congres. Elke aangesloten organisatie gebruikt die methode en normen als uitgangspunt (comply) en deelt met de groep hoe en waarom eventueel wordt afgeweken (explain). Het uitleggen van afwijkingen is belangrijke input voor de methode en normen aangezien het gaat om óf een gewenste wijziging aan de methode/ normen óf een uitzonderingssituatie die voor andere organisaties relevant kan zijn. De methode en de normen zijn openbaar en worden beheerd door een werkgroep met vertegenwoordigers van de practitioners. Via een wiki kunnen betrokkenen suggesties aanbieden. Degelijke beveiliging van gevoelige informatie en kritieke IT functies is een voorwaarde voor een succesvolle organisatie. Software speelt daarin een sleutelrol en Ad Kint Projectmanager De SSD methode en beveiligingseisen bewijst zich in de praktijk en kan VANDAAG toegepast worden. Elke dag SSD niet toegepast is een dag onveiliger! daarom is het van belang dat beveiligingsrisico s in software worden beperkt en zoveel mogelijk al tijdens de ontwikkeling. De gebruiker van die software, de opdrachtgever, dient daarvoor inzicht te hebben in risico s en duidelijk te zijn naar de leverancier (of eigen ontwikkelafdeling) met betrekking tot de eisen die aan de software worden gesteld. Daarnaast dienen die eisen getoetst te worden. Andersom dient de leverancier navenante maatregelen te nemen en daar waar nodig in dialoog te gaan met de opdrachtgever. Opdrachtgevers vinden het vaak moeilijk om goede afspraken te maken met leveranciers over beveiliging in software. Omdat deze materie voor veel organisaties vrijwel identiek is, is het delen van kennis tussen organisaties opportuun. Delen van kennis leidt tot betere methoden en afspraken vanwege de brede inbreng en helpt leveranciers met het zorgen voor veilige software omdat er overeenkomst is tussen de manier van werken en de eisen van verschillende opdrachtgevers. Door deel te nemen aan de Practitioners Community Grip op SSD onderschrijft men bovenstaande gedachte en committeert men zich aan het toepassen van de methode en de normen van Grip op SSD. Over Grip op SSD Deze methode beschrijft hoe een opdrachtgever grip krijgt op het (laten) ontwikkelen van goed beveiligde software. De drie pijlers daarbij zijn standaard beveiligingseisen, contactmomenten en het inrichten van de juiste processen. Deze processen zijn onder meer het bijhouden van risico s, standaard beveiligingseisen en het laten groeien van de organisatie naar hogere volwassenheidsniveaus. Voor de definitie van de normen is een nieuwe, fundamentele beschrijvingswijze gehanteerd, met zeggingskracht voor zowel managers als security specialisten, in een samenwerking met het NCSC en gestoeld op de NCSC richtlijnen voor (web)applicaties. Capgemini over SSD: leesbaar en toepasbaar voor onze medewerkers Stef Hoffman, Chief Risk Officer en CISO van Capgemini is zeer enthousiast over de implementatie van Secure Software Development (SSD). Bij het ontwikkelen van software hebben we te maken met heel veel verschillende standaarden, met name bij de overheid, aldus Stef. En we maken ook mee dat er soms onmogelijke eisen aan software gesteld worden. Zo moesten we laatst aan de eisen voor veilig internet voldoen terwijl het product helemaal geen internet koppeling kende. En dan heb ik het nog niet over oplossingen voor meerdere partijen waar de criteria elkaar tegenspreken en er zo ook een complexe situatie ontstaat. Wat voor slot wil je? Stef geeft verder aan dat er qua informatiebeveiliging vaak omschreven staat dat er ergens een slot op de deur moet komen. Er staat alleen niet bij wat voor slot dat dan precies moet zijn. Ik vergelijk het wel eens met fietssloten. Je hebt sloten van 3 euro, maar ook van 300 euro. Uiteraard verschilt de tijd die het kost om ze open te breken. Belangrijk is de vraag: Wat is er in een bepaalde situatie exact nodig? Dat inzicht wordt vaak niet gegeven. Stef is zeer onder de indruk van SSD. Er is goed over nagedacht en de eisen zijn helder en duidelijk, er wordt exact omschreven wat voor slot er op de deur moet komen. Ontwikkelteams weten exact wat ze moeten doen De ervaring van Stef is dat de teams waarmee hij werkt ook zeer goed te spreken zijn over SSD. Het is helder en duidelijk, mede door de toepassing van de SIVA methode om zaken eenduidig te omschrijven. Capgemini vaardigt 3 collega s af die vanuit 3 verschillende invalshoeken deelnemen aan de Practitioners Community (PraCo) SSD. Daarmee zeker stellend dat de kennis in de eigen organisatie wordt geborgd en dat ook de inbreng zo breed mogelijk is. SSD in 2020 Stef is zeer overtuigd van het belang van SSD: dit normenkader is bijna niet concreter te maken. Dit zou wat mij betreft de standaard in heel Nederland moeten worden en zelfs daarbuiten. SSD is een open standaard en continue aan verbetering onderhevig, dat maakt het nog sterker. Hij ziet een prominente rol voor het CIP om als kwaliteitscontroleur op te treden. Want SSD toepassen moet wel goed gebeuren, en daar heb je controle bij nodig. Daarmee kan het ook een commerciële stimulans zijn voor leveranciers, want als je SSD op de juiste wijze toepast heb je een streepje voor bij klanten. Ik hoop dat SSD wordt geadopteerd door de gehele overheid en dat men zich hieraan wil committen, een absolute win-win situatie voor zowel bedrijfsleven als overheden Stef Hoffman Chief Risk Officer en CISO van Capgemini

4 De ambitie van het CIP: de kenniscirkel als principe 6 7 Het zal niet verbazen dat velen een mening hebben over de toekomst van het CIP. Een rondgang langs diverse stakeholders en de bestuurders van het CIP leverde een aantal interessante zienswijzen op. Zo was er bij de een behoefte aan een meerjarenvisie, bij de ander de behoefte het zo concreet mogelijk te maken (wat kunnen we samen DOEN), bij nog weer een ander: het verbinden van beleid en uitvoering en stakeholders involveren. Om deze visies mee te nemen in het toekomstplaatje van het CIP werden in eerste instantie de hoofdlijnen vastgesteld in het Bestuurlijk Overleg Compacte Uitvoering. Op 2 oktober 2014 volgde een verbreding van de discussie over de ambitie voor het CIP met een flinke groep deelnemers. De meeting vond plaats bij het SVB in Utrecht. 25 actief betrokkenen van zo n 15 organisaties waren gekomen om dit gezamenlijk te bespreken en vorm te geven. De resultaten zijn verwerkt in het jaarplan Verrijken Wiki, Websites, Domeingroepen, CSP, ISAC Kennis, producten, handreikingen Leren en verankeren Hergebruik Implementatie binnen de organisaties Opening door CIP bestuurder Gerard Hurkmans Bij de opening spreekt Gerard Hurkmans (van het CAK), een van de CIP-bestuurders, zijn waardering uit over initiatieven van het CIP en de noodzaak van het Centrum. Daarna geeft Ad Reuijl, directeur CIP, zijn visie op de toekomst. Mijn motto: "Zeggen wat je doet en doen wat je zegt geeft vertrouwen, en dat is een prima basis voor samenwerking!" Hans van Impelen Senior adviseur AO/IC & Security Officer Gemeente Utrecht Pool van Professionals Privacy scoort hoog Na de opening gaat men in vijf groepjes uiteen om aan het hand van een paar concrete vragen de ambities en doelstellingen voor het jaarplan aan te scherpen. De uitkomsten zijn verschillend maar kennen ook een duidelijke lijn: Productontwikkeling gericht op uniforme privacybescherming. Door het versterken van de basis wordt de samenwerking en informatiedeling vanzelfsprekend, waardoor de autoriteit groeit. Het CIP als paraplu: standaardiseren, normaliseren/ normeren en veranderen. Verrijken, hergebruik en toegankelijk maken vormen de basis van de kenniscirkel Binnen de overheid dé winkel voor IB en Privacyproducten. Na een stemming blijken privacy en de kenniscirkel hoog te scoren. Privacy is een zeer belangrijk maatschappelijk onderwerp en iets waar (nog) meer aandacht voor zou moeten zijn. De toenemende digitalisering van de dienstverlening van overheden en bedrijfsleven levert steeds meer een spanningsveld op als het gaat om privacybescherming. Goed om de domeingroep Privacy en de ID fraude community extra aan te zetten. Daarnaast bevestigen de deelnemers het grote belang van de kenniscirkel: deel kennis, verrijk die met ervaringen uit de praktijk en de kennis van de anderen, en maak die weer toegankelijk met behulp van een wiki. Een goede bijeenkomst waar de deelnemers energie hebben opgedaan om er samen weer een jaar de schouders onder te zetten voor het CIP. En goede input voor Ad Reuijl om richting te kunnen geven aan het CIP de komende periode. PRACO Bij het CIP is de afgelopen maanden een nieuwe term geboren. PraCo. Oftewel Practitioners Community. Inmiddels bestaat er een voor SSD (Secure Software Development) en voor KSL (Keten Service Library). Voor de BIR (Baseline Informatiebeveiliging Rijksdienst) er een in oprichting. De PraCo is in de eerste plaats bedoeld voor het stimuleren van de implementatie van producten, Normen, etc. In een PraCo komt bovendien de kenniscirkel tot zijn volle recht. Het is de plaats waar kennis wordt gedeeld, die met ervaringen vanuit de praktijk van de practitioners wordt verrijkt om vervolgens weer opnieuw met de grotere gemeenschap te worden gedeeld. Daarmee is het een platform voor op implementatie gerichte kennisuitwisseling en ondersteunt daarmee expliciet het zelf doen en aan de slag gaan met de producten van o.a. het CIP. Practitioners Communities CIP Jaarplan vergadering

5 CIP domeingroep Identiteitsfraude Nieuwe domeingroep 'Veilig Delen' 8 9 In de zomer van 2014 is binnen het CIP netwerk een vijfde domeingroep opgericht: de domeingroep Aanpak Identiteitsfraude. Vijf ministeries en veel uitvoerende partijen als politie, Koninklijke Marechaussee, diverse gemeenten, Belastingdienst, UWV, SVB, DUO, RVO, KvK, RDW en IND vinden elkaar in dit netwerk om kennis uit te wisselen en om samen producten te ontwikkelen. In 2014 en 2015 heeft de aanpak van identiteitsfraude drie speerpunten: 1. Een veilig ID een gezamenlijke communicatieaanpak Geen STER spotje in de rust van een voetbalwedstrijd, maar mensen benaderen met een boodschap over identiteitsfraude op de momenten dat ze iets doen met hun identiteit. Bijvoorbeeld bij het ophalen van een nieuw paspoort of rijbewijs, of in de rij op Schiphol, of bij het inloggen met DigiD. Dat is de strategie van de brede communicatieaanpak Een veilig ID, die dit najaar door minister Plasterk is gestart. Diverse partners in publieke én private sector wordt gevraagd om hun eigen kanalen in te zetten met hun eigen concrete tips te geven onder een gemeenschappelijk motto. Dit laatste moet de herkenning vergroten. Dus zoiets als Laat je niet zomaar kopiëren. Een veilig ID, Je DigiD is privé. Een veilig ID en Hang op. Klik weg. Bel uw bank. Een veilig ID. Doel van de communicatie is om het bewustzijn en de kennis over identiteitsfraude te vergroten onder burgers én onder professionals bij overheidsinstellingen en in het bedrijfsleven. 2. Monitor Identiteit Eind 2013 is de eerste Monitor Identiteit naar de Tweede Kamer gestuurd. Eind 2014 volgt de tweede editie. De bedoeling van deze monitor is om jaarlijks een scherper inzicht te krijgen in identiteitsmanagement en identiteitsfraude. Denk aan vragen als Hoe identificeren mensen zich in verschillende situaties? Waar worden kopietjes van identiteitsdocumenten gevraagd? In welke situaties worden welke vormen van biometrie gebruikt? Het wordt deels een kwalitatieve analyse, maar streven is om ook zoveel mogelijk kwantitatieve informatie te verzamelen. 3. Barrièremodel Identiteitsfraude. Het barrièremodel is een fenomeen uit de criminaliteitsbeheersing. Idee is om met veiligheidspartners samen te bekijken hoe criminelen opereren en op welke plaatsen de verschillende partijen barrières kunnen opwerpen. Zo ontstaat meer samenhang in de aanpak van criminaliteit. Bekend is het barrièremodel hennepteelt ( barrieremodellen.nl). In samenwerking met het Centrum voor Criminaliteitspreventie en Veiligheid (CCV) wordt een Barrièremodel identiteitsfraude ontwikkeld. Banken, verzekeraars, gemeenten, KvK, Belastingdienst, Centraal Meldpunt Identiteitsfraude en fouten (CMI) en diverse andere partijen denken mee. Samenhang in de aanpak is het doel, met daaraan verbonden het breder inzetten van beproefde technieken, methoden en protocollen. Met deze speerpunten geeft de domeingroep Identiteitsfraude invulling aan de kabinetsvisie op de Aanpak van Identiteitsfraude, die vorig jaar naar de Kamer is gestuurd. Essentie van die visie is wat wel de transformatie van bolwerken naar netwerken is genoemd: Grote organisaties en zware ketens zijn kwetsbaar tegenover de kleine, creatieve, wendbare dadergroepen die hen bestoken en makkelijk van aanvalsstrategie kunnen veranderen. Het antwoord op identiteitsfraude komt van moderne netwerken die snel reageren en slim anticiperen op identiteitsfraude. Voor vragen en suggesties, graag contact opnemen met Wouter Fellendans. Wouter Fellendans Projectleider Aanpak Identiteitsfraude bij het ministerie van BZK Vis unita fortior (vereende kracht maakt sterker). Ferdinand Nobibux Security Officer bij UWV Het proces van gegevensuitwisseling is kwetsbaar voor gegevensdiefstal. Gegevensuitwisseling gebeurt overal waar organisaties samenwerken in ketens. Of het nu transacties, documenten of informatie in andere vormen betreft. Centrale vraag is hoe doe je dat veilig? Om antwoorden op die vraag te vinden start het CIP onder de bezielende leiding van Ad Kint een nieuwe subcommunity: Veilig Delen. De groep gaat zich bezig houden met vraagstukken rond het veilig delen van informatie. Dergelijke vraagstukken zijn er volop door de opmars van cloudtechnieken, het koppelen van systemen, spionageschandalen, regelgeving rond het verwerken van persoonsgegevens, classificatie van gegevens, enzovoort. Daarnaast zijn er veel meer manieren van het delen van informatie dan alleen puur digitaal. Denk bijvoorbeeld aan het uitwisselen van gegevens in gesprekken. De groep gaat nadenken over deze risico s en hoe ze zijn te beperken. Natuurlijk wordt er vooral praktisch gekeken naar oplossingen in de vorm van standaarden en handige hulpmiddelen, vaak in de vorm van software tools. LocalBox is daarin een belangrijke. Maar ook kan gedacht worden aan tips voor veilig telefoneren, voor het veilig voeren van gesprekken, etc. Omdat bewustwording hierin een belangrijke rol speelt, zal met de domeingroep Awareness goed contact worden gehouden.

6 CIP in Cijfers In de rubriek CIP in Cijfers deze keer een inkijkje in het zogenaamde weerbaarheidbeeld. Crisisorganisatie: T.a.v. crisisorganisatie valt op dat veelal een crisis- 20 ja Om een idee te krijgen hoe de participanten van het CIP omgaan met de organisatie van informatiebeveiliging, en continuïteitsplan bestaat, maar dat dit in veel hebben we in september een kleine enquête uitgezet. Hoewel CIP-deelnemers uit alle overheidslagen komen, hebben gevallen niet getoetst en geoefend wordt. Hierin 15 nee we ons op dit punt beperkt tot organisaties met een centrale uitvoeringstaak: een aantal Agentschappen, ZBO s, schuilt het risico dat, wanneer het crisisplan echt een Overheidsstichtingen, Hoge Colleges van Staat en enkele onderdelen van de rechtsprekende macht. 33 van de in totaal keer aangesproken moet worden, er toch weer veel 10 onbekend 44 uitgezette enquêtes werden ingevuld. Voor de andere overheidslagen (Rijk, Provincies, Gemeenten, Waterschappen) improvisatie nodig is, actoren onbekend zijn met hun maken de betreffende koepelorganisaties een soortgelijk beeld op. rol en die van anderen, etc. Om te voorkomen dat het 5 crisisplan een schijnzekerheid wordt, is periodieke oefening onvermijdelijk. Enkele highlights uit de enquête Bij vrijwel alle organisaties is informatieveiligheid onderdeel van het bedrijfsbeleid en is het ook belegd als onderdeel van een directie- of bestuursportefeuille (90%). Dat geldt in wat mindere mate voor de rapportage daarover: ca. 55% van de organisaties neemt een statement op in het jaarverslag. Voor driekwart van de organisaties is informatieveiligheid een onderwerp in de afstemming met het departement. 0 Crisis- en continuiteitsplan ingericht Crisis- en continuiteitsplannen periodiek getoetst en geoefend Als we inzoomen op de organisatie van de informatiebeveiliging, dan hebben bijna 85% van de organisaties een CISO of gelijkwaardige functie en een beveiligingsorganisatie met vastgelegde verantwoordelijkheden. Dat heeft overigens slechts in ca. 35% van de situaties geleid tot de inrichting van een SOC. Kansen voor versterking liggen hier in het samen doen van een aantal SOC-taken, bijvoorbeeld door aansluiting te zoeken bij een van de Shared Service Centra. Interessant zijn daarbij de bevindingen in het denken over de mogelijkheden van een gezamenlijk SOC (o.a. bij BZK-DGOBR/Noordbeek, bij de werkgroep SOC van het CIP en tussen Belastingdienst en UWV). Gehanteerde normatiek Op het punt van de harmonisatie van normenkaders kunnen nog stappen worden gemaakt: zie onderstaand taartdiagram voor de huidige situatie. Adoptie van één baseline heeft onder meer het voordeel van grotere eenduidigheid binnen ketens van dienstverlening. Binnenkort zullen we dan ook starten met een Practitioners Communitiy BIR om dit te bevorderen. Deze vraag werd door 29 respondenten beantwoord. 14 hanteren de BIR, 7 kozen voor ISO-27001, 4 voor een eigen kader, gebaseerd op ISO27001, 2 organisaties hebben een volledig eigen kader; 2 geen of onbekend. Aandacht voor bewustzijn Bij het onderwerp leren en ontwikkelen geeft bijna driekwart van de organisaties aan hiermee bezig te zijn. 23 organisaties hebben een beeld gegeven van de middelen die zij inzetten. In vrijwel alle gevallen betreft dat een combinatie van meerdere middelen. Als meest gebruikte middel wordt e-learning opgegeven. Veelal zet men ook workshops in. Trainingen en werkoverleggen worden ook vaak genoemd. Organisatie zet in op blijvend bewustzijn bij medewerkers ja nee onbekend Slechts een enkele keer worden genoemd: serious gaming, mystery guests, enquetes, inspelen op incidenten in de media, intranetuitingen, presentaties. O.i. blijft het van belang zoveel mogelijk persoonlijke interactie te zoeken om het leerproces zo effectief mogelijk te maken. De meeste respondenten geven aan dat ook te doen. Hulpmiddelen zijn overigens te vinden op de sites van ibewustzijn en CIP. Wat kunnen we opmaken uit deze cijfers? Welke conclusies vallen er nu eigenlijk te trekken? Vooreerst moet gesteld worden dan het hier geen stevig, statistisch onderbouwd onderzoek betreft. De uitkomsten moeten worden gezien als een steekproef en wel van het type selfassessment. Een auditer met een rode pen zou wellicht een strenger beeld schetsen. Toch menen we te kunnen vaststellen dat het thema leeft, in de organisaties van de respondenten ruime aandacht krijgt en dat men er ook duidelijk op organiseert. De grote response (toch driekwart van de aangeschreven organisaties) geeft op zich ook aan dat men informatieveiligheid van belang acht. Op het punt van implementatie van een gemeenschappelijke baseline is nog wel een wereld te winnen. Een mooie uitdaging om daar in CIP-verband mee aan de slag te gaan. Mogelijk dat we bij een volgende gelegenheid wat verder kunnen inzoomen en het beeld kunnen voorzien van meer scherpte en diepte.

7 Een prestatiegerichte aanpak van beveiliging in inkoopcontracten Audits achteraf over het HOE van informatiebeveiliging geven allang geen houvast meer. Door vanaf het begin te sturen op resultaat komt het onderwerp in een vroeg stadium op tafel en kan het niet meer onder het kleed geveegd worden. Huidige beveiligingsovereenkomsten gaan veelal uit van het laten uitvoeren van audits op basis van ISO (req s) en (controls) en herhalen daartoe de vereisten uit ISO Daarnaast zijn zij vaak gebaseerd op een klassieke verhouding tussen opdrachtgever en opdrachtnemer en is er geen aandacht voor ketenverantwoordelijkheden, zeker niet als sprake is van een cloudgebaseerde oplossing. De klassieke beveiligingsovereenkomsten zijn daarom niet meer bruikbaar. Zij grijpen door hun klassieke aanpak teveel in op HOE de leverancier zijn werk moet doen. De leverancier wordt veelal niet aangesproken op het daadwerkelijk leveren van prestaties bij het borgen van reële beveiligingsrisico s. De klassieke aanpak is gericht op audits achteraf, waardoor de leverancier alleen achteraf kan worden aangesproken op de geleverde kwaliteit, dus pas na een aangetoonde tekortkoming. In die situatie is geen sprake van een effectieve relatie. Sturen op resultaat Door informatiebeveiliging op een andere manier in inkoopcontracten mee te nemen wordt grip gekregen op het stelsel van maatregelen die de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van informatie en informatiesystemen waarborgen. Het is echter voor organisaties een uitdaging om als opdrachtgever vereisten mee te geven aan de informatiebeveiliging bij de contractering van (ICT-)diensten. De opzet voor een beveiligingsovereenkomst moet er op gericht zijn de beveiligingsrisico s te voorkomen en beveiligingsincidenten te monitoren en eventueel in samenspraak hierop zo nodig preventieve maatregelen te nemen. Met een prestatiegerichte aanpak in beveiligingsovereenkomsten wordt een aanzet gegeven tot een trendbreuk in beveiligingsovereenkomsten en ontstaat een proactieve houding bij opdrachtgever en leverancier. Een andere wijze van controle en sturing leidt tot een proactieve houding bij opdrachtgever en leverancier. Commissie ICT Door, in lijn met het eindrapport van de commissie ICT onder voorzitterschap van Ton Elias, nut en noodzaak van maatregelen in een vroeg stadium duidelijk en afgestemd te krijgen wordt de: Realiteitszin vergroot: Haalbaarheid bepaal je samen, door de resultaten in een vroeg stadium af te stemmen, te onderbouwen en zo (onnodige) risicovolle maatregelen (en technieken) voorkomen. Kennis opgebouwd: Kennis bouw je samen op. Dit vraagt om afstemming over de inhoud. Over de inhoud moeten opdrachtgever en leverancier gesprekspartners zijn. Perverse prikkels voorkomen: Afstemming over de inhoud, opzet en monitoring in een vroeg stadium voorkomt dure reparaties later in de contractperiode. Bestuurbaarheid vergroot: Door resultaten (haalbaar en) meetbaar te maken en de governance op het resultaat in te richten wordt sturing op het resultaat mogelijk. De prestatiegerichte aanpak van informatiebeveiliging in inkoopcontracten sluit aan op de thema s in het rapport van de tijdelijke Kamercommissie ICT. Privacy Een ingekochte (cloud) dienst is een schakel in een keten van samenhangende diensten. Dit komt door verdergaande outsourcing en het inzetten van meerdere andere partijen door de leveranciers steeds meer voor. Hierdoor wordt het aantal betrokken partijen steeds groter. Daarmee worden de privacy en de juridische kaders steeds belangrijker. De leverancier wordt juridisch ook aanspreekbaar voor wat zich in de keten achter de door hemzelf geleverde dienst gebeurt. Dit verplicht hem tot het maken van formele afspraken. Overigens kan hier in plaats van verplicht ook gesproken worden over het bewust maken. Bedenk hierbij dat de achterliggende diensten vaak niet binnen de eigen landsgrenzen of binnen Europa beschikbaar worden gesteld. Een te contracteren dienst bestaat uit een keten van diensten, die veelal over landsgrenzen heen gaat. Hierdoor vraagt privacy extra aandacht in het contract. Passende afspraken over beveiliging en privacy Grip op informatiebeveiliging in inkoopcontracten beschrijft een template voor een beveiligingsovereenkomst en geeft invulling aan het informatiebeveiligingsbeleid van organisaties. De opzet van de beveiligingsovereenkomst is bruikbaar voor organisaties binnen en buiten de rijksoverheid. Aan de hand van deze template kan een organisatie een selectie maken van die artikelen die binnen de eigen aanpak van informatiebeveiliging past. Het document is relevant voor allen die een (ICT-) dienst inkopen en die in aanvulling op een hoofdovereenkomst specifiek aandacht geven aan het correct laten nemen van beveiligingsmaatregelen. Grip op informatiebeveiliging in inkoopcontracten is opgezet als template, zodat een passende invulling kan worden gegeven aan het beleid van de eigen organisatie. Rijks ISAC - volle kracht vooruit In de vorige CIP post kondigden wij de kick off van de Rijks ISAC aan. ISAC staat voor: Information Sharing and Analysis Center. Het Rijks ISAC is een kennisnetwerk op het gebied van informatiebeveiliging voor de sector Rijk In verschillende andere vitale sectoren is ook een ISAC actief. Denk hierbij aan de bankensector, de havens en energie. Inmiddels heeft de ISAC al twee succesvolle meetings achter de rug. Op 10 juni verzamelden zo n 25 ISAC leden zich bij het BKWI in Utrecht voor de kick off om elkaar te leren kennen en van gedachten te wisselen over de lidmaatschapsrichtlijnen. De Rijks ISAC is ontstaan in samenwerking tussen het Directoraat-Generaal Organisatie en Bedrijfsvoering Rijk (DGOBR) en het CIP. In de Rijks ISAC zijn de volgende organisaties vertegenwoordigd: ministerie voor Wonen en Rijksdienst, CIP, DJI SSC-I, SSC-ICT, SVB, UWV, BKWI, Inlichtingen bureau, Logius, DUO, Belastingdienst, CBS, Kadaster, DICTU, OM, CIZ en CAK. Voorzitter Op 23 september vond de tweede meeting plaats. Hier werden de lidmaatschapsrichtlijnen vastgesteld en gesproken over het voorzitterschap. Dit werd de eerste keer ad interim ingevuld door het CIP, en de tweede maal door DGOBR. Het is echter de bedoeling dat er uit het midden van de leden een voorzitter wordt gekozen. Inmiddels heeft Frank Katsburg zich als enige kandidaat gesteld, de volgende vergadering zal er gestemd gaan worden mochten zich in de tussentijd nog meer kandidaten aanmelden. Rondje rood Het Rijks ISAC wordt door de leden zeer op prijs gesteld. Zo werd er de tweede vergadering informatie uitgewisseld over samenwerking op het terrein van SOC s (Security Operation Centres) van de verschillende leden, en ook een eerste rondje rood gedaan. Hierin wisselen de deelnemers vertrouwelijke informatie uit die alleen mondeling wordt doorgegeven en niet verspreid mag worden. Het is een heel goede manier om van elkaars crises te leren en de informatiebeveiliging bij de overheid als geheel naar een hoger plan te brengen. Het CIP is trots op de bijdrage die het heeft kunnen leveren aan de oprichting van het Rijks ISAC en hoopt dat dit samenwerkingsverband nog een lang leven is beschoren. De volgende Rijks ISAC staat gepland op 4 december Marcel Koers Senior Enterprise Architect Heb je vragen over de Rijks ISAC? Neem dan contact op met Marit Bakker van NCSC.

8 14 Programma ibewustzijn 15 Denken aan beveiliging doet wonderen Ieder gevoel van urgentie om wat dan ook te doen ontstaat pas als er bewustzijn is. Daarom is het belangrijk te werken aan Awareness. Want als we alleen al eens denken aan beveiliging wordt gedrag veranderd. Toen ik ooit werkte bij een bouwer van telefooncentrales werkte, keken de mensen mij wat gek aan dat beveiliging een thema zou worden op het moment dat er zou worden overgeschakeld op bellen via internet. De telefooncentrale is zo stabiel dat downtime niet voorkomt en het hacken van een telefooncentrale was ondenkbaar. De enige hack die de laatste jaren was voorgekomen gebeurde bij een hotel in Azië waar een medewerker een extra kabel had getrokken van de centrale naar de straat. Daar plaatste hij een tentje met 'cheap international calling'. Ondertussen betaalde het hotel de rekening. Zien is geloven Dus toen de software gemaakt voor hardware zonder wereldwijde toegang op het internet werd toegelaten bleek bij tests al snel een reeks aan kwetsbaarheden: gevoeligheden voor DDoSaanvallen, het overnemen van een server, wel het risico van downtime en andere problemen. Niet vreemd, omdat de technologie in een compleet andere context werd geplaatst. Pas hierna begrepen de collega's de problemen die dreigden en volgde actie. Dat laatste is belangrijk, omdat bij werkende beveiliging de betrokkenen bij informatieverwerking een sleutelrol hebben. Het is niet vanzelfsprekend voor deze personen dat ze een rol te vervullen hebben of dat er überhaupt risico s aan het gebruik van technologie zitten. Daarom vervult de domeingroep Awareness een belangrijke taak in het aanreiken van hulpmiddelen voor bewustwording. Want als je beseft dat er risico's spelen dan volgt er vanzelf ander gedrag. Precies dat laatste wil je bewerkstelligen om beveiligingsplannen tot een succes te maken. Vaak vraag ik bij lezingen aan mensen om een minuut per dag eens te denken aan beveiliging en privacybescherming. Gewoon een klein momentje: ben ik op de goede weg, welke risico's spelen er, hoe kan ik problemen oplossen. Zoiets kan prima onder de douche, tijdens het wachten op de lift, op een station of waar dan ook. Of kijk af en toe eens op Pleio, zodat de gedachten van anderen kunnen inspireren. Wie dat doet zal al heel snel meters maken. De afgelopen maanden is door het programma ibewustzijn hard gewerkt aan het samenstellen van een overheidsbreed toepasbaar pakket om het bewustzijn over informatieveiligheid bij managers en medewerkers te verhogen. ibewustzijn is van, door en voor Rijksambtenaren, én andere overheden. ibewustzijn ondersteunt de overheidsmanager van nu die verantwoordelijk is voor efficiënt en effectief werken, dus ook voor digivaardig, digiveilig en ibewust werken. Nieuwe verantwoordelijkheden De digitalisering in Nederland en de overheden neemt steeds meer toe. We bedienen onze burgers en bedrijven in toenemende mate met behulp van online diensten en digitale apparaten. Werknemers zijn steeds minder gebonden aan een vaste werkplek. De technologische ontwikkelingen bieden ook aan ambtenaren de gelegenheid om meer tijd-, plaatsen apparaatonafhankelijk te werken. Bij deze vrijheden horen ook nieuwe verantwoordelijkheden. Van belang is dat ambtenaren niet alleen bekend raken met de kansen en bedreigingen van, maar ook weten hoe er mee om te gaan. ibewustzijn is bedoeld om over de risico s van het gebruik hiervan te informeren en te wijzen op de invloed van eigen handelen. Daarom biedt ibewustzijn een uitgebreide campagne met e-learning en workshops aan. Van posters tot online game Deze onderdelen zijn in een interdepartementaal programma samengesteld. Daarbij zijn de beschikbare techniek, materialen en expertise die al binnen verschillende rijksonderdelen ontwikkeld waren, gebundeld, geactualiseerd en hergebruikt ten behoeve van alle departementen en uitvoeringsorganisaties. Het programma ibewustzijn Rijk van de Interdepartementale Commissie Bedrijfsvoering Rijksdienst (ICBR) levert - in de Rijkshuisstijl - via de e-learning omgeving vijf modules, toetsen, een bibliotheek en de online game Lek! aan. Het programma levert ook workshops en een mediacampagnetoolbox. Inmiddels zijn de eerste trainers van diverse departementen door de Taskforce BID opgeleid om de workshops te kunnen geven. De ICBR zorgt er voor dat het leer- en communicatieprogamma ibewustzijn Rijk beschikbaar blijft en periodiek geactualiseerd en opnieuw aangeboden wordt. Eigenlijk is dat altijd zo. Dat we een spionageprobleem hebben, hadden we al langer kunnen en moeten weten. Het probleem is van alle tijden. Maar toen Snowden ons de omvang en de ernst liet zien, drong het besef pas door dat we ook echt wel een probleem hebben. Als dat besef doordringt volgt er uiteindelijk actie. Zien is immers geloven. Beveiligingsbewustzijn Voor informatiebeveiliging is dat niet anders. Sinds DigiNotar weten we dat het goed op orde hebben van governance belangrijk is. Dankzij Lektober weten we dat structureel niet bezig zijn met beveiliging problematisch is en leidt tot een structuur van onveiligheid. De vele andere voorbeelden maken ons bewust dat we een beveiligingsprobleem hebben. Op die voorbeelden volgde actie op gebied van governance, technische maatregelen en vooral rond bewustzijn. Brenno de Winter Onderzoeksjournalist Werk veilig en vaardig ibewust Overheid Meer weten over ibewustzijn? Neem dan contact op via Campagne ibewustzijn Rijk is ook doorvertaald en geschikt gemaakt voor de overheden: de gemeenten, waterschappen en provincies. Deze campagne is op 27 oktober 2014 live gegaan onder de naam ibewustzijn Overheid. Voor meer informatie en de beschikbaarheid van deze campagne, zie

9 16 Laten we elkaar helpen en daarmee onze managers en bestuurders Creëer meer eenduidigheid in baselines De beroepsgroepen IT-architecten, informatiebeveiligers en IT auditors houden zich bezig met zaken die vaak in essentie over hetzelfde gaan. Een min of meer gemeenschappelijk fundament voor deze activiteiten wordt geboden door de algemeen geaccepteerde 'baselines'. Dit zijn de algemeen als gezond minimum beschouwde basisprincipes voor informatiebeveiliging. Maar het zijn meestal ook nogal drakerige documenten. Ze zijn uitgebreid en lastig te lezen. Het is niet verwonderlijk dat managers en bestuurders vrijwel onmiddellijk afhaken als je erover begint. En dat is nog niet alles. Je kunt zelfs als doorgewinterde gebruiker van de baselines moedeloos worden als je één thema kiest en zaken rond dit thema naast elkaar legt en probeert te analyseren: want ze zijn ook nog eens niet eenduidig. Iedere professional zal lezen en interpreteren vanuit zijn eigen invalshoek. Managers horen vanuit de verschillende disciplines dus mogelijk verschillende dingen en dat leidt uiteraard tot misverstanden en helpt niet mee de populariteit te vergroten. En dat terwijl ook het management meer zou moeten willen weten over deze normenkaders, al was het maar om bij risico-afwegingen keuzes te kunnen maken die zij ten volle kunnen overzien en verantwoorden. Laat ik inzoemen op de meerduidigheid. Als je de huidige baselines, zoals Cobit, de ISO serie, NIST en Standard of Good Practice naast elkaar legt dan merk je het volgende: Cobit evalueert zaken, de zogenaamde "states of affairs" op basis van control objectives. Als omschrijving wordt aangegeven dat een control objective het gewenst resultaat of het doel is dat bereikt moeten. Met andere woorden het "waarom"-aspect. Maar zie wat er feitelijk staat: Voorbeeld: Control objective: "Establish a process to monitor the business sector, industry, technology, infrastructure, legal and regulatory environment trends. Incorporate the consequences of these trends into the development of the IT technology infrastructure plan". Het "Wat" wordt geadresseerd en zelfs ook een beetje 'Hoe'. ISO 2700x formuleert eerst een "objective" en vervolgens de "controls" waarmee de "state of affairs" wordt geëvalueerd. "Objective" geeft aan wat je wil bereiken en controls drukken uit wat er gedaan moet worden om dit te bereiken. Vervolgens worden er implementatie guidelines weergegeven. Soms vraag je je af of de genoemde guidelines ook daadwerkelijk guidelines zijn. Voorbeeld: 1. Doelstelling: (Waarom) Handhaven van de integriteit en beschikbaarheid van informatie en IT voorzieningen. 2. Control (Maatregel) : (Wat) Er behoren back-upkopieën van informatie en programmatuur te worden gemaakt en regelmatig te worden getest overeenkomstig het vastgestelde back-upbeleid Je zou toch denken dat een zin die begint met "Er behoren..." een norm betreft, die aangeeft welke acties je moet ondernemen, onder meer met behulp van de backups, om aan de doelstelling te kunnen voldoen. Maar volgens de schrijvers is het een maatregel. De Standard of Good Practice formuleert eerst een "principe" en vervolgens een "objective". Hierna volgen maatregelen die op het 'wat' gerelateerd zijn. Het "Principe" geeft aan wat er gedaan moet worden en het 'objective' geeft aan wat je wilt bereiken. Voorbeeld: 1. Principle (Wat) Back-ups of essential information and software used by the network should be performed on a regular basis, according to a defined cycle. 2. Objective (Waarom) to ensure that, in the event of an emergency, essential network information or software required by the networkcan be restored within critical timescales Nist formuleert controls (het wat) om de 'states of affairs" te evalueren. Daarna volgen detail guidelines die op het 'wat' gerelateerd zijn. Voorbeeld: Separation of duties (Wat) The information system enforces separation of duties through assigned access Op basis van het bovenstaande constateren we dat er verschillende begrippen en volgorde ervan gehanteerd worden, zoals: de begrippen en volgorde" control" en "objectives". de begrippen en volgorde: "principe" en "objective", het begrip "control" het begrip "control objectives". Hierin zijn twee begrippen gecombineerd toegepast. Standaard COBIT ISO 2700 ½ Standard of Good Practice NIST evalueert op basis van... Control Objectives (High- en Detailed level) (1) Objective (2) Controls (1) Principle (2) Objective Controls Als de verschillende normenkaders, die overigens in essentie allemaal over hetzelfde gaan en hetzelfde nastreven, al niet eenduidig te vergelijken zijn, en ook nog eens de professionals hun eigen referentiekaders hanteren voor de interpretatie, dan is ook niet verwonderlijk dat we onze bestuurders of managers deze zaken niet duidelijk kunnen maken. Wiekram Tewarie Bedrijfseconomisch adviseur accountantsdienst adresseert... Waarom (desired result or purpose to be achieved) Beschreven : Control Objectives( Wat) Waarom (Wat je bereiken wil) Wat (algemeen en detail) Wat Waarom (Wat je bereiken wil) Wat (algemeen en detail) Ik denk daarom dat het van groot belang is een bepaald voorschrift (syntax) te hanteren om eenduidigheid tussen zowel de normenkaders en daarmee ook in dit beroepsveld te creëren. Zo kunnen we aan de ene kant de professionals met elkaar verbinden en aan de andere kant ook de koppeling maken naar onze managers. Bijvoorbeeld door uit te gaan van de begrippen "principles" en "principle driven rules". De principles moeten zo omschreven worden dat deze door de verschilllende beroepgroepen en belanghebbenden begrepen en eenduidig geïnterpreteerd kunnen worden. De rules vormen criteria waarmee de principles kunnen worden nagestreefd. De syntax moet zodanig zijn dat er ook een verbinding moet zijn tussen de elementen die in de principles (Wat en Waarom) worden geadresseerd en de principles driven rules (Hoe, Wanneer). Er zijn bedrijfstakken waar een uniforme communicatietaal in standaard expressies zelfs van levensbelang is. De vliegtuigindustrie bijvoorbeeld kent veel van zulke standaardwoorden, schrijfwijzen en betekenissen. Juist om misverstanden in de communicatie tussen piloten en verkeersleiders te voorkomen. Wat dat betreft mogen we van geluk dat spreken dat er binnen de informatiebeveiligingsdiscipline niet zo snel mensenlevens op het spel staan. Of moeten we wachten tot de massale uitval van een energie centrale of een hack van de stormvloedkering? 17

10 CIP en de Alert Online campagne Op donderdag 30 oktober vond, als onderdeel van de Alert-Online campagne, een Ronde tafel conferentie plaats met als titel Van Security Awareness naar meetbaar veilig gedrag. Deze conferentie werd door Ordina georganiseerd in samenwerking met het Centrum Informatiebeveiliging en Privacybescherming (CIP). Het doel van deze bijeenkomst was om gezamenlijk het gewenste gedrag van de medewerker in termen van security awareness te definiëren en te bepalen hoe dit meetbaar kan worden gemaakt. Aan de hand van een door Ordina gebruikt 8-velden model: 'van kennis naar resultaat' werd geschetst hoe te komen van Doel naar Leren en vervolgens van Leerevaluatie tot Resultaat. De aanwezigen werden uitgedaagd om voor twee fictieve medewerkers te bepalen wat het gewenste gedrag is. Vervolgens werden succesfactoren betreffende security awareness door de aanwezigen geplot op een balance scorecard. Met de verzamelde informatie en de resultaten uit de discussie wordt verder gegaan om een concreter model te maken. Dit model zal in een vervolgsessie in februari 2015 teruggekoppeld worden. Een meer gedetailleerd verslag van de ronde tafel kunt u binnenkort lezen op: cip.pleio.nl. Gerard Hurkmans, nieuw in het bestuur: het CIP is een enorm belangrijk netwerk Gerard Hurkmans, Directeur Strategie, Informatiebeleid en Communicatie bij het CAK (Centraal Administratie Kantoor), is in het voorjaar van 2014 tot het CIP bestuur toegetreden. Hij versterkt namens het CAK het Bestuurlijk Overleg Compacte Uitvoering (BOCU) dat het CIP bestuurt en opdrachtgevend is aan de directeur van het CIP. Dit doet hij samen met bestuursleden van de Belastingdienst, UWV, DUO en SVB. Naast zijn functie bij het CAK is Gerard lid van de Manifestgroep, de loonaangifteketen en de Stichting RINIS. Hierin is ketensamenwerking een rode draad. De Manifestgroep is een informeel samenwerkingsverband van 15 grote uitvoerders die met elkaar samenwerken om de dienstverlening naar burgers en bedrijven te verbeteren. Daarnaast is Gerard voorzitter van het Afnemersoverleg Loonaangifteketen (met meer dan 700 afnemers - denk aan pensioenuitvoerders, deurwaarders, zorgverzekeraars, uitvoerders van overheidstaken). De doelen van het Afnemersoverleg Loonaangifteketen zijn om meer invloed te verkrijgen op de gegevensset van de polisadministratie en het verbeteren van de kwaliteit van de geleverde gegevens door een constructieve dialoog met de keteneigenaren (Belastingdienst, CBS en UWV). Tot slot helpt hij als voorzitter van de raad van toezicht van de stichting RINIS organisaties in het publieke domein om snel en veilig gegevens uit te wisselen, zowel in Nederland als in Europees verband. RINIS biedt niet alleen de techniek maar ook ondersteuning en advies. RINIS staat voor Routerings Instituut (inter)nationale Informatiestromen. Op dit moment hebben zich elf Nederlandse uitvoerders van publieke taken (sectoren) bij RINIS aangesloten. Kortom, klinkt als een ideaal CV voor een CIP-bestuurder. Ik heb de nodige ervaring opgedaan in samenwerking tussen overheidspartners en met informatiebeveiliging. Ik zie het CIP als een enorm belangrijk netwerk waarin de uitwisseling en opbouw van kennis op een goede manier wordt gefaciliteerd. Ik zie hier mooie initiatieven en ook concrete samenwerking op belangrijke dossiers ontstaan. Zoals Secure Software Development en de implementatie van de Baseline Informatiebeveiliging Rijk (BIR). Ik steun het CIP van harte en zal er vanuit mijn bestuurdersfunctie op toezien dat alle betrokkenen goed worden gefaciliteerd in het behalen van de ambities van het CIP. Gerard Hurkmans Directeur Strategie, Informatiebeleid en Communicatie bij het CAK Gerard over het CAK: Het CAK heeft een centrale positie in de zorg bij het uitvoeren van financiële regelingen en het informeren van burgers. Goede klantvoorlichting is de pijler van onze dienstverlening. Samen met onze medewerkers werken we aan de professionele uitvoering van de wettelijke taken; klantgericht en met respect en begrip voor mensen én regels. Eén van de kerntaken is het berekenen en innen van de eigen bijdragen voor zorg vanuit de Algemene Wet Bijzondere Ziektekosten (AWBZ) en de Wmo. Daarnaast zijn we verantwoordelijk voor de financiering van AWBZ-instellingen en voor de uitbetaling van de Compensatie eigen risico (Cer) en de algemene tegemoetkoming voor chronisch zieken en gehandicapten (Wtcg). Deze taken voeren we uit voor het ministerie van Volksgezondheid, Welzijn en Sport (VWS).

11 Persoonlijke drijfveren In Nederland informatiebeveiligingsproducten ontwikkelen die wereldwijd vernieuwend zijn en met experts bouwen aan een kenniscommunity, dat is wat mij drijft! We wonen in een land van adviseurs en scheppen veel te weinig eigen producten. Grote organisaties, de overheid incluis, wenden zich voor IT-oplossingen standaard tot Amerikaanse bedrijven. Dat kan anders. In het verleden heeft BHOLD aangetoond dat in Nederland Top Class Autorisatie Management software wordt gemaakt - vandaag is dat een Microsoft product. Ik hoop dat ik met iwelcome wederom een steentje mag bijdragen, nu met Identity en Access Management (IAM) as-a-service (IDaaS). Ik denk dat nog maar weinig mensen het weten, maar mede door de eherkenning federatie is iwelcome het enige Europese bedrijf in het IDaaS Magic Quadrant van Gartner. Helemaal boeiend is dat volgens Gartner de IAM wereld op de schop gaat en vanaf volgend jaar as-a-service hèt dominante leveringsmodel is voor IAM. Dit komt vooral doordat organisaties open moeten zijn, open voor de ketenpartners, open voor consumenten, open voor cloudservices. Spannende tijden en volop uitdagingen voor organisaties, adviseurs en leveranciers om in te spelen op deze ontwikkelingen. Maarten Stultjens Business Development Manager iwelcome Colofon Dit is CIP-Post, de nieuwsbrief van Centrum informatiebeveiliging en Privacybescherming kortweg CIP. CIP-Post is van en voor de deelnemers van dit initiatief en bestemd voor onderlinge promotie en informatie over activiteiten. Heeft u suggesties of wilt u direct een bijdrage leveren? Mail dit naar Concept en realisatie: Adrenaline Communicatie BV

Jaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl

Jaarverslag 2013. Amsterdam, 10 januari 2014 Ad Reuijl Jaarverslag 2013 Amsterdam, 10 januari 2014 Ad Reuijl 1. Inhoud Jaarverslag 2013... 1 1. Inhoud... 2 2. Inleiding... 3 3. In 2013 opgeleverde en onderhanden producten... 3 4. Conferenties... 3 5. Overige

Nadere informatie

Grip op Secure Software Development

Grip op Secure Software Development Titel Grip op Secure Software Development De opdrachtgever aan het stuur Marcel Koers 27 mei 2014 Grip op Secure Software Development 1 CIP: Netwerkorganisatie Kennispartners Participanten Vaste kern DG

Nadere informatie

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? HOE OMGAAN MET DE MELDPLICHT DATALEKKEN? EEN HANDIGE CHECKLIST In deze whitepaper bieden we u handvatten die u kunnen helpen bij de implementatie van de meldplicht datalekken binnen uw organisatie. We

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

informatiecentrum tel. uw kenmerk bijlage(n) (070) 373 8393 - Lbr. 14/086

informatiecentrum tel. uw kenmerk bijlage(n) (070) 373 8393 - Lbr. 14/086 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. uw kenmerk bijlage(n) (070) 373 8393 - betreft ons kenmerk datum Voortgang informatieveiligheid ECLBR/U201402103 Lbr. 14/086 19 november

Nadere informatie

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development

Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Centrum Informatiebeveiliging en Privacybescherming Grip op Secure Software Development Veilige software door marktbrede samenwerking Ad Reuijl Sogeti 23 juni 2015 CIP: Centrum voor Informatiebeveiliging

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast? Informatieveiligheid een uitdaging van ons allemaal Start Publieke

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling INFORMATIEVEILIGHEID een uitdaging van ons allemaal Henk Wesseling Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Remote Bediening door een hacker Gemalen in Veere

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

IB-Governance bij de Rijksdienst. Complex en goed geregeld

IB-Governance bij de Rijksdienst. Complex en goed geregeld IB-Governance bij de Rijksdienst Complex en goed geregeld Even voorstellen Carl Adamse Even voorstellen Frank Heijligers Bestaat de Rijksdienst Ministeriële verantwoordelijkheid Grondwet art. 44 lid 1

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit INFORMATIEVEILIGHEID een uitdaging van ons allemaal Douwe Leguit Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Onbereikbaarheid door DDoS aanvallen op websites Verlies

Nadere informatie

BIR comply or explainprocedure

BIR comply or explainprocedure BIR comply or explainprocedure Datum: 7 januari 2014 Versie: 1.0 Inleiding In 2012 is de Baseline Informatiebeveiliging Rijksdienst (BIR) van kracht geworden. De Baseline gaat uit van een comply or explain

Nadere informatie

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG College Tour Informatieveiligheidbeleid 11 oktober 2013 DEN HAAG Vereniging van Nederlandse Gemeenten Agenda 1. Maatschappelijke vraagstukken Patrick van Domburg, Wethouder Gemeente Zoetermeer 2. Informatievoorzieningen

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag > Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur enkoninkrijksrelaties Turfmarkt 147 Den Haag www.facebook.com/minbzk

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 26 643 Informatie- en communicatietechnologie (ICT) Nr. 333 LIJST VAN VRAGEN EN ANTWOORDEN Vastgesteld 7 november 2014 De vaste commissie voor

Nadere informatie

Jaarverslag 2014 & outlook 2015

Jaarverslag 2014 & outlook 2015 Jaarverslag 2014 & outlook 2015 Amsterdam, 7 januari 2015 Ad Reuijl 1. INHOUD 1. Inhoud... 2 2. Highlights 2014... 3 3. Beschikbare producten pu. 31 december 2014... 4 4. Activiteiten i.k.v. Kennisdeling

Nadere informatie

BrandID Centrum Informatiebeveiliging en Privacybescherming (CIP)

BrandID Centrum Informatiebeveiliging en Privacybescherming (CIP) VERANDEREN IS GEEN KUNST VERBETEREN WEL Een onderzoek onder de deelnemers aan de CIP Voorjaarsconferentie 2014 Renee van Beckhoven Inez de Fluiter BrandID Centrum Informatiebeveiliging en Privacybescherming

Nadere informatie

ons kenmerk BB/U201201379

ons kenmerk BB/U201201379 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ledenbrief Informatiebeveiligingsdienst (IBD) uw kenmerk ons kenmerk BB/U201201379 bijlage(n) datum 12 oktober

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden INFORMATIEVEILIGHEID een uitdaging van ons allemaal Learn and Share bijeenkomst Informatieveiligheid, Rheden George van Heukelom Hackers bedienen containers in Antwerpen Remote bediening door een hacker

Nadere informatie

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042 Brief aan de leden T.a.v. het college en de raad 2 3 MEI 28H Vereniging van Nederlandse Gemeenten informatiecentrum tel. (070) 373 8393 uw kenmerk bījlage(n) betreft Voortgang Informatieveiligheid ons

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Informatie over onze vereniging

Informatie over onze vereniging Informatie over onze vereniging Editie 2014 Uitgebreide en actuele informatie op www.cio-platform.nl CIO Platform Nederland, mei 2014 Informatie over onze vereniging - CIO Platform Nederland mei 2014 Inhoudsopgave

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Ministerie van BZK Kenmerk Uw kenmerk

Ministerie van BZK Kenmerk Uw kenmerk > Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Ministerie van BZK Turfmarkt 147 Den Haag Postbus 20011 2500 EA Den

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 26 643 Informatie- en communicatietechnologie (ICT) Nr. 344 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES Aan de Voorzitter

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid Rapport Informatieveiligheid en de Raad Met de hamer op tafel Enquête over hoe raadsleden denken over het thema Informatieveiligheid Inhoudsopgave 1. Inleiding 2 1.1 Achtergrond 3 1.2 Achtergrond enquête

Nadere informatie

Centrum Informatieveiligheid en Privacybescherming

Centrum Informatieveiligheid en Privacybescherming Centrum Informatieveiligheid en Privacybescherming Jaaroverzicht 2015 Vooruitblik 2016 Versie 1.1 Datum 12 januari 2016 1. Inhoudsopgave 1 1. Inhoudsopgave 2 2. Voorwoord 3 3. Balans van het jaar 2015

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag > Retouradres Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Directoraat Generaal Bestuur en Koninkrijksrelaties Burgerschap en Informatiebeleid www.rijksoverheid.nl

Nadere informatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Anita van Nieuwenborg Teamleider IBD Stand van zaken IBD Regiobijeenkomsten juni-juli 2015 Agenda IBD in de praktijk Terugblik Ontwikkelingen Leveranciersmanagement Meldplicht datalekken IBD producten-

Nadere informatie

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Het gerecht Het resultaat: weten dat u met de juiste dingen bezig bent. Alles is op een bepaalde manier meetbaar.

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Resultaten Onderzoek September 2014

Resultaten Onderzoek September 2014 Resultaten Onderzoek Initiatiefnemer: Kennispartners: September 2014 Resultaten van onderzoek naar veranderkunde in de logistiek Samenvatting Logistiek.nl heeft samen met BLMC en VAViA onderzoek gedaan

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011

Programma doorontwikkeling veiligheidshuizen. Informatiemanagement en privacy 21 november 2011 Programma doorontwikkeling veiligheidshuizen Informatiemanagement en privacy 21 november 2011 Presentatie Privacy Binnen het programma doorontwikkeling veiligheidshuizen is Privacy een belangrijk onderwerp.

Nadere informatie

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken Veilig gebruik van suwinet Mariska ten Heuw Wethouder Sociale Zaken Aanleiding en korte terugblik SZW Inspectie onderzoekt periodiek gebruik suwinet Gemeentelijke presentaties schieten tekort Suwi Normenkader

Nadere informatie

o n k Ö A fia* V/ \ ^ * f

o n k Ö A fia* V/ \ ^ * f - JAGT_P_U201300696.docx - 20130606_ledenbri... http://www.vng.nl/files/vng/brieven/2013/20130606_ledenbrief_inf.. o n k Ö A fia* V/ \ ^ * f 6 JUNI 2013 U,< v ~. ^. Vereniging van 1 Nederlandse Gemeenten

Nadere informatie

Corporate brochure RIEC-LIEC

Corporate brochure RIEC-LIEC Corporate brochure RIEC-LIEC Corporate brochure RIEC-LIEC 1 De bestrijding van georganiseerde criminaliteit vraagt om een gezamenlijke, integrale overheidsaanpak. Daarbij gaan de bestuursrechtelijke, strafrechtelijke

Nadere informatie

Onder welke voorwaarden koopt u 1,2 miljard aan ICT in?

Onder welke voorwaarden koopt u 1,2 miljard aan ICT in? Vereniging van Nederlandse Gemeenten Onder welke voorwaarden koopt u 1,2 miljard aan ICT in? Peter Klaver Jeroen Schuuring 12 november 2015 Meer informatie via de KING website https://www.kinggemeenten.nl/

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012

Actieplan naar aanleiding van BDO-onderzoek. Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Actieplan naar aanleiding van BDO-onderzoek Raad van Commissarissen GVB Holding N.V. Woensdag 13 juni 2012 Inhoudsopgave - Actieplan GVB Raad van Commissarissen GVB Holding N.V. n.a.v. BDO-rapportage 13

Nadere informatie

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer Doelstellingen en scope IBD Het preventief en structureel

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY

INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY INVENTARISATIE EN CLASSIFICATIE VAN STANDAARDEN VOOR CYBERSECURITY Leesvervangende samenvatting bij het eindrapport Auteurs: Dr. B. Hulsebosch, CISSP A. van Velzen, M.Sc. 20 mei 2015 In opdracht van: Het

Nadere informatie

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG

Ivo Opstelten Minister van Veiligheid en Justitie Postbus 20301 2500 EH DEN HAAG Post Bits of Freedom Bank 55 47 06 512 M +31 613380036 Postbus 10746 KvK 34 12 12 86 E ton.siedsma@bof.nl 1001 ES Amsterdam W https://www.bof.nl Ivo Opstelten Minister van Veiligheid en Justitie Postbus

Nadere informatie

Beter worden door te leren van vergelijken in blended leertrajecten

Beter worden door te leren van vergelijken in blended leertrajecten Beter worden door te leren van vergelijken in blended leertrajecten Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T +31 (0) 30 229 90 90 W www.sbggz.nl Inhoudsopgave 1 Het speelveld in beeld...

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2012 2013 26 643 Informatie- en communicatietechnologie (ICT) Nr. 278 BRIEF VAN DE MINISTER VAN VEILIGHEID EN JUSTITIE Aan de Voorzitter van de Tweede Kamer

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

SURF Juridisch normenkader cloudservices WHAT S NEXT @ SURFCONEXT

SURF Juridisch normenkader cloudservices WHAT S NEXT @ SURFCONEXT SURF Juridisch normenkader cloudservices WHAT S NEXT @ SURFCONEXT Olga Scholcz Juridisch Adviseur 24 november 2015 Anand Sheombar Contractmanager SURF Normenkader Betreft contractuele bepalingen die worden

Nadere informatie

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013

NORA werkdocument. In stappen naar een BBO. Baseline Beveiliging Overheid. Sessie 4. Bijgewerkte versie 10 april. 2013 NORA werkdocument Sessie 4 In stappen naar een BBO Baseline Beveiliging Overheid Bijgewerkte versie 10 april. 2013 katern Beveiliging Jaap van der Veen Agenda Sessie 4 1. Terugkoppeling afstemming met

Nadere informatie

Gebundelde kennis; één wiel uitvinden

Gebundelde kennis; één wiel uitvinden juni 2012 nummer 1 CIP-post Centrum Informatiebeveiliging en Privacybescherming, kortweg CIP, is niet het zoveelste initiatief om een lastig probleem succesvol te lijf te gaan. CIP past in het actuele

Nadere informatie

Praktisch omgaan met Privacy & Security en het Wbp

Praktisch omgaan met Privacy & Security en het Wbp 2-daagse praktijktraining Praktisch omgaan met Privacy & Security en het Wbp Programma Praktisch omgaan met Privacy & Security en het Wbp De training Praktisch omgaan met Privacy & Security en het Wbp

Nadere informatie

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken

Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken Privacy: de huidige en toekomstige regels belicht, met bijzondere aandacht voor datalekken 04-11-2013 Bieneke Braat Alle rechten voorbehouden, niet openbaar maken zonder toestemming. 1 Legaltree: Advocatenkantoor

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Help ons te leren. HR en decentralisaties: VIER SPEERPUNTEN VOOR HR OP HET GEBIED VAN DECENTRALISATIES

Help ons te leren. HR en decentralisaties: VIER SPEERPUNTEN VOOR HR OP HET GEBIED VAN DECENTRALISATIES VIER SPEERPUNTEN VOOR HR OP HET GEBIED VAN DECENTRALISATIES HR en decentralisaties: Help ons te leren Door: Martine van Dijk, A+O fonds Gemeenten / Fotografie: Kees Winkelman Op 10 oktober 2014 vond de

Nadere informatie

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

BABVI/U201200230 Lbr. 12/015

BABVI/U201200230 Lbr. 12/015 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8020 Betreft DigiD en ICT-beveiliging uw kenmerk ons kenmerk BABVI/U201200230 Lbr. 12/015 bijlage(n) 0 datum 07 februari

Nadere informatie

Shared Service Center ICT Haaglanden. en de digitale snelweg van de Rijksoverheid. Astrid Zwiers Vestigingsmanager Directieteam SSC-ICT Haaglanden

Shared Service Center ICT Haaglanden. en de digitale snelweg van de Rijksoverheid. Astrid Zwiers Vestigingsmanager Directieteam SSC-ICT Haaglanden Shared Service Center ICT Haaglanden en de digitale snelweg van de Rijksoverheid Astrid Zwiers Vestigingsmanager Directieteam SSC-ICT Haaglanden Jaarcongres Strategic Sourcing 16 juni 2015 Even voorstellen:

Nadere informatie

Activeer de Eigen Kracht van uw burgers; begin bij uw professionals!

Activeer de Eigen Kracht van uw burgers; begin bij uw professionals! Zelfredzaamheid en burgerparticipatie worden steeds belangrijker in het publieke domein. Deze nieuwe manier van omgaan met burgers stelt nieuwe eisen aan uw professionals. Van hen wordt steeds nadrukkelijker

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Kijken, kiezen, maar wat te kopen?

Kijken, kiezen, maar wat te kopen? Kijken, kiezen, maar wat te kopen? 15 aandachtspunten bij overgang naar de cloud Cloud biedt voor veel organisaties de mogelijkheid om te innoveren zonder hoge investeringen. Zowel Telecom providers als

Nadere informatie

Kennissessie Information Security

Kennissessie Information Security Kennissessie Information Security 3 oktober 2013 Bonnefantenmuseum De sleutel ligt onder de mat Wachtwoord: welkom1234 Focus op vertaling strategie in de organisatie Advies, programma, project en interim

Nadere informatie

Architectuur en audit: een prima duo

Architectuur en audit: een prima duo Architectuur en audit: een prima duo Architectuur en audit: een prima duo Theoretische achtergrond Architectuur en audit in de praktijk Praktijk case IB-Groep Inhoud theorie Werkgroep architectuur Hoe

Nadere informatie

makkelijke en toch veilige toegang

makkelijke en toch veilige toegang voor wie? makkelijke en toch veilige toegang Matthijs Claessen Nausikaä Efstratiades Eric Brouwer Beurs Overheid & ICT 2012 Graag makkelijk voor ons allemaal: 16,7 miljoen inwoners (burgers)! waarvan meer

Nadere informatie

EXPLORE!THE STORY DE KRACHT VAN HET VERHAAL

EXPLORE!THE STORY DE KRACHT VAN HET VERHAAL EXPLORE!THE STORY DE KRACHT VAN HET VERHAAL AUTEUR: MASJA NOTENBOOM INHOUD EXPLORE!THESTORY, DE KRACHT VAN HET VERHAAL WANNEER EXPLORE!THESTORY? HOE WERKT EXPLORE!THESTORY? VOORDELEN EXPLORE!THESTORY 3

Nadere informatie

VISIE OP DE ORGANISATIE

VISIE OP DE ORGANISATIE VISIE OP DE ORGANISATIE WE ZIJN ER ALS ORGANISATIE VOOR PUBLIEK, ONDERNEMERS, BESTUUR EN COLLEGA S 00 INHOUDSOPGAVE 0. Inhoudsopgave 2 1. Missie visie kernwaarden 3 2. Toelichting 4 3. De kernwaarden 5

Nadere informatie

Het Certificeringsproces van Xplor Nederland

Het Certificeringsproces van Xplor Nederland Het Certificeringsproces van Xplor Nederland Hans Dickerscheid Dutch EDP Commissioner Datum: 11-03-2015 1 Inhoud Inleiding... 3 EDA... 3 EDP... 3 M-EDP... 4 Het EDP certificeringsprogramma in Nederland...

Nadere informatie

De Voorzitter van de Tweede Kamer der Staten Generaal Binnenhof 4 2513 AA 's-gravenhage

De Voorzitter van de Tweede Kamer der Staten Generaal Binnenhof 4 2513 AA 's-gravenhage > Retouradres Postbus 20011 2500EA Den Haag De Voorzitter van de Tweede Kamer der Staten Generaal Binnenhof 4 2513 AA 's-gravenhage DGOBR Directie Informatiseringsbeleid Rijk Turfmarkt 147 's-gravenhage

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

ICT helpt de gemeente presteren. Jeroen van der Hulst, Programmamanager Informatisering

ICT helpt de gemeente presteren. Jeroen van der Hulst, Programmamanager Informatisering beter ICT helpt de gemeente presteren Jeroen van der Hulst, Programmamanager Informatisering Moet mee! - 90% huishoudens heeft snel internet - 10,4 miljoen smartphones -9 miljoen mobieltjes -2013: 4 miljard

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Inhoudsopgave. Special: Is data een kritische succesfactor? 3

Inhoudsopgave. Special: Is data een kritische succesfactor? 3 Inhoudsopgave Special: Is data een kritische succesfactor? 3 1. DM Barometer 4 Onderzoeksopzet 4 Special: Is data een kritische succesfactor 4 Respondenten 4 2. Resultaten 6 Klantdata & dialoog 6 Datamanagement

Nadere informatie

Het BEL-model werkt voor Blaricum, Eemnes en Laren 2011

Het BEL-model werkt voor Blaricum, Eemnes en Laren 2011 Het BEL-model werkt voor Blaricum, Eemnes en Laren 2011 27 juni 2011 De gemeenten Blaricum, Eemnes en Laren zijn een vreemde eend in het huidige krachtenspel van fuserende gemeenten. Tegen de tijdsgeest

Nadere informatie

Samenwerken en elkaar begrijpen

Samenwerken en elkaar begrijpen Samenwerken en elkaar begrijpen over semantische interoperabiliteit Forum Standaardisatie Minder lasten, meer efficiëntie en een betere dienstverlening aan burgers en bedrijven. Door slimme ICT oplossingen.

Nadere informatie

Beleidsplan 2012 t/m 2016

Beleidsplan 2012 t/m 2016 Beleidsplan 2012 t/m 2016 Mei 2012 Beleidsplan 2012 t/m 2016 Inleiding Dit beleidsplan is het resultaat van een voortgaand proces, waar we sinds twee jaar aan werken. In die periode is het volgende gebeurd.

Nadere informatie

Contouren Launching Plan 1 e release eid Stelsel door middel van pilots (voorheen pilotplan ) 1

Contouren Launching Plan 1 e release eid Stelsel door middel van pilots (voorheen pilotplan ) 1 eid Platform Programma eid www.eidstelsel.nl Contactpersoon Gerrit Jan van t Eind - Carlo Koch T 06-54 33 43 05 Contouren Launching Plan 1e release eid Stelsel door middel van pilots (voorheen pilotplan`,

Nadere informatie

Startbijeenkomst keten innovatieprogramma. Kunststof & Rubber in de Ondergrondse Infrastructuur

Startbijeenkomst keten innovatieprogramma. Kunststof & Rubber in de Ondergrondse Infrastructuur Startbijeenkomst keten innovatieprogramma Kunststof & Rubber in de Ondergrondse Infrastructuur Utrecht, 21 oktober 2015 Inhoud Introductie 3 Zij waren er bij! 4 Circulaire economie 5 RACE programma 6 Sectoranalyse

Nadere informatie

Leergang Leiderschap voor Professionals

Leergang Leiderschap voor Professionals Leergang Leiderschap voor Professionals Zonder ontwikkeling geen toekomst! Leergang Leiderschap voor Professionals Tijden veranderen. Markten veranderen, organisaties en bedrijven veranderen en ook de

Nadere informatie

Functieprofiel Young Expert

Functieprofiel Young Expert 1 Laatst gewijzigd: 20-7-2015 Inhoudsopgave Inhoudsopgave... 2 1 Ervaringen opdoen... 3 1.1 Internationale ervaring in Ontwikkelingssamenwerkingsproject (OS)... 3 1.2 Nieuwe vaardigheden... 3 1.3 Intercultureel

Nadere informatie

ons kenmerk ECIB/U201600732 Lbr. 16/046

ons kenmerk ECIB/U201600732 Lbr. 16/046 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ontwikkelingen informatieveiligheid Samenvatting uw kenmerk ons kenmerk ECIB/U201600732 Lbr. 16/046 bijlage(n)

Nadere informatie

WIJ ZIJN ALLEEN OPEN TUSSEN 9.00 EN 13.00 UUR. Tele Train heeft het antwoord

WIJ ZIJN ALLEEN OPEN TUSSEN 9.00 EN 13.00 UUR. Tele Train heeft het antwoord WIJ ZIJN ALLEEN OPEN TUSSEN 9.00 EN 13.00 UUR Tele Train heeft het antwoord Grensverleggend klantcontact 24 uur per dag antwoord Burgers stellen steeds meer eisen aan het contact met u als gemeente. Sterker

Nadere informatie

Grip op Secure Software Development de rol van de tester

Grip op Secure Software Development de rol van de tester Grip op Secure Software Development de rol van de tester Rob van der Veer / Arjan Janssen Testnet 14 oktober 2015 Even voorstellen.. Arjan Janssen Directeur P&O DKTP a.janssen@dktp.nl DKTP is gespecialiseerd

Nadere informatie

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder?

Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? Is uw IT waterdicht? Nee! Wat wordt er van jullie verwacht om persoonsgegevens te beschermen onder de wet meldplicht datalekken en verder? 1 Onderwerpen Wat zegt de huidige wet en de komende Europese Privacy

Nadere informatie

27529 Informatie- en Communicatietechnologie (ICT) in de Zorg. Brief van de minister van Volksgezondheid, Welzijn en Sport

27529 Informatie- en Communicatietechnologie (ICT) in de Zorg. Brief van de minister van Volksgezondheid, Welzijn en Sport 27529 Informatie- en Communicatietechnologie (ICT) in de Zorg 33149 Inspectie voor de Gezondheidzorg (IGZ) Nr. 133 Brief van de minister van Volksgezondheid, Welzijn en Sport Aan de Voorzitter van de Tweede

Nadere informatie

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE

STAKEHOLDERS. Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 BUSINESS ASSURANCE BUSINESS ASSURANCE STAKEHOLDERS Hoe gaan we daar mee om? Jacques van Unnik Manager Personnel Certification & Training 3 december 2015 1 DNV GL 2014 Stakeholders 19 November 2015 SAFER, SMARTER, GREENER

Nadere informatie