Regio-bijeenkomst - Informatieveiligheid en Privacy

Transcriptie

1 Regio-bijeenkomst - Informatieveiligheid en Privacy

2 Wij zijn SEP Missie: overheidsinstanties leren leren en ondersteunen op actuele thema s (netwerkorganisatie) Sterk in: moderne leervormen, w.o e-learning, videolearning, permanent leren met kwaliteitscirkels en leercirkels, slimme oplossingen Thema s: gemeentebrede basiskennis, informatieveiligheid & privacy 100 gemeenten/organisaties als klant Maatschappelijk verantwoord: principe Werken vanuit partnerships

3

4 Partners van SEP

5 Regio-bijeenkomsten Informatieveiligheid & privacy 9.15 Inloop koffie/thee 9.30 Borgen van ibewustzijn Voor informatieveiligheid én privacy Snel aan de slag met ENSIA Meerdere wegen naar Rome Pauze Slimme aanpak privacy - Zo is het praktisch én haalbaar! Evaluatie en nog even dit Netwerklunch met Surinaamse lekkernij 5

6 De CISO erkend! Burgemeester Almere, Franc Weerwind, tevens voorzitter van de VNG commissie Informatiebeleid en dienstverlening over het belang van informatieveiligheid en privacy

7 De CISO erkend!

8 Advies aan u Burgemeester Almere, Franc Weerwind en Jeroen Blok, CISO Gemeente Almere Richten het woord aan u als deelnemer van de regio-bijeenkomst

9 ibewustzijn

10 Leercirkel ibewustzijn basis Iedereen Veilig, Vaardig en ibewust Toetsen en beproeven: Monitoren met platform Kennistoetsen Phishing test Mystery guest Certificering Leren, begeleiden en ontwikkelen in diverse vormen: Kennistest met feedback e-learning ibewust basis Workshops directie/mt, dagelijks bestuur Workshopsessies organisatie Nu(l)meting op houding en gedrag ibewustzijn Leerdoelen en plan: Vertaling resultaten, actualiteit en beveiligingsissues naar leerdoelen en opstellen/bijstellen plan Activering: Per doelgroep Per thema (actualiteit)

11 De resultaten van de meting een spiegel voor de organisatie

12 Leercirkel 2: ibewust verdiepen Informatieveiligheid en privacy Toetsen en beproeven: Monitoren met platform Kennistoetsen Phishing test specifiek Mystery guest specifiek Quiz/game Certificering Leren, begeleiden en ontwikkelen in diverse vormen: Kennistest met feedback e-learning ibewust verdieping (Maatwerk) workshops directie/mt, college en raad (Maatwerk) workshops organisatie Meting op houding en gedrag ibewustzijn op privacy en/of informatieveiligheid per afdeling Activering: Per doelgroep Per thema Via platform Eigen invulling Leerdoelen en plan: Vertaling resultaten, actualiteit en beveiligingsissues naar leerdoelen en (bijstellen) plan

13 ibewustzijn verdiepen Workshops per afdeling Doelgroep 1: Burgerzaken en KCC o Identiteitsfraude o Documentherkenning Doelgroep 2: Sociaal Domein o Identiteitsfraude o Flexibel werken o Cloud o Delen van persoonsgegevens (wanneer wel/niet) 13

14 ibewustzijn verdiepen Workshops per afdeling Doelgroep 3: Ruimtelijke ordening o Focus op relatie tussen de Omgevingswet en de invoering hiervan, en informatieveiligheid Doelgroep 4: Overige o Datalekken o Delen van persoonsgegevens (wanneer wel/niet) o Cybercrime basis 14

15 Leercirkel 3: ibewust borgen Competenties borgen Toetsen en beproeven: Monitoren met platform Kennistoetsen Certificering Overige toetsingsinterventies Leren, begeleiden en ontwikkelen in diverse vormen: Kennistest met feedback e-learning ibewust per profiel Borgen met sturing op competenties voor bestaande en nieuwe medewerkers Meting op houding en gedrag Competentie op informatieveiligheid, privacy en integriteit Leerdoelen en plan: Vertaling resultaten, actualiteit en beveiligingsissues naar leerdoelen en (bijstellen) plan Activering: Per doelgroep/thema Per individu via platform Eigen invulling

16 Borgen van ibewustzijn Leren leren De leercirkel blijven herhalen, modulair Borging van leercultuur en permanent leren o Nadenken over competentie/certificering ibewustzijn via digitale leeromgeving aan medewerker o Een goed begin is het halve werk voor nieuwe medewerkers introductieprogramma 16

17 De resultaten van een leercirkel Een goed gesprek over competenties en certificering Voorbeeld: Meting: 66% respons Workshops: 60% deelname E-learning: 56% lesstof doorlopen Kennistesten: 32% geslaagd Phishingtest: 45% klikt door

18 Advies: borgen van ibewustzijn Samen sta je sterker CISO Advies: betrek je bondgenoten HRM opleidingscoördinator FG Controller Communicatie Opdrachtgever Strategisch kaftje Andere bondgenoten

19 Introductieprogramma Gemeentebrede basiskennis per profiel/thema Basiskennis voor élke ambtenaar: Werken bij de gemeente ibewustzijn basis Meldplicht datalekken Identiteitsfraude Ransomware Privacy module 1 Ziek zijn en melden? Integriteit Helder schrijven Fysieke veiligheid De rol van de OR voor u Slimmer werken Vitaliteit (voeding en bewegen) Google als een professional Verdiepend voor beleids/projectmedewerker: Gemeentelijke financiën basis Awb basiskennis Omgaan met WOB-verzoeken Raadsinstrumenten Privacy module 2 en 3 Basiskennis OR Basiskennis voor vakgebied, bijv. Burgerzaken: Burgerlijke stand Basisregistratie personen Identificerende documenten Nationaliteit Documenten Verkiezingen Diversen

20 E-learning Een korte impressie Nieuwe look-and-feel voor uitleveringen vanaf 1 oktober

21 ibewustzijn: de basis Advies: grote keien eerst Waarom ibewust ibewust in de organisatie ibewust op de werkplek ibewust buiten, onderweg en thuis ibewust op malware ibewust en verantwoordelijkheden 21

22 ibewustzijn informatieveiligheid & privacy Basiskennis voor elke ambtenaar

23 ibewustzijn basis informatieveiligheid & privacy Basiskennis voor elke ambtenaar

24 Beknopt en visueel aantrekkelijk

25 Vragen met feedback

26 Filmpjes, interactieve informatieknoppen

27 ibewustzijn: verdieping Informatieveiligheid én privacy per afdeling E-learning: Meldplicht datalekken (2 modulen) Privacy (3 modulen) Identiteitsfraude Ransomware 27

28 ibewustzijn: verdieping Informatieveiligheid én privacy Bron: Algemeen Dagblad, 6 september

29 ibewustzijn verdiepen - informatieveiligheid & privacy Basiskennis voor elke ambtenaar

32 Privacy 32

33 Identiteitsfraude 33

34 Ransomware 34

35 ibewustzijn: borgen Integriteit, informatieveiligheid én privacy

36 ibewustzijn: borgen Integriteit, informatieveiligheid én privacy

37 ibewustzijn: borgen Basiskennis elke ambtenaar - Werken bij de gemeente

38 Werken bij de gemeente Basiskennis voor elke ambtenaar

40 Verantwoording ENSIA Meerdere wegen naar Rome

42 Op weg naar Rome Alle normenkaders integraal

47 Praktisch en haalbaar Op weg naar Rome extra uitleg elk veld een notitie filteren op normenkader filteren op (on)beantwoord historisch opslag

48 Op weg naar Rome Praktisch en haalbaar

49 Op weg naar Rome Praktisch en haalbaar

50 ENSIA-module Een korte impressie

53 ISMS Een korte impressie

54 ISMS Een korte impressie

55 ISMS Een korte impressie Screenshots ENSIA-module ISMS3.0

56 ISMS Templates Screenshots ENSIA-module ISMS3.0

57 ISMS Een korte impressie Screenshots ENSIA-module ISMS3.0 Planning

58 ISMS Een korte impressie Screenshots ENSIA-module ISMS3.0 Actiehouders

59 ISMS Een korte impressie Screenshots ENSIA-module Status ISMS3.0

62 Slimme aanpak?

63 Waaróm privacywetgeving?

67 De klok tikt!

68 Wie is er al bezig met? Het aanstellen van een FG? Register van gegevensverwerkingen? Be-/verwerkersovereenkomsten? Rechten betrokkenen (inzage, dataportabiliteit)? Privacy by design en by default? (hoe doe je dat) Privacy Impact Assessments (PIA)?

69 Een willekeurig stappenplan Stel FG aan Beleid maken en uitdragen Register verwerkingen opzetten Processen inregelen Afspraken met derden

70 Nog veel vragen Recht van vergetelheid Inzage recht en Informatieplicht? Recht op overdraagbaarheid? Privacy by Design? Register? PIA? Waarop gaat de AP (primair) handhaven?

71 Logging monitoring Met welk doel zijn gegevens vastgelegd? Wie heeft gekeken? Wat is er gezien? Met welke reden Kunnen we dit regelen?

72 Privacy by Default

73 En dan is er nog de mens

74 En dan is er nog de mens

75 Wat gaat de AP doen?

76 More to come

77 Ons advies Stel je huidige positie vast, en bepaal wat minimaal nodig is om per 25 mei te voldoen Ga aan de slag Gebruik hulpmiddelen en tools die passend zijn Identificeer risico s en focus hierop Let op de succesfactoren: Commitment op niveau van bestuur en MT Middelen en resources (tooling) Helder plan en scope Bewustwording, bewustwording, bewustwording

78

79 De snelste weg naar Rome Fase 1: praktisch, haalbaar en passend Start met privacybeleid op hoofdlijnen zodat je alvast commitment hebt van het bestuur en management Maak een plan met praktische, haalbare en passende stappen op hoofdlijnen. Keep It Simple! En ga vooral aan de slag! Richt register in, bottom-up. Start zodat je de AP kunt laten zien dat je een basis hebt.

80 De snelste weg naar Rome Fase 1: praktisch, haalbaar en passend Kies tool die passend is en alle vereiste registraties ondersteunt. Richt je op 80% en niet op de uitzonderingen! Je verzandt in uitgebreide discussies. Start met bewustzijn in de organisatie. Je hebt de medewerking nodig van bestuur, management én medewerkers.

81 De snelste weg naar Rome Fase 2 Voer een PIA uit en vul het privacy-register verder aan met de resultaten uit de PIA. Maak een meer gedetailleerd privacybeleid en ga terug naar het bestuur en management voor structurele middelen nadat je de reuring hebt veroorzaakt en de spiegel kunt voorhouden. Maak een meer gedetailleerd plan om de complexere zaken beet te pakken. Nu je ervaring hebt opgedaan, kun je dit met meer inzicht oppakken. Advies: complexe zaken bespreken in de regio door middel van intervisie met collega s/experts.

82 Op weg naar Rome Praktisch, haalbaar en passend Een passende privacytool met alle vereiste registraties: o Register van verwerkingen (privacy-register) o Register van verwerkers met verwerkersovereenkomsten o Inzageverzoeken van burgers o Datalekkenregister o Slim gebruik gezamenlijke kennisdatabase Advies ibewustzijn: haak aan bij informatieveiligheid en start met meting op houding en gedrag voor privacy.

83 Privacytool Dank aan de klankbordgroep en pilotgroep Gert Hooijmaijers, gemeente Etten-Leur Richard Gillesen, BAR-organisatie Jelena Vovk, gemeente Brummen Dirk-Jan Muntendam, gemeente Opsterland Haykush Hakobyan, Aranea-ISM Paul Korremans, ex-voorzitter NGFG, docent privacy

84 Privacytool Een korte impressie

91 Leercirkel ESF-subsidiabel Nulmeting op houding en gedrag (mét infographic) ibewustzijnplan/advies (met intakegesprek) (Maatwerk) Workshops Bestuur en management (Maatwerk) Workshops Organisatie E-Learning ibewustzijn Kennistesten Monitoren met platform Evaluatie en (borgings)advies

92 Mét subsidie Waarom? Bevorderen van leercultuur en permanent leren Bijdrage 50% in de kosten tot ,-- Subsidie loopt tot openstelling tijdvak nog niet bekend 92

93 Aan de slag En toch maximaal rendement Basis Verdiepen Borgen Ga aan de slag met de leercirkel Stap in de subsidie wanneer deze voorhanden is Wij helpen u hierbij 93

94 Nog even dit: training in de regio Succesvol voorbeeld training 180 projectleiders verkiezingen Besparing op reistijd en reiskosten Speciale regio-prijs FG en/of CISO 5 dagen resp. 4 dagen Gastheer/vrouw: 2 e deelnemer gratis Mogelijkheid tot verdiepende workshops per thema Doel: leren, ontmoeten en intervisie in de regio Voorbeeld projectleider verkiezingen

95 Basis FG-training in de regio Kennis en interactie in de regio Diverse rollen: FG (Toezicht), Privacy officer, CISO 3 dagen techniek en organisatie 1 dag softskills FG/CISO 1 dag houding en gedrag organisatie Specifiek voor controlling: + optioneel 6 e dag toezicht voor de FG door Paul Korremans, trainer toezicht privacy VNG Paul Korremans Trainer privacyopleiding VNG, ex-voorzitter NGFG