Informatiebeveiliging gemeenten. KPN logische partner bij invoering en uitvoering



Vergelijkbare documenten
Uw tandartspraktijk. Een goudmijn voor internetcriminelen

Informatiebeveiligingsbeleid

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Dit betekent dat u op 25 mei 2018 wettelijk verplicht bent om ten minste aan de volgende zes AVGmaatregelen

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Aantoonbaar in control op informatiebeveiliging

Berry Kok. Navara Risk Advisory

Informatiebeveiligingsbeleid

Dienstverlening Procesmanagement. Informatiemanagement. 18 september 2014

ICT-ontwikkelingen. Gemeentelijke Informatievoorziening op weg naar de Smart city

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Gemeente Alphen aan den Rijn

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

Nieuwe Privacywetgeving per Wat betekent dit voor u?

Privacy is samenvattend te omschrijven als respect voor de persoonlijke levenssfeer van een individu.

Informatiebeveiliging voor overheidsorganisaties

Informatiebeveiligings- en privacybeleid (IBP) voor het SWV PPO Hoeksche Waard

Voorstel Informatiebeveiliging beleid Twente

ECIB/U Lbr. 15/079

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Motie Ondersteuning Standaardisatie Uitvoeringsprocessen. voor BALV 17 november 2014

ECIB/U Lbr. 17/010

SpotOnMedics B.V. Informatieveiligheid en uw praktijk. U bent zelf verantwoordelijk

Privacybeleid gemeente Wierden

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

: Privacy & informatiebeveiliging. Rob Stadt IT coördinator, DPO (FG) Koninklijk Nederlands Genootschap voor Fysiotherapie

ISMS BELEIDSVERKLARING. +31(0) Versie 1.0: 3/7/18

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

We helpen u security-incidenten te voorkomen

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG


Definitieve versie d.d. 24 mei Privacybeleid

Informatiebeveiliging gemeenten

Agenda 15:00 Nieuwe ontwikkelingen - Privacy wetgeving / AVG mei Wet cliëntenrechten zomer Revisie NEN 7510 najaar 2017

Voorwoord. Peter Truijens. directeur-bestuurder Samenwerkingsverband Passend Onderwijs IJmond

Veranderingen privacy wet- en regelgeving

Rekenkamercommissie Brummen

BABVI/U Lbr. 13/057

Hoe gaat GGZ-instelling Emergis om met informatie beveiliging en de Europese privacy verordening?

Informatie is overal: Heeft u er grip op?

RISICO S VAN ALLE INFORMATIE

De invoering van de Europese Algemene Verordening Gegevensbescherming (AVG) in 2018: checks & balances?

GDPR. een stand van zaken

Gebruikersdag Vialis Digitale Veiligheid

Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad

De Clercq Advocaten Notariaat

Privacy wetgeving: Wat verandert er in 2018?

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Factsheet SECURITY CONSULTANCY Managed Services

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

Anita van Nieuwenborg Teamleider IBD. Stand van zaken IBD Regiobijeenkomsten juni-juli 2015

Privacy en Security AVGewogen beleid 29 november 2017

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA Den Haag

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Raadsbesluit. Onderwerp: Nota Privacybeleid haarlem BBV nr: 2016/ Inleiding

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus EA Den Haag

COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

Timeline 2019 Een overzicht van de belangrijkste deadlines voor gemeenten op het gebied van security, audits en privacy.

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

IT Security Een keten is zo sterk als de zwakste schakel.

Datalekken (en privacy!)

Informatiebeveiligings- en privacy beleid Lorentz Casimir Lyceum

Fiscount ICT-Strategie en -Beveiliging

Agendapunt 7f van de vergadering van het Algemeen Bestuur van 18 december 2015.

Informatieveiligheidsbeleid

Informatiebeveiligingsbeleid extern

Factsheet SECURITY DESIGN Managed Services

RI&E Privacy Om organisaties te helpen heeft Sebyde een RI&E-Privacy ontwikkeld. Het is een modulair programma bestaande uit 5 duidelijke stappen:

Meldplicht datalekken. ehealth Best Practice Day Juliette Citteur 18 mei 2016

Privacy & online. 9iC9I

Informatiebeveiliging en Privacy; beleid CHD

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

INFORMATIEBEVEILIGING VOOR VERZEKERAARS. Better safe than sorry. vraag vandaag nog een Assessment aan. Think.Pink.

HOE OMGAAN MET DE MELDPLICHT DATALEKKEN?

Openheid versus Informatiebeveiliging. Klik om tekst toe te voegen Kaj Siekman, CISO, Utrecht

Privacyverklaring Rekenkamer Utrecht

Samenwerking en informatie-uitwisseling in de zorg

Managementsysteem voor Informatiebeveiliging Publiceerbaar Informatiebeveiligingsbeleid KW1C

GDPR-wetgeving & IT-bewustzijn. GDPR-wetgeving & IT-bewustzijn

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Handboek IBP. Overzicht-projectplan privacy SOML. Oktober Versienummer: 0.2

MedischOndernemen LIVE André van de Kasteele Oktober 2017 Veilig werken én aandacht voor de patiënt: het kan samen

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

Zet de stap naar certificering!

Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

Rapportage informatieveiligheid en privacy gemeente Delfzijl

AVG Routeplanner voor woningcorporaties

Meldplicht Datalekken Boetebevoegdheid toezichthouder Sebyde Privacy Impact Programma

A2 PROCEDURE MELDEN DATALEKKEN

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

Transcriptie:

Informatiebeveiliging gemeenten KPN logische partner bij invoering en uitvoering

2

Informatiebeveiliging is en blijft een hot issue, want de digitalisering neemt nog steeds toe. Ook binnen gemeenten. Sinds de decentralisaties in het sociale domein een feit zijn, is een integrale informatievoorziening tussen alle ketenpartners cruciaal. Daarmee is een betrouwbare, beschikbare en correcte informatie huishouding voor gemeenten nog essentiëler dan voorheen. De Baseline Informatiebeveiliging Gemeenten helpt daarbij. KPN is een logische partner bij de invoering en de uitvoering ervan. We leggen uit waarom. Gemeenten beheren van oudsher veel privacygevoelige informatie. Het gebruik ervan groeit door nieuwe samenwerkingen en ontwikkelingen zoals Digitaal 2017, de decentralisaties, en tijd- en plaatsonafhankelijk werken. De combinatie van beheren en gebruiken van gegevens vraagt om grote zorgvuldigheid. Alleen dan kunnen gemeenten goed functioneren en krijgen ze het vertrouwen van de burgers. Daarbij is toegankelijke en betrouwbare informatie essentieel voor behoorlijk bestuur. Toenemende wet- en regelgeving op het gebruik van (privacygevoelige) informatie maakt van informatiebeveiliging een strategisch onderwerp dat vraagt om een integrale visie. Centrale rol van gemeenten in het sociale domein (als gevolg van de decentralisaties) wat de informatieuitwisseling in de hele keten niet alleen doet groeien, maar ook veel complexer maakt. De nauwere samenwerking tussen de gemeente en andere overheidsorganisaties op het gebied van bedrijfsvoering en gemeentelijke processen. Dit vraagt om het toepassen van een strategie om risico s af te dekken. Deze ontwikkelingen maken gedegen informatiebeveiliging noodzakelijk. Organisaties die met persoonsgegevens of andere gevoelige databronnen omgaan, zijn zelf verantwoordelijk voor de bescherming daarvan. Trends De gevolgen voor de continuïteit van de bedrijfsvoering en het primaire proces zijn bijzonder ernstig als computers of telecommunicatiesystemen uitvallen. Daarnaast heeft het zware gevolgen als gegevens en bestanden op straat komen te liggen, en dat gezien kan worden als een datalek. De kans dat dit gebeurt groeit. We zetten de trends en ontwikkelingen op een rij: Toenemende wet- en regelgeving op het gebruik van informatie, met onder andere hoge boetes en persoonlijke aansprakelijkheid voor bestuurders. Groeiende cybercriminaliteit: vooral organisaties die over veel persoonsgegevens beschikken zoals gemeenten, zijn een gewild doelwit. Steeds meer gegevensuitwisseling via mobiele apparaten als gevolg van tijd- en plaatsonafhankelijk werken. 3

Kwetsbaarheid te lijf Gemeenten zijn kwetsbaar wat hun digitale dienstverlening betreft. Daarom hebben VNG en KING de Baseline Informatiebeveiliging Gemeenten (BIG) opgesteld. Doel: meer grip op de betrouwbaarheid van de informatievoorziening en borging van de informatieveiligheid. Met de BIG hebben bestuur en directie een instrument in handen waarmee zij kunnen meten of de organisatie de informatiebeveiliging op orde heeft. Gemeenten hebben zich gecommitteerd aan de invoering van deze baseline. Een complexe en omvangrijke operatie. KPN zit tot in de haarvaten van het digitale overheidsdomein. Wij beheren al jarenlang de kritische infrastructuur van gemeenten. Denk aan het Gemnet netwerk. We hebben een lange staat van dienst in het ondersteunen van klanten bij het ontwikkelen, implementeren en onderhouden van informatiebeveiligingsbeleid en de levering van een compleet scala aan diensten. Daarmee hebben we de kennis en ervaring in huis die nodig is bij de implementatie van de BIG. Maar ook bij het onderhoud : informatiebeveiliging is een continu proces. Onze uitgangspunten: lokale overheden helpen bij het voldoen aan verplichtingen en ervoor zorgen dat ze altijd en overal veilig kunnen (samen)werken en gegevens kunnen uitwisselen. Dit doen we vanuit onze kernwaarden: persoonlijk, eenvoud en vertrouwen. Wet- en regelgeving: de tijd dringt Bestands- en gegevenskoppelingen en verwerking van deze gegevens tussen gemeenten en andere partijen zorgen er onder meer voor dat informatieveiligheid en privacy belangrijker worden. In het verlengde hiervan werkt Brussel aan een Algemene Verordening Gegevensbescherming (AVG). Deze verordening omvat een hele set nieuwe regels rond privacybescherming. Organisaties die niet aan deze verordening voldoen, kunnen extreem hoge boetes krijgen. Strenge privacyregels dulden geen uitstel van vergaande informatiebeveiliging. Zo krijgen de Europese Privacy toezichthouders in Nederland is dat het College Bescherming Persoonsgegevens (CBP) de bevoegdheid om een boete op te leggen als organisaties de verordening overtreden. Je krijgt bijvoorbeeld een boete bij: het niet documenteren van de verwerkingen van persoonsgegevens; het niet voldoende beveiligen van persoonsgegevens; het niet voldoen aan verzoeken (van burgers) tot het beter afschermen van persoonsgegevens; het niet tijdig melden van datalekken. Na invoering van de verordening hebben organisaties nog twee jaar om veranderingen door te voeren. ver plichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens, kan het college straks ook een boete opleggen. Denk aan het niet goed beveiligen van gegevens. Nu is dat alleen nog bij overtreding van een administratief voorschrift. De boete is maximaal 810.000 of onder omstandigheden voor een rechtspersoon 10 procent van de jaaromzet. Het goed implementeren van de BIG kan voorkomen dat je een boete krijgt. Er is flink wat werk aan de winkel voor het college van burgemeester en wethouders. Het college is verantwoordelijk voor het informatiebeveiligingsbeleid binnen gemeenten en moet op basis van landelijke en Europese wet- en regelgeving hiermee aan de slag. Kortom: de tijd dringt, ook voor gemeenten! Visie van KPN op ontwikkelingen bij lokale overheden Lokale overheden staan voor enorme uitdagingen waarin ICT een belangrijke component vormt. Gemeenten hebben sinds 1 januari 2015 door de decentralisaties een centrale rol in het sociale domein. Ze zijn de spin in het web van burgers, zorgverleners en zorginstellingen, verzekeraars enzovoort. Cruciaal hierbij is veilige infor matie-uitwisseling in de hele keten. Geen eenvoudige opgave voor gemeenten ze hebben hierin de regie want de informatie-uitwisseling is met de decentralisaties in het sociale domein omvangrijker en complexer geworden. De Nederlandse overheid loopt wat betreft het melden van datalekken op de AVG vooruit met de wet Meldplicht datalekken en uitbreiding boetebevoegdheid CBP. Deze uitbreiding op de Wet bescherming persoonsgegevens betekent dat Nederlandse organisaties vanaf 1 januari 2016 datalekken moeten melden bij het CBP. Het CBP krijgt daarnaast een grotere bestuurlijke boetebevoegdheid. Bij schending van meer algemene Gemeenten voeren op dit moment grote veranderingen door in het sociale domein. Daar hebben gemeenteraad, bestuur en ambtenaren hun handen vol aan. 4

Het succes van de decentralisaties hangt onder andere nauw samen met goede informatiebeveiliging in de keten: een wezenlijke schakel die constant om aandacht vraagt en daarmee eigenlijk nooit af is. De BIG vormt een praktisch handvat om hier invulling aan te geven. Het loont om een ervaren partner bij de invoering ervan te betrekken die weet waar het over gaat, de gemeentelijke processen begrijpt en gemeenten makkelijk werk uit handen neemt en ontzorgt. KPN kent zowel de lokale overheid als de zorgsector goed. We werken voor gemeenten maar ook voor ziekenhuizen en jeugdzorginstellingen. KPN beheert het Gemnet netwerk, onder andere als onderdeel van het Diginetwerk; het toekomstbestendige overheidsnetwerk. Ook zijn we leverancier van specifieke dienstverlening voor de overheid. Denk aan de Digitale Deurmat CORV, berichtenverkeer op basis van Digikoppeling en Beveiligde E-mail binnen de zorgketen en de lokale overheid. Deze positie en ervaring geeft ons een grote voorsprong. Verderop gaan we nader in op onze positie binnen de lokale overheid. Samengevat omvat de visie van KPN de volgende punten: Veilige, afgeschermde infrastructuur en informatieuitwisseling zijn nodig om de continuïteit in het proces en de vertrouwelijkheid van gegevens te waarborgen. Gemeenten moeten in control zijn bij de privacybescherming van burgers. De organisatie van informatiebeveiliging vraagt om een ketenbrede benadering met eigen verantwoordelijkheid. Goede informatiebeveiliging is afhankelijk van mensen, ketenprocessen en technologie en vraagt om een integrale visie op security & privacy. Risicomanagement is een belangrijke voorwaarde voor informatiebeveiliging. 5

KPN dienstverlening in de BIG-bouwstenen De BIG bestaat uit een strategisch (beveiligingsbeleid) en een tactisch deel de normen en maatregelen. Om te kunnen voldoen aan de baseline, doorlopen gemeenten vijf fasen (zie figuur). KPN brengt zijn dienstverlening in deze fasen onder in drie blokken. GAP-analyse, impactanalyse, informatiebeveiligingsplan Gemeenten moeten de BIG risicogedreven invoeren. Maar elke gemeente is anders en zit in een andere fase. KPN kan gemeenten advies op maat geven wat de volgende onderdelen betreft: GAP- en impactanalyse, beleidsontwikkeling, het indelen van data in risicoklassen, risicoanalyse, opstellen van een risicoplan, procesherindeling. Centrale vraag in deze fase is: hoe krijgen gemeenten hun informatiebeveiliging naar een acceptabel niveau? Implementeren maatregelen Implementeren van (BIG-)maatregelen. KPN kan adviseren over de juiste fasering, maar ook concrete diensten leveren. Denk aan Beheerde Firewalls, Beveiligde E-mail, Pen-tests en Security & Compliance monitoring (SOC/SIEM). Bewaken en verantwoorden KPN kan niet alleen ondersteunen bij het opbouwen van kennis rond de BIG en het invoeren ervan, maar we kunnen gemeenten ook ondersteunen bij het vervolg. Het informatiebeveiligingsplan heeft immers een hogere doorloopsnelheid dan het strategische beleidsplan dat vaak voor vier jaar is vastgelegd. KPN kan een jaarlijkse analyse uitvoeren die duidelijk maakt waar u als gemeente staat en welke maatregelen nodig zijn om te voldoen aan alle eisen. Dit betekent dat wij samen met u kijken wat er is veranderd, het beveiligingsplan bijstellen, bijdragen aan bewustwording rond informatiebeveiliging en indien nodig maatregelen treffen. KPN en informatieveiligheid De historie van KPN gaat ver terug. In 1852 stonden we als staatsbedrijf aan de wieg van de nationale telegrafieverbindingen. We maakten een organische groei door en ruim 160 jaar later is KPN een cruciaal onderdeel van de vitale infrastructuur in Nederland. KPN heeft daarmee de maatschappelijke verantwoordelijkheid om constant veiligheid en kwaliteit te bieden. Dat zit in ons DNA. KPN wil samenwerken met gemeenten. Kennis delen is een noodzakelijke voorwaarde voor digitale veiligheid. Diensten van KPN KPN levert de volgende (vitale) diensten: 112-netwerk Noodnet Gemnet Berichtenuitwisseling op basis van Digikoppeling Suwi-mail, Beveiligde E-mail in het sociaal domein C2000, het landelijke communicatiesysteem voor de hulpverleningsdiensten E-zorg Toegang tot Diginetwerk PKIoverheid en eherkenning 6

Voldoen aan de baseline KPN Dienstverlening GAP analyse Impactanalyse Risicomanagement Centrale vraag: hoe krijgen gemeenten hun informatiebeveiliging naar een acceptabel niveau? Informatiebeveiligingsplan t.o.v. de BIG Implementeren maatregelen Advies Concrete diensten Bewaken en verantwoorden Jaarlijkse analyse Beveiligingsplan bijstellen Juist vanwege deze wezenlijke positie zit KPN geregeld aan tafel bij stakeholders. We ondersteunen de BIG en door het ondertekenen van het leveranciersaddendum een aanvulling op het bestaande KING-convenant heeft KPN zich geconformeerd aan de strikte veiligheidseisen. KPN KPN gaat graag aan de slag met en voor gemeenten. Binnen KPN werken mensen met gespecialiseerde kennis over informatiebeveiliging. Zij weten wat er leeft bij gemeenten. Onze consultants Lokale Overheid zijn op de hoogte van de ontwikkelingen in bijvoorbeeld het sociale domein en zij snappen welke politieke gevoeligheden er bestaan. Daarnaast hebben we IT-specialisten in dienst met relevante kennis voor gemeenten en bieden we een uitgebreid pallet aan beheerde informatiebeveiligingsoplossingen. en serviceprovider van ICT-, data- en telecommunicatiediensten hebben we vertrouwelijkheid, integriteit en beschikbaarheid hoog in het vaandel. Tot slot De wereld van lokale overheden verandert in snel tempo: van bezuinigingen en decentralisaties tot een groeiend takenpakket, van bewegen naar de cloud en standaardisatie tot Het Nieuwe Werken. Om steeds maximaal aan te sluiten bij de uitdagingen waar lokale overheden voor staan, investeren we in innovatie. Het Nieuwe Samenwerken, verbetering van dienstverlening aan burgers & bedrijven en digitale veiligheid. KPN weet wat er speelt en denkt mee. Door kennis en ervaring te combineren met technologie en slagkracht kunnen onze klanten rekenen op een toekomstvaste oplossing. Succesvol vernieuwen doen we samen. Hoe snel de ontwikkelingen ook gaan en wat de nieuwe manier van werken en leven ook wordt. Vertrouwelijkheid, integriteit en beschikbaarheid staan aan de basis van onze dienstverlening. Onze eigen informatiebeveiliging heeft voortdurend onze aandacht: KPN hanteert voor de beveiliging van zijn diensten, organisatie en infrastructuur de internationaal erkende standaard voor informatiebeveiliging ISO 27001 en ISO 27002 als richtlijn. We houden ons informatiebeveiligingsniveau hoog doordat we regelmatig in- en externe audits en controles laten uitvoeren. Als leverancier Contactgegevens KPN Lokale Overheid Maanplein 110 2516 CK Den Haag (+31) (0)70-343 69 00 info.lokaleoverheid@kpn.com www.kpn.com/lokaleoverheid 7

kpn.com/lokaleoverheid

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback