• Home
  • blogs
  • Waarom een Privacy BIG nergens op slaat, toch?

Waarom een Privacy BIG nergens op slaat, toch?

Onlangs heeft PvdA-Kamerlid Astrid Oosenbrug Kamervragen gesteld over de kwetsbaarheid van gemeentelijke websites voor aanvallen van buitenaf. Of eigenlijk over de vraag of de beveiliging van persoonsgegevens bij gemeenten wel op orde is. Dit naar aanleiding van het datalek bij de gemeente Ede, waarbij hackers toegang kregen tot persoonsgegevens van duizenden inwoners. En het is niet de eerste keer dat dit in gemeenteland gebeurt.

Eerder dit jaar stelde Oosenbrug ook Kamervragen, dit keer naar aanleiding van een onderzoek van RTL Nieuws. Hierin werd duidelijk dat 33 van de 175 onderzochte gemeentelijke websites kwetsbaar zijn voor aanvallen. Daarnaast bleek toen dat via 16 gemeentelijke websites (persoons)gegevens worden verstuurd zonder beveiligde verbinding (HTTPS). Hierdoor kunnen kwaadwillenden met weinig technische kennis heel eenvoudig persoonlijke gegevens achterhalen.

De oplossing: nog een BIG?

Van Oosenbrug stelt dat gemeenten niet alleen de verantwoordelijkheid kunnen dragen voor de beveiliging van persoonsgegevens. Volgens haar zou deze taak deels bij het Rijk moeten liggen. Momenteel wordt er al gekeken naar één centraal platform, waar alle gemeenten zich op kunnen aansluiten. Zo is niet elke gemeente afzonderlijk verantwoordelijk voor de veiligheid, kwaliteit en het beheer van een website, maar wordt dit vanuit één centraal punt, namelijk het Rijk, geregeld.

Daarnaast pleit Oosenbrug ook voor een Privacy BIG, die alle gemeenten, net als de huidige BIG, moeten implementeren om zo de privacy van burgers te kunnen waarborgen. Maar slaat zij hiermee niet volledig de plank mis? Want wat verstaat Oosenbrug onder een ‘Privacy BIG’? En bedoelt zij hier niet gewoon een Privacy Baseline mee, zoals het CIP deze onlangs heeft opgesteld? BIG staat immers voor Baseline Informatiebeveiliging Nederlandse Gemeenten. Een privacy BIG wordt dan een Privacy Baseline Informatiebeveiliging Nederlandse Gemeenten. Een beetje dubbelop, vind je niet?

Informatiebeveiliging ≠ privacy

Oosenbrug gebruikt twee de twee begrippen door elkaar. Naast informatiebeveiliging is het onderwerp privacy inderdaad hoog op het prioriteitenlijstje van gemeenten komen te staan. Dit komt onder andere door de decentralisaties, de invoering van de Meldplicht Datalekken dit jaar en de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van kracht gaat. En niet alleen in juridische zin heeft dit prioriteit; deze veranderingen vragen ook om bestuurlijke aandacht. Je hebt als gemeente namelijk een maatschappelijke verantwoordelijkheid, je wilt imagoschade voorkomen en je dient maatregelen te nemen om informatiebeveiliging en privacy duurzaam te borgen in je organisatie en processen. Hierover dien je je te kunnen verantwoorden en, nog belangrijker, aan te tonen dat je compliant bent. Hierbij ligt in de praktijk vooral nadruk op dat laatste. Maar hebben we daar dan echt een Privacy BIG voor nodig? Het antwoord is mijn inziens: nee.

Informatiebeveiliging en privacy

Informatiebeveiliging en privacy overlappen weliswaar en worden in de praktijk vaak als één gezien en dit zorgt nog wel eens voor verwarring. Zo denken sommigen gemeenten dat als je aan de BIG voldoet, je voor 90% voldoet aan de privacywetgeving. Dit is uiteraard niet het geval. Informatiebeveiliging en privacy zijn namelijk echt twee verschillende aandachtsgebieden. Informatiebeveiliging kan zonder privacy, maar privacy kan niet zonder informatiebeveiliging.

Informatiebeveiliging is een manier om cyberrisico’s te verminderen en informatieveiligheid te verhogen, dit kan door het nemen van administratieve, technische en ‘fysieke’ maatregelen. In relatie tot privacy gaat het binnen informatiebeveiliging meer om de ‘hoe-vraag’. Privacy daarentegen gaat over de bescherming van de persoonlijke levenssfeer. Om de privacy van burgers te kunnen waarborgen moet je als gemeente voldoen aan de regelgeving omtrent privacy, zoals beschreven in artikel 10 t/m 13 van de Wet Bescherming Persoonsgegevens (WBP ) en vanaf mei 2018 in artikel 32 van de AVG. In relatie tot informatiebeveiliging gaat het binnen privacy meer om de ‘wat-  en waarom-vraag’. Informatiebeveiliging maakt dus onderdeel uit van privacy, maar is niet hetzelfde!

We zijn er nog niet..

Kortom, met het invoeren van de BIG alleen, zijn we er dus nog niet. Je hebt dan wel je informatiebeveiliging op orde, maar dit biedt nog geen garantie dat je voldoet aan de privacywetgeving of dat je als gemeente Wbp en/of AVG-proof bent. Belangrijk dus om goed te kijken naar hoe informatiebeveiliging en privacy zich tot elkaar verhouden.

Het bijzondere is dat we binnen gemeenten tot nu toe vooral aandacht aan informatiebeveiliging hebben gegeven. Hoe komt dat eigenlijk? Dit heeft te maken met het aantal incidenten dat zich de afgelopen jaren op informatiebeveiligingsvlak heeft afgespeeld. Denk bijvoorbeeld aan DigiNotar. Doordat we nu veel datalekken zien en mede door de komst van de AVG, die hogere eisen stelt dan de Wbp, is deze focus langzaam aan het verschuiven naar het onderwerp privacy. Iets wat we ook terug zien in de dienstverlening rondom deze onderwerpen.

Door de hierboven geschetste praktijk zijn er veel adviseurs op het gebied van informatiebeveiliging die zich momenteel specialiseren in privacy. Daar is niets mis mee, maar we moeten niet uit het oog verliezen dat het twee verschillende specialismen zijn die we in praktijk wel goed moeten kunnen onderscheiden.

Wat kun je wel doen?

Om gemeenten op weg te helpen heeft het Centrum Informatiebeveiliging en Privacybescherming (CIP) de Privacy Baseline ontwikkeld, een praktische handreiking met normen voor privacy management die helpen om concreet invulling te geven aan verantwoord handelen. Mijn tip: maak hier vooral gebruik van! Uiteraard kun je daarnaast met al je vragen over zowel informatiebeveiliging als privacy ook bij ons terecht.

Heb jij binnen jouw gemeente al eens naar deze CIP baseline gekeken?

Privacy: bekeken door twee brillen

Copyright © 2014-2019 IB&P B.V. - Privacy Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring. Ook handig: de sitemap