Informatiebeveiliging en privacy

De gemeente Turfbrug heeft het de afgelopen tijd flink voor haar kiezen gehad. Ze werd getroffen door een ransomwareaanval en moest een extra datalek rapporteren omdat een trainee gevoelige persoonsgegevens op een usb-stick had gezet. Turfbrug heeft hier van geleerd en haar informatiebeveiliging inmiddels op orde. De gemeente weet dat ze hierin moet blijven investeren. Hoe doet ze dat op een slimme manier? 

De ransomwareaanval trof de gemeente in het hart: alle IT ging op slot en het gemeentehuis moest zelfs dicht om alles opnieuw te installeren. Bestanden waar geen kopie van was gemaakt, gingen verloren. Het kostte de gemeente tijd en geld om te laten uitzoeken of er ook persoonsgegevens waren gestolen en uiteraard moest men het datalek melden bij de Autoriteit Persoonsgegevens. Net als het datalek dat werd veroorzaakt door trainee Ivan, die een bestand met gevoelige persoonsgegevens op een usb-stick had gezet.  
De gemeente was tijdens de incidenten al bezig om zich aan te sluiten bij het shared service center van een aantal omringende gemeenten, die samenwerken in hun informatievoorziening. Ze kon direct de expertise van het shared service center gebruiken en implementeerde met spoed de Baseline Informatiebeveiliging. Ook hield ze een bewustwordingscampagne onder alle medewerkers. De schrik zat er goed in door de ransomwareaanval, dus het was niet moeilijk om de boodschap bij iedereen tussen de oren te krijgen. 

Nu is het uiteraard zaak om dat bewustzijn vast te houden. Want je kunt je informatiebeveiliging nog zo goed op orde hebben: door menselijk handelen kun je alsnog kwetsbaar zijn. Gelukkig heeft Turfbrug hulp van de IBD, de collectieve voorziening voor alle gemeenten voor preventie, detectie, coördinatie en kennisdeling als het gaat om informatiebeveiliging. Turfbrug gebruikt de producten en diensten van de IBD om haar informatiebeveiliging op orde te houden. 

Met het op orde brengen van de informatieveiligheid kijkt Turfbrug ook naar privacy. Dat thema is des te belangrijker omdat Turfbrug graag meer zou doen met data. Ze is daar zelfs een bescheiden verkenning naar gestart, onder de naam ‘van turfstekers naar datastekers’. Hierin onderzoekt de gemeente ook de impact van de nieuwe privacyverordening, AVG. Ze is met het shared service centrum in overleg hoe ze de door de AVG verplichte rol van de Functionaris Gegevensbescherming het beste kunnen invullen. Dit zijn grote vraagstukken voor een kleine gemeente. Turfbrug nodigt andere gemeenten van harte uit om hier met haar over na te denken, samen met de IBD.

Bekijk de sessies over Informatiebeveiliging en privacy