Binnen overheidsorganisaties is een bewuste omgang met de persoonsgegevens van burgers een vanzelfsprekendheid. “Richtlijnen vanuit de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de Algemene Verordening Gegevensbescherming (AVG) leggen daar nog eens extra de nadruk op”, stelt Kaj Siekman, Chief Information Security Officer bij de gemeente Utrecht. Hoe zet deze gemeente met circa 4000 medewerkers ‘security awareness’ over informatieveiligheid op de agenda?
Auteur: Ferry Waterkamp
Security awareness gaat over het ‘beveiligingsbewustzijn’onder medewerkers. “Privacy en security zijn belangrijke onderwerpen op de werkvloer”, zo stelt Siekman aan het begin van het gesprek in het gloednieuwe stadskantoor van de gemeente Utrecht. Dat blijkt volgens de CISO onder andere uit de vragen die er zowel vanuit de organisatie als van de raad komen over de beveiliging van persoonsgegevens, bijvoorbeeld bij het inrichten van processen en applicaties volgens de nieuwe privacywetgeving. De vraag is dan al snel: wanneer is de inrichting goed genoeg? Joost Heijn, Projectleider U-Flex IPM bij de gemeente Utrecht: “Het zijn professionals die zeer bewust omgaan met privacy en security.”
“Maar uiteraard vinden wij dat het altijd nog een stapje beter kan”, vervolgt Hans van Impelen, bij de gemeente Utrecht functionaris voor de gegevensbescherming (FG). “De AVG vereist dat je passende technische en organisatorische maatregelen neemt om je informatiehuishouding te beveiligen. Het continu en blijvend investeren in beveiligingsbewustzijn is zo’n maatregel. De Autoriteit Persoonsgegevens kan het een organisatie bij een datalek extra zwaar aanrekenen als er niet of onvoldoende is geïnvesteerd in security awareness. Dat weegt dan mee in de strafmaat.”
Privacy laten landen
“De AVG legt organisaties zware verplichtingen op. Wij zijn dan ook al vroegtijdig aan de slag gegaan met de voorbereidingen op de Europese privacyverordening”, aldus Siekman. Zo heeft de gemeente inmiddels de dataverzamelingen in kaart gebracht en vastgesteld met welk doel die data zijn verzameld. In de ‘Utrechtse privacyverordening’ is daarnaast bepaald dat ieder organisatieonderdeel binnen de gemeente een aanspreekpunt moet hebben voor privacy- en informatiebeveiliging. “Deze ‘decentrale security-officers’ (DISO’s) moeten ervoor zorgen dat de onderwerpen security en privacy binnen de gehele organisatie landen.”
“Iedereen moet weten wat gevoelige persoonsgegevens zijn en hoe je daarmee omgaat”, legt Heijn uit. “Hoe ga je bijvoorbeeld om met ip-adressen? Want dat zijn ook persoonsgegevens. En hoe breng je informatie veilig over van a naar b? Als de security awareness daarover toeneemt, groeit ook de vraag naar tooling voor een veilige bestandsoverdracht.” Om gevoelige data veilig te delen met externe partners nam de gemeente Utrecht ruim twee jaar geleden mSafe van Motiv in gebruik. “Dit is een goed en laagdrempelig alternatief voor bijvoorbeeld WeTransfer”, aldus Heijn. Inmiddels wordt mSafe binnen de gemeente Utrecht breder ingezet dan alleen voor de communicatie met externen.
Security-awarenessprogramma
Heijn is bij de gemeente Utrecht belast met het verder vormgeven van het security-awarenessprogramma ‘Bewust Informatie Gebruiken’ (BIG) dat zo’n drie jaar geleden in gang is gezet. Het programma bestaat onder andere uit meerdere activiteiten en een website met tips en trucks over een veilige omgang met persoonsgegevens, en een nieuwsbrief die ingaat op actuele onderwerpen. De projectleider gelooft daarbij in ludieke acties om aandacht te krijgen voor de onderwerpen privacy en security. “Denk aan het serveren van ‘preivacysoep’ of een ‘BIG Mac’ tijdens de lunch om met een woordgrap aandacht voor het onderwerp te vragen, of het ontwikkelen van een escaperoom op basis van informatie in een werkpleksetting. Uiteraard in combinatie met een inhoudelijke presentatie in de kantine over het onderwerp.”
Mystery guest
“In de zomer hebben we aandacht besteed aan security op vakantie”, vervolgt Heijn. “Wat zijn de risico’s als je op de camping gebruikmaakt van het gratis wifi? Als je daar de aandacht voor krijgt, dan is de vertaalslag naar de werkvloer weer eenvoudiger. Zeker als je de gegevens van burgers verwerkt, moet je daar integer mee omgaan en dus stilstaan bij informatieveiligheid.”
“Om de aandacht vast te houden, moet je vooral variatie aanbrengen in het programma”, vult Van Impelen aan. “Zo hebben we onlangs een mystery guest uitgenodigd om te kijken of die met medewerkers mee naar binnen kon lopen. Die persoon zat uiteindelijk met een cocktail aan onze bar. Dan gaan er wel ogen open. ‘Vreemden kunnen dus ook bij mijn spullen.’”
Biggetje
Volgens Heijn werpt het programma zijn vruchten af. “Voor het programma Bewust Informatie Gebruiken hebben we als logo een biggetje dat we in alle uitingen laten terugkomen. Het mooie is dat de medewerkers dit biggetje ook zijn gaan associëren met de onderwerpen privacy en security. Dat zegt wel iets over het effect van het programma.”
“We nemen ook regelmatig interviews af waarin we vragen stellen als ‘doe je je scherm op slot?’ en ‘gebruik je een pincode op je telefoon?’”, vervolgt Siekman. “Aan de hand van de antwoorden kun je ook vaststellen of je vooruitgang boekt. Ook zien we dat steeds meer partijen binnen de organisatie met privacy en security aan de slag gaan en ook cursussen volgen op het gebied van privacy en informatiebeveiliging.”
Voortdurende herhaling
“Het is wel belangrijk dat je aandacht blijft besteden aan privacy en security”, benadrukt Heijn. “Dat moet ook wel, want medewerkers komen en gaan. Het bevorderen van het beveiligingsbewustzijn is geen eenmalige actie, maar een voortdurende herhaling van allerlei acties. We kijken nu naar de mogelijkheid om de onderwerpen privacy en informatiebeveiliging deel te laten uitmaken van de introductiedag die nieuwe medewerkers doorlopen. Je laat niet alleen iets van de stad zien, maar geeft ook mee dat goede informatiebeveiliging de standaard is.” Siekman: “Een volgende stap is dat elke medewerker een cursus op het gebied van informatiebeveiliging volgt. Voor iedereen moet duidelijk zijn: als we iets doen, dan doen we het veilig.”
Grappig: gemeenten moeten de taalbeheersing van bijstandsgerechtigden bewaken. En dat zijn diezelfde gemeenten die communiceren met: Baseline, Chief Information Security Officer, security awareness, mystery guest…..
Maar dat kan natuurlijk ook in een gemeente waar niemand opkijkt als er een bar is waar kennelijk iemand zomaar cocktails kan gaan zitten drinken. Dan vindt niemand iets bezopen….