Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP)

Het Centrum voor Informatiebeveiliging en Privacybescherming (CIP) publiceert documentatie over de praktische uitwerking van de Wet bescherming persoonsgegevens (Wbp) in organisaties

“Iedereen weet wat hij moet doen op privacygebied”

Overheden bieden hun diensten steeds vaker digitaal aan. Handig, maar het legt ook steeds meer druk bij overheidsinstanties om verantwoord en veilig om te gaan met de informatie die ze verwerken, waaronder veel persoonsgegevens. Overheidsorganisaties met vragen over informatieveiligheid kunnen te rade gaan bij het Centrum voor Informatiebeveiliging en Privacybescherming, kortweg CIP. Tijdschrift Privacy nam een kijkje in Amsterdam en sprak met vier hoofdrolspelers binnen het CIP.

                                                                                                                              Tekst en fotografie: René Schellingerhout

CIPWat hebben de gemeente Kerkrade, Stichting Nederlands Fonds voor Podiumkunsten, de Nederlandse Zorgautoriteit en IT-bedrijf Capgemini met elkaar gemeen? Ze zijn samen met nog tientallen andere organisaties, instellingen en bedrijven verbonden aan het CIP, de publiekprivate netwerkorganisatie die kennis en oplossingen op het gebied van informatieveiligheid deelt en toegankelijk maakt voor overheidsorganisaties. Het CIP is in 2012 opgericht door de Belastingdienst, de Dienst Uitvoering Onderwijs (DUO), de Sociale Verzekeringsbank (SVB) en het Uitvoeringsinstituut Werknemersverzekeringen (UWV). “Er was bij deze organisaties behoefte aan het delen en ontsluiten van kennis op het gebied van informatieveiligheid”, zegt CIP-directeur Ad Reuijl. “We hanteren overigens vaak de term informatieveiligheid in plaats van informatiebeveiliging. Veel mensen associëren informatiebeveiliging uitsluitend met ICT. Het begrip informatieveiligheid heeft een bredere connotatie. Daar kun je bijvoorbeeld ook privacybescherming onder scharen.”

Domeingroepen
Sinds de oprichting neemt het aantal overheidsorganisaties en private partijen dat zich aansluit bij het CIP gestaag toe. Op de groeiende lijst zijn ministeries, gemeenten, provincies te vinden, maar ook veel uitvoeringsinstanties van de rijksoverheid, veelal grotere zorg- en onderwijsinstellingen en IT- en consultancybedrijven.  Het CIP werkt met domeingroepen; gremia waarin vertegenwoordigers van de CIP-organisaties rond een thema met elkaar samenwerken. De vijf domeingroepen zijn Privacy, Awareness, Ketens, Governance & Normatiek en Identiteitsfraude. Voormalig hoofd informatiebeveiliging bij het CWI, Ruud de Bruijn, is adviseur Informatiebeveiliging bij het CIP. “We zien graag dat de deelnemers in de domeingroepen zich als ambassadeur opstellen richting hun organisatie en branche. In de domeingroepen zoeken we ook een draagvlak voor onze publicaties die we op onze site plaatsen. Het zou mooi zijn als ze die publicaties verder uitdragen.” Een van die CIP-publicaties gaat over de wet meldplicht datalekken die op 1 januari 2016 in werking treedt. “Binnenkort publiceren we een tweede versie van het document meldplicht datalekken. We kondigen daarbij alvast aan dat we een aanvulling zullen publiceren wanneer de Algemene Verordening Gegevensbescherming in de loop van 2016 van kracht wordt. We reageren dus op lopende ontwikkelingen en onze uitgaven groeien daarin mee”, zegt De Bruijn, die onder andere zitting heeft in de domeingroep Privacy. “Dit document plaatsen we op de publiek toegankelijke website van het CIP. We schrijven niet voor wie wat mag gebruiken. Onze informatie is vrij toegankelijk voor alle organisaties die er wat mee willen doen.”

“We schrijven niet voor wie wat mag gebruiken”

Het CIP werkt daarnaast aan een document waarin de praktische toepassing van de Wet bescherming persoonsgegevens (Wbp) in organisaties gedetailleerd is uitgewerkt. ‘De Privacy Baseline’ met als ondertitel ‘de Wbp ontrafeld voor toepassing in organisaties’ is onderdeel van de serie ‘Grip op Privacy’ en verschijnt eind 2015 op de website. Marcel Koers, Enterprise Architect bij het CIP en juriste Angélique van Oortmarssen schreven samen met anderen mee aan het document. Koers: “Er staat heel duidelijk in welke maatregelen je waar in je organisatie moet nemen om aan de Wbp te voldoen. Vervolgens geven we aan hoe je dat doet en wat daar allemaal bij komt kijken. Kijk, privacyregelgeving is voor organisaties vaak moeilijk te doorgronden. Daarvoor heb je juristen nodig. We maken in de baseline een vertaalslag en halen privacy uit het juridische domein. We leggen de wetten die erin staan uit. Maar het bijzondere van de baseline is dat iedereen weet wat hij moet doen, van het topmanagement tot en met de werkvloer.” Van Oortmarssen vult aan: “We hebben in de baseline een beschrijving gemaakt op drie niveaus. We beschrijven wat je op beleidsniveau moet regelen, wat op uitvoerend niveau en wat op het niveau van control en beheer. Het is ook zo geformuleerd dat alle echelons in de organisatie zich aangesproken voelen. Iedereen begrijpt zo wat er moet gebeuren.”

“In de Privacy Baseline staat welke maatregelen je waar in je organisatie moet nemen om aan de Wbp te voldoen”

Awareness
Het CIP is een van de partners in de campagne Alert Online, een gezamenlijk initiatief van bedrijfsleven, overheid en wetenschap om de kennis van en awareness over online veiligheid te vergroten. Hoe staat het met die awareness bij overheidsorganisaties? “Bij de overheid is het toverwoord gevallen, en dat woord is ‘boete”, vertelt De Bruijn. Koers: “Awareness gaat iedereen in een organisatie aan. Als je het serieus neemt, moet je je medewerkers ook handvatten geven. Dus niet alleen propageren dat je aan privacy doet, maar je medewerkers ook vertellen hoe je dat doet. Dat is wat wij met het CIP wel proberen te realiseren. We noemen in de baseline een aantal mogelijke awarenessproblemen en vertellen er ook meteen bij wat de oplossingen zijn.” Volgens de Bruijn is betrokkenheid van het topmanagement onontbeerlijk om iedereen in een organisatie te doordringen van het belang van privacyawareness. “Het topmanagement heeft een voorbeeldfunctie. Zij moet het belang ervan actief uitdragen, ook door middelen beschikbaar te stellen. Maar dat besef van informatieveiligheid moet ook aanwezig zijn bij de partijen met wie je contracten afsluit als softwareontwikkelaars en -leveranciers.”

Om de privacyawareness te bevorderen, heeft de domeingroep Awareness van het CIP een aantal hulpmiddelen online gezet. “Op de site vind je een zestal eenvoudige e-learningmodules die zijn te downloaden”, vertelt Reuijl. “En we plaatsen CIPcasts op onze site. Dat zijn korte filmpjes die we elke twee weken vernieuwen. Het blijkt in de praktijk lastig om medewerkers aan te sporen om ook echt wat met privacy te gaan doen. Het kost tijd en privacy zit niet in de genen van mensen. Met die korte filmpjes geven we ze in elk geval wat kennis mee.” De Bruijn vertelt dat CIP bezig is met nog een project voor het vergroten van de awareness. “Met dit project, ‘Grip op informatieveilig gedrag’, geven we aan hoe je op systematische wijze verschillende interventies kunt plegen op het gebied van awareness. We gaan daarin in op vragen als wat zijn de veiligheidsrisico’s en –gedrag in je organisatie? Wat is per functiegroep gewenst gedrag? Welke interventies zijn nodig om dit gewenst gedrag te bereiken? We weten bijvoorbeeld dat je een awarenesscampagne niet generiek in je organisatie moet uitvoeren, maar moet richten op verschillende functiegroepen, zoals juristen of ICT’ers. Als je je campagne specifiek toespitst op functiegroepen, sorteert dit veel meer effect.”

Juristenfeestje
Aan de Privacy Baseline schrijven specialisten mee met verschillende achtergronden. Een bewuste keuze, zegt juriste Van Oortmarssen. “Juridische kennis binnen organisaties is vaak uitsluitend geconcentreerd bij juristen. Daardoor is privacy vaak het feestje van juristen, terwijl ook op technisch en organisatorisch niveau privacyvraagstukken heel belangrijk zijn. Met de Privacy Baseline maken we de vertaalslag naar alle disciplines. Er staat op functieniveau precies in wat iedereen moet doen op privacygebied.” Ze heeft de indruk dat veel organisaties nog niet goed uit de voeten kunnen met de wetgeving rondom privacy. “Ze worstelen met de vraag hoe ze de verschillende normen uit de Wet bescherming persoonsgegevens goed moeten uitvoeren. Die normen, zoals doelbinding en datamaximalisatie,  staan straks ook in de Algemene Verordening Gegevensbescherming. De AVG is alleen wat strenger dan de Wbp. Daarom is het van belang om in je organisatie aandacht te besteden aan privacybewustwording.” Met alleen een Privacy Impact Assessment (PIA) ben je er niet, betoogt Van Oortmarssen. “Veel bedrijven denken dat het dat het wel goed zit met je privacybeleid als je een PIA hebt gedaan. Maar een PIA gaat over risicobeheersing en de Wbp vraagt veel meer dan dat. De PIA is een beoordeling en als dat oordeel negatief uitvalt, weet je nog niet welke maatregelen je moet nemen om het wel goed te doen. In de baseline brengen we in kaart wat je dan moet doen.”

“Met alleen een Privacy Impact Assessment ben je er niet”

Met de Privacy Baseline slaagt CIP er volgens Koers in de verbinding te leggen tussen juridische, technische en organisatorische disciplines in een organisatie. “Onze volgende document gaat over privacy by design. Dat gaat in op de vraag hoe je de uitvoering zoals die in de baseline is omschreven, implementeert in je informatiesystemen. Dat kunnen je ICT-systemen zijn, maar bijvoorbeeld ook de procedures in je organisatie. De volgende stap is privacy-governance, waarbij je nagaat of het in de uitvoering werkt zoals het hoort. Tot slot voer je daar nog een keer een controle op uit. We zetten dus op papier wat je aan beleid en controle moet doen om je privacy aantoonbaar op orde te hebben. Hiervoor publiceren we straks twee handleidingen ter ondersteuning van die implementatie.” De Bruijn: “Soms verloopt dat voorspoedig. Ons document over de implementatie van Secure Software Development, SSD, is door commerciële partijen overgenomen. Dat loopt goed en we hopen dat dit met de privacy baseline en de twee handleidingen straks ook gaat gebeuren.”

 

Aanbevelingen CIP

  • Onderken het belang van privacymanagement in je organisatie. Met een goed privacymanagement kun je als organisatie aantonen dat je er alles aan hebt gedaan om bijvoorbeeld een datalek te voorkomen. Maar ook dat je de organisatie hebt voorbereid om in te grijpen en op tijd te melden als er desondanks iets fout gaat.
  • Leg als Raad van Bestuur uit waarom privacybeleid en –maatregelen zo van belang zijn. Zij moet daarvoor binnen redelijke grenzen middelen (geld, mensen, kennis) ter beschikking stellen.
  • Vervul als verantwoordelijke voor de privacy in je organisatie de rol van actief meedenkende facilitator in plaats van de controleur die toeziet vanaf de zijlijn.
  • Gebruik de Privacy Baseline die eind 2015 verschijnt op http://www.cip-overheid.nl/