Wetsvoorstel melding datalekken aangenomen door Eerste Kamer

Den Haag, 10 februari 2015 – het op 17 juni 2013 ingediende wetsvoorstel ‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp’ is vandaag door de Eerste Kamer met algemene stemmen aangenomen.

Het wetsvoorstel voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp.

Deze samenvatting is gebaseerd op het wetsvoorstel en de memorie van toelichting zoals ingediend bij de Tweede Kamer.

Gemeente Edam-Volendam over het DigiD assessment

“Na een eerste, negatieve, ervaring met een auditkantoor in 2013, is de gemeente Edam-Volendam op zoek gegaan naar een ander bureau. We zijn toen via een andere gemeente in contact gekomen met Duijnborgh Audit. Na een eerste gesprek hebben we de opdracht aan Duijnborgh gegund. We hebben daar geen spijt van. Duijnborgh denkt prima met ons mee. We worden streng maar rechtvaardig beoordeeld en de auditor weet waar hij het over heeft. Dat vertaalt zich in waardevolle adviezen ter verbetering, waarmee we echt iets kunnen. Op deze manier ziet onze gemeente ook echt het nut in van dit assessment. Elke keer de lat iets hoger, want het kan vanzelfsprekend altijd nog beter.”

Remco Rekoert, informatiebeveiligingsfunctionaris gemeente Edam-Volendam

Gemeenten zijn geen goede databeveiligers

Den Haag – 18-08-’14; NRC heeft bij 50 gemeenten onderzocht in hoeverre zij klaar zijn voor de decentralisatie van zorgtaken.

Gemeenten worden vanaf 1 januari 2015 verantwoordelijk voor de zorg aan burgers. Denk aan ouders met een probleemkind, een chronisch gehandicapte die een aangepast bed nodig heeft of een bejaarde die thuiszorg wil. Ze doen dit in wijkteams, die ‘dichtbij de burger’ zorg leveren of doorverwijzen naar specialisten. Deze teams krijgen onder meer persoonsgegevens, medische dossiers, details over schulden, relatieproblemen en huiselijk geweld. Gemeenten moeten deze informatie opslaan en verwerken.

Risico is dat gevoelige informatie over ziekte, schulden of psychiatrische achtergrond te makkelijk wordt gedeeld in vergaderingen van de wijkteams. Maar het kan ook anders misgaan: een ambtenaar die als enige in de gemeente toestemming heeft om in computersystemen naar privacygevoelige informatie van burgers te zoeken, maar die zijn uitgeprinte dossiers vervolgens bij de printer laat rondslingeren. Ambtenaren die passwords op een post-it schrijven en die naast hun scherm plakken. Hoe dan ook komen stads- of dorpsgenoten meer over elkaar te weten dan voorheen. Uit onderzoek van de NRC bleek dat veel gemeenten nog onvoldoende zijn voorbereid op dat gevaar.

Bron: NRC Handelsblad,16 en 18 augustus 2014
Lees de complete artikelen hier: artikel NRC 16 augustus 2014 en artikel NRC 18 augustus 2014

Gemeenten laks met beveiliging Suwinet

Den Haag, 11 november 2013: Inspectie SZW stelt vast dat de beveiliging van Suwinet door gemeenten niet op orde is

Bij het onderzoek van de inspectie SZW is vastgesteld dat mMaar 4 procent van de gemeenten voor het opvragen van persoonsgegevens via Suwinet voldoende beveiligingsmaatregelen heeft getroffen. 13 procent van de gemeenten voldoet aan geen enkele van de onderzochte normen voor informatiebeveiliging. Dit concludeert de Inspectie SZW in haar rapport ‘De burger bediend in 2013/Veilig gebruik Suwinet’ over informatiebeveiliging bij gemeenten. Staatssecretaris Klijnsma van Sociale Zaken en Werkgelegenheid zegt geschokt te zijn en heeft een aantal maatregelen aangekondigd.

Gemeenten, het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet. Het gaat daarbij onder meer om inkomsten, uitkeringsgegevens, autobezit en diplomagegevens en examenresultaten. In het rapport oordeelt de Inspectie SZW van het ministerie van Sociale Zaken en Werkgelegenheid dat de beveiliging van Suwinet door gemeenten ondanks diverse inspanningen nog steeds onder de maat is; het gebrek aan beveiliging van persoonsgegevens bij het gebruik van Suwinet-Inkijk acht de Inspectie bovendien zorgwekkend. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld. Ongeveer 80 procent van de gegevens wordt bekeken in Suwinet-Inkijk.

Geen goede reden
De Inspectie heeft de zeven belangrijkste door gemeenten te treffen maatregelen onderzocht, die moeten voorkomen dat persoonsgegevens van burgers worden geraadpleegd zonder dat daarvoor een goede reden is. Deze maatregelen gaan over het beveiligingsbeleid, de organisatie van de beveiliging en het controleren van door medewerkers opgevraagde persoonsgegevens. Maar 4 procent van de gemeenten voldoet aan alle zeven normen en 13 procent van de gemeenten voldoet aan geen enkele norm. In totaal voldoet 76 procent van de gemeenten aan drie of minder normen.

Een duidelijk signaal is dat de Inspectie tijdens het onderzoek geconstateerd heeft dat dertien van de tachtig onderzochte gemeenten (= 18 procent) in 2012 gegevens van bekende Nederlanders hebben geraadpleegd, zonder dat hiervoor een goede reden is gegeven. De inspectie hanteerde voor deze controle een beperkte lijst met honderd willekeurig geselecteerde bekende Nederlanders. In werkelijkheid zijn er enkele duizenden bekende Nederlanders van wie gegevens via Suwinet kunnen worden geraadpleegd.

Maatregelen
Staatssecretaris Klijnsma van SZW noemt de conclusies van de Inspectie zeer ernstig. ‘Het is onacceptabel dat de informatiebeveiliging rond de gegevensuitwisseling via Suwinet zo slecht op orde is. Ik vind dat gemeenten dit met de hoogste prioriteit moeten aanpakken. Net zoals bankmedewerkers niet zomaar rekeninggegevens van klanten mogen bekijken moet voor gemeenteambtenaren hetzelfde gelden. Het is onacceptabel dat er zonder noodzakelijke reden persoonlijke gegevens van mensen worden bekeken.’

De bewindsvrouw heeft inmiddels met de Vereniging Nederlandse Gemeenten (VNG) afgesproken dat snel wordt toegewerkt naar een zorgvuldig gebruik van via Suwinet uitgewisselde gegevens. Daarnaast heeft zij de volgende maatregelen genomen:

1. het College Bescherming Persoonsgegevens (CBP) is geïnformeerd over de resultaten van het inspectie-onderzoek. Het CBP heeft de mogelijkheid om gemeenten die niet voldoen aan de eisen van de WBP (Wet bescherming persoonsgegevens) een dwangsom op te leggen.

2. het laten uitzoeken of een tijdelijke sluiting van het leveren van gegevens aan gemeenten via Suwinet mogelijk is. Dit als passende maatregel om een zorgvuldig gegevensgebruik af te dwingen.

3. het maken van verdere afspraken met de VNG om een verantwoording over de informatiebeveiliging bij gemeenten wettelijk te verankeren. Inwoners moeten er op kunnen vertrouwen dat gemeenten de aan hen toevertrouwde gegevens zorgvuldig verwerken, aldus Klijnsma. Zij roept daarnaast gemeenteraden op hun colleges te controleren of de informatiebeveiliging ook daadwerkelijk op orde is.

4. het aan gemeenten vragen om heel snel alle benodigde stappen te zetten. Om gemeenten onder druk te zetten zal de Inspectie SZW in de eerste helft van 2015 onderzoeken of de informatiebeveiliging daadwerkelijk structureel is verbeterd.

Bron: https://www.computable.nl/artikel/nieuws/overheid/4923564/1277202/gemeenten-zijn-laks-met-beveiliging-suwinet.html#ixzz2kP7lUNgu

Lees hier meer over de diensten van Duijnborgh Audit m.b.t. Suwinet.

Gemeente Vlaardingen rondt als eerste DigiD assessment af

Vlaardingen, 18 juli 2013 – Duijnborgh Audit heeft het ICT-beveiligingsassessment bij de gemeente Vlaardingen afgerond. Op 18 juli werd de TPM door Jeroen Meulendijks van Duijnborgh Audit overhandigd aan Jeroen van der Vlies, CSO van de gemeente Vlaardingen. CISO van Vlaardingen.

Jeroen van der Vlies: “Dankzij het stappenplan van King en de optimale inzet van alle collega’s, onze leverancier en onze bekwame auditpartij zijn we in staat geweest om dit traject succesvol te doorlopen. Vlaardingen is één van de gemeenten die haar applicatie zelf in beheer heeft. Dat houdt in dat gemeente Vlaardingen ook een geslaagde penetratietest heeft laten uitvoeren. Middels de geslaagde penetratietest konden we besparen op de externe TPM-kosten van de leverancier.

Vlaardingen heeft de TPM inmiddels opgestuurd naar Logius.

Lees ook het nieuwsbericht op de website van KING: https://new.kinggemeenten.nl/informatiebeveiligingibd/nieuws/digid-gemeente-vlaardingen-rondt-als-eerste-ict

Tog Nederland geslaagd voor DigiD assessment

Veenendaal, 15 mei 2013 – Tog Nederland heeft als eerste leverancier met positief resultaat het ICT-beveiligingsassessment DigiD afgerond.

Duijnborgh Audit heeft op 15 mei aan de directie van Tog Nederland de Third Party Mededeling (TPM) overhandigd van de audit die is uitgevoerd in het kader van het DigiD beveiligingsassessment.

Tog Nederland toont hiermee als eerste leverancier aan dat haar webapplicatie, het WOZ-portaal, voldoet aan de eisen die Logius namens het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft opgesteld voor webapplicaties die een koppeling hebben met DigiD.

Het WOZ-Portaal is een webapplicatie die wordt gebruikt bij ruim 90 gemeenten in Nederland. Het WOZ-Portaal stelt de burger in staat zijn WOZ-gegevens te raadplegen. Vanwege de privacygevoelige informatie uitwisseling wordt vanzelfsprekend gebruik gemaakt van DigiD-authenticatie.

 

 

Over Tog Nederland: Tog Nederland is een landelijk taxatie-detachering- en adviesbureau opererend vanuit vier regionale vestigingen (Meppel, Rotterdam, Sint-Oedenrode en Veenendaal). Lees meer over Tog Nederland op:https://www.tognederland.nl

Tog Nederland geslaagd voor DigiD assessment

Veenendaal, 15 mei 2013 – Tog Nederland heeft als eerste leverancier met positief resultaat het ICT-beveiligingsassessment DigiD afgerond.

Duijnborgh Audit heeft op 15 mei aan de directie van Tog Nederland de Third Party Mededeling (TPM) overhandigd van de audit die is uitgevoerd in het kader van het DigiD beveiligingsassessment.

Tog Nederland toont hiermee als eerste leverancier aan dat haar webapplicatie, het WOZ-portaal, voldoet aan de eisen die Logius namens het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft opgesteld voor webapplicaties die een koppeling hebben met DigiD.

Het WOZ-Portaal is een webapplicatie die wordt gebruikt bij ruim 90 gemeenten in Nederland. Het WOZ-Portaal stelt de burger in staat zijn WOZ-gegevens te raadplegen. Vanwege de privacygevoelige informatie uitwisseling wordt vanzelfsprekend gebruik gemaakt van DigiD-authenticatie.

Lees ook het nieuwsbericht op de site van KING: https://new.kinggemeenten.nl/informatiebeveiligingibd/nieuws/digid-eerste-tpm-voor-ict-beveiligingsassessment-digid-gereed

 

Over Tog Nederland: Tog Nederland is een landelijk taxatie-detachering- en adviesbureau opererend vanuit vier regionale vestigingen (Meppel, Rotterdam, Sint-Oedenrode en Veenendaal). Lees meer over Tog Nederland op:https://www.tognederland.nl

Positief resultaat Kwaliteitsonderzoek NOREA

Nieuwegein, 15 februari 2013 – Duijnborgh Audit heeft als 1e IT-auditorganisatie het kwaliteitsonderzoek van de NOREA met positief resultaat afgesloten.

In 2012 heeft de NOREA besloten tot een kwaliteitsverhogende maatregel: de aangesloten leden zullen in het vervolg periodiek worden onderworpen aan een kwaliteitsonderzoek. Daartoe heeft de NOREA op basis van het Reglement Kwaliteitsbeheersing NOREA (RKBN) het reglement Kwalitewitsonderzoek NOREA (RKO) opgesteld. Het kwaliteitsonderzoek levert een belangrijke opbouwende bijdrage aan het eerste en belangrijkste doel van NOREA: de bevordering van de kwaliteit van de beroepsuitoefening. Dergelijke onderzoeken vinden al langer plaats bij aangesloten organisaties van de NBA, de IAA en de RvA.

In december 2012 heeft de Commissie Kwaliteitsonderzoek voor het eerste kwaliteitsonderzoek vanuit de NOREA een bezoek gebracht aan het kantoor van Duijnborgh Audit. Het onderzoeksteam bestond uit de heren dr. ir. A.J. van Dijk RE EMITA en E.L. Verhaaf RE MSc BA RO. Omdat dit het eerste CKO onderzoek betrof, was ook de heer H. de Zwart RE RA RO als lid van het College Kwaliteitsonderzoek aanwezig.

De conclusie van het onderzoek was dat het kwaliteitssysteem van Duijnborgh Audit b.v. in alle opzichten voldeed aan de eisen die NOREA stelt aan kwaliteitsbeheersing.

Kwaliteitsonderzoek NOREA

Nieuwegein, 15 februari 2013 – Duijnborgh Audit heeft als 1e IT-auditorganisatie het kwaliteitsonderzoek van de NOREA afgerond.

In 2012 heeft de NOREA besloten tot een kwaliteitsverhogende maatregel: de aangesloten leden zullen in het vervolg periodiek worden onderworpen aan een kwaliteitsonderzoek. Daartoe heeft de NOREA op basis van het Reglement Kwaliteitsbeheersing NOREA (RKBN) het reglement Kwalitewitsonderzoek NOREA (RKO) opgesteld. Het kwaliteitsonderzoek levert een belangrijke opbouwende bijdrage aan het eerste en belangrijkste doel van NOREA: de bevordering van de kwaliteit van de beroepsuitoefening. Dergelijke onderzoeken vinden al langer plaats bij aangesloten organisaties van de NBA, de IAA en de RvA.

In december 2012 heeft de Commissie Kwaliteitsonderzoek voor het eerste kwaliteitsonderzoek vanuit de NOREA een bezoek gebracht aan het kantoor van Duijnborgh Audit. Het onderzoeksteam bestond uit de heren dr. ir. A.J. van Dijk RE EMITA en E.L. Verhaaf RE MSc BA RO. Omdat dit het eerste CKO onderzoek betrof, was ook de heer H. de Zwart RE RA RO als lid van het College Kwaliteitsonderzoek aanwezig.

Privacy impact assessment (PIA)

Den Haag, 29 oktober 2012 – In het regeerakkoord tussen VVD en PvdA is opgenomen dat online privacy beter moet worden beschermd. Hiervoor krijgt het College Bescherming Persoonsgegevens (CBP) meer bevoegdheden om de privacy te waarborgen en te handhaven.

De uitwerking binnen het regeerakkoord is een verbreding van de motie- Franken waarmee de overheid privacybeperkende maatregelen vooraf moet toetsen op de verenigbaarheid met de grondrechten inzake privacy. Binnen het huidige regeerakkoord wordt deze eis ook opgelegd aan het bedrijfsleven en dienen organisaties een ‘Privacy Impact Assessment (PIA)’ uit te voeren om te evalueren of de privacy voldoende is geborgd in het geval van het aanleggen van databestanden met persoonsgegevens of dergelijk verwerkende systemen.

Het uitvoeren van een PIA brengt de nodige kosten met zich mee. Die kosten moeten in een aanvaardbare verhouding staan tot de risico’s die met de PIA in kaart kunnen worden gebracht. Het is aannemelijk dat het houden van een PIA voor het midden- en kleinbedrijf relatief vaak zal leiden tot een onevenredig zware verplichting indien deze niet weloverwogen en met juiste diepgang wordt ingezet.

Middels het beantwoorden van een aantal simpele vragen krijgt u snel inzicht of een PIA noodzakelijk is en eventueel met welke diepgang deze kan worden uitgevoerd. Binnenkort kunt u op onze website een evaluatieformulier downloaden.