Wetsvoorstel melding datalekken aangenomen door Eerste Kamer

Den Haag, 10 februari 2015 – het op 17 juni 2013 ingediende wetsvoorstel ‘Meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp’ is vandaag door de Eerste Kamer met algemene stemmen aangenomen.

Het wetsvoorstel voegt aan de Wet bescherming persoonsgegevens een meldplicht voor inbreuken op beveiligingsmaatregelen voor persoonsgegevens toe. Met de meldplicht datalekken wil de regering de gevolgen van een datalek voor de betrokkenen zoveel mogelijk beperken en hiermee een bijdrage leveren aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Met dit voorstel moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van persoonsgegevens, niet alleen een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (Cbp), maar ook de betrokkene informeren. Deze meldplicht geldt voor alle verantwoordelijken voor de verwerking van persoonsgegevens, zowel in de private als publieke sector. Als er geen melding wordt gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van het Cbp.

Deze samenvatting is gebaseerd op het wetsvoorstel en de memorie van toelichting zoals ingediend bij de Tweede Kamer.

Gemeenten zijn geen goede databeveiligers

Den Haag – 18-08-’14; NRC heeft bij 50 gemeenten onderzocht in hoeverre zij klaar zijn voor de decentralisatie van zorgtaken.

Gemeenten worden vanaf 1 januari 2015 verantwoordelijk voor de zorg aan burgers. Denk aan ouders met een probleemkind, een chronisch gehandicapte die een aangepast bed nodig heeft of een bejaarde die thuiszorg wil. Ze doen dit in wijkteams, die ‘dichtbij de burger’ zorg leveren of doorverwijzen naar specialisten. Deze teams krijgen onder meer persoonsgegevens, medische dossiers, details over schulden, relatieproblemen en huiselijk geweld. Gemeenten moeten deze informatie opslaan en verwerken.

Risico is dat gevoelige informatie over ziekte, schulden of psychiatrische achtergrond te makkelijk wordt gedeeld in vergaderingen van de wijkteams. Maar het kan ook anders misgaan: een ambtenaar die als enige in de gemeente toestemming heeft om in computersystemen naar privacygevoelige informatie van burgers te zoeken, maar die zijn uitgeprinte dossiers vervolgens bij de printer laat rondslingeren. Ambtenaren die passwords op een post-it schrijven en die naast hun scherm plakken. Hoe dan ook komen stads- of dorpsgenoten meer over elkaar te weten dan voorheen. Uit onderzoek van de NRC bleek dat veel gemeenten nog onvoldoende zijn voorbereid op dat gevaar.

Bron: NRC Handelsblad,16 en 18 augustus 2014
Lees de complete artikelen hier: artikel NRC 16 augustus 2014 en artikel NRC 18 augustus 2014

Gemeenten laks met beveiliging Suwinet

Den Haag, 11 november 2013: Inspectie SZW stelt vast dat de beveiliging van Suwinet door gemeenten niet op orde is

Bij het onderzoek van de inspectie SZW is vastgesteld dat mMaar 4 procent van de gemeenten voor het opvragen van persoonsgegevens via Suwinet voldoende beveiligingsmaatregelen heeft getroffen. 13 procent van de gemeenten voldoet aan geen enkele van de onderzochte normen voor informatiebeveiliging. Dit concludeert de Inspectie SZW in haar rapport ‘De burger bediend in 2013/Veilig gebruik Suwinet’ over informatiebeveiliging bij gemeenten. Staatssecretaris Klijnsma van Sociale Zaken en Werkgelegenheid zegt geschokt te zijn en heeft een aantal maatregelen aangekondigd.

Gemeenten, het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en Sociale Verzekeringsbank wisselen voor de uitkeringsverstrekking en handhaving persoonsgegevens uit via Suwinet. Het gaat daarbij onder meer om inkomsten, uitkeringsgegevens, autobezit en diplomagegevens en examenresultaten. In het rapport oordeelt de Inspectie SZW van het ministerie van Sociale Zaken en Werkgelegenheid dat de beveiliging van Suwinet door gemeenten ondanks diverse inspanningen nog steeds onder de maat is; het gebrek aan beveiliging van persoonsgegevens bij het gebruik van Suwinet-Inkijk acht de Inspectie bovendien zorgwekkend. In 2012 zijn via Suwinet 112 miljoen keer gegevens uitgewisseld. Ongeveer 80 procent van de gegevens wordt bekeken in Suwinet-Inkijk.

Geen goede reden
De Inspectie heeft de zeven belangrijkste door gemeenten te treffen maatregelen onderzocht, die moeten voorkomen dat persoonsgegevens van burgers worden geraadpleegd zonder dat daarvoor een goede reden is. Deze maatregelen gaan over het beveiligingsbeleid, de organisatie van de beveiliging en het controleren van door medewerkers opgevraagde persoonsgegevens. Maar 4 procent van de gemeenten voldoet aan alle zeven normen en 13 procent van de gemeenten voldoet aan geen enkele norm. In totaal voldoet 76 procent van de gemeenten aan drie of minder normen.

Een duidelijk signaal is dat de Inspectie tijdens het onderzoek geconstateerd heeft dat dertien van de tachtig onderzochte gemeenten (= 18 procent) in 2012 gegevens van bekende Nederlanders hebben geraadpleegd, zonder dat hiervoor een goede reden is gegeven. De inspectie hanteerde voor deze controle een beperkte lijst met honderd willekeurig geselecteerde bekende Nederlanders. In werkelijkheid zijn er enkele duizenden bekende Nederlanders van wie gegevens via Suwinet kunnen worden geraadpleegd.

Maatregelen
Staatssecretaris Klijnsma van SZW noemt de conclusies van de Inspectie zeer ernstig. ‘Het is onacceptabel dat de informatiebeveiliging rond de gegevensuitwisseling via Suwinet zo slecht op orde is. Ik vind dat gemeenten dit met de hoogste prioriteit moeten aanpakken. Net zoals bankmedewerkers niet zomaar rekeninggegevens van klanten mogen bekijken moet voor gemeenteambtenaren hetzelfde gelden. Het is onacceptabel dat er zonder noodzakelijke reden persoonlijke gegevens van mensen worden bekeken.’

De bewindsvrouw heeft inmiddels met de Vereniging Nederlandse Gemeenten (VNG) afgesproken dat snel wordt toegewerkt naar een zorgvuldig gebruik van via Suwinet uitgewisselde gegevens. Daarnaast heeft zij de volgende maatregelen genomen:

1. het College Bescherming Persoonsgegevens (CBP) is geïnformeerd over de resultaten van het inspectie-onderzoek. Het CBP heeft de mogelijkheid om gemeenten die niet voldoen aan de eisen van de WBP (Wet bescherming persoonsgegevens) een dwangsom op te leggen.

2. het laten uitzoeken of een tijdelijke sluiting van het leveren van gegevens aan gemeenten via Suwinet mogelijk is. Dit als passende maatregel om een zorgvuldig gegevensgebruik af te dwingen.

3. het maken van verdere afspraken met de VNG om een verantwoording over de informatiebeveiliging bij gemeenten wettelijk te verankeren. Inwoners moeten er op kunnen vertrouwen dat gemeenten de aan hen toevertrouwde gegevens zorgvuldig verwerken, aldus Klijnsma. Zij roept daarnaast gemeenteraden op hun colleges te controleren of de informatiebeveiliging ook daadwerkelijk op orde is.

4. het aan gemeenten vragen om heel snel alle benodigde stappen te zetten. Om gemeenten onder druk te zetten zal de Inspectie SZW in de eerste helft van 2015 onderzoeken of de informatiebeveiliging daadwerkelijk structureel is verbeterd.

Bron: https://www.computable.nl/artikel/nieuws/overheid/4923564/1277202/gemeenten-zijn-laks-met-beveiliging-suwinet.html#ixzz2kP7lUNgu

Lees hier meer over de diensten van Duijnborgh Audit m.b.t. Suwinet.

Gemeente Vlaardingen rondt als eerste DigiD assessment af

Vlaardingen, 18 juli 2013 – Duijnborgh Audit heeft het ICT-beveiligingsassessment bij de gemeente Vlaardingen afgerond. Op 18 juli werd de TPM door Jeroen Meulendijks van Duijnborgh Audit overhandigd aan Jeroen van der Vlies, CSO van de gemeente Vlaardingen. CISO van Vlaardingen.

Jeroen van der Vlies: “Dankzij het stappenplan van King en de optimale inzet van alle collega’s, onze leverancier en onze bekwame auditpartij zijn we in staat geweest om dit traject succesvol te doorlopen. Vlaardingen is één van de gemeenten die haar applicatie zelf in beheer heeft. Dat houdt in dat gemeente Vlaardingen ook een geslaagde penetratietest heeft laten uitvoeren. Middels de geslaagde penetratietest konden we besparen op de externe TPM-kosten van de leverancier.

Vlaardingen heeft de TPM inmiddels opgestuurd naar Logius.

Lees ook het nieuwsbericht op de website van KING: https://new.kinggemeenten.nl/informatiebeveiligingibd/nieuws/digid-gemeente-vlaardingen-rondt-als-eerste-ict

Tog Nederland geslaagd voor DigiD assessment

Veenendaal, 15 mei 2013 – Tog Nederland heeft als eerste leverancier met positief resultaat het ICT-beveiligingsassessment DigiD afgerond.

Duijnborgh Audit heeft op 15 mei aan de directie van Tog Nederland de Third Party Mededeling (TPM) overhandigd van de audit die is uitgevoerd in het kader van het DigiD beveiligingsassessment.

Tog Nederland toont hiermee als eerste leverancier aan dat haar webapplicatie, het WOZ-portaal, voldoet aan de eisen die Logius namens het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties heeft opgesteld voor webapplicaties die een koppeling hebben met DigiD.

Het WOZ-Portaal is een webapplicatie die wordt gebruikt bij ruim 90 gemeenten in Nederland. Het WOZ-Portaal stelt de burger in staat zijn WOZ-gegevens te raadplegen. Vanwege de privacygevoelige informatie uitwisseling wordt vanzelfsprekend gebruik gemaakt van DigiD-authenticatie.

Lees ook het nieuwsbericht op de site van KING: https://new.kinggemeenten.nl/informatiebeveiligingibd/nieuws/digid-eerste-tpm-voor-ict-beveiligingsassessment-digid-gereed

 

Over Tog Nederland: Tog Nederland is een landelijk taxatie-detachering- en adviesbureau opererend vanuit vier regionale vestigingen (Meppel, Rotterdam, Sint-Oedenrode en Veenendaal). Lees meer over Tog Nederland op:https://www.tognederland.nl

Kwaliteitsonderzoek NOREA

Nieuwegein, 15 februari 2013 – Duijnborgh Audit heeft als 1e IT-auditorganisatie het kwaliteitsonderzoek van de NOREA afgerond.

In 2012 heeft de NOREA besloten tot een kwaliteitsverhogende maatregel: de aangesloten leden zullen in het vervolg periodiek worden onderworpen aan een kwaliteitsonderzoek. Daartoe heeft de NOREA op basis van het Reglement Kwaliteitsbeheersing NOREA (RKBN) het reglement Kwalitewitsonderzoek NOREA (RKO) opgesteld. Het kwaliteitsonderzoek levert een belangrijke opbouwende bijdrage aan het eerste en belangrijkste doel van NOREA: de bevordering van de kwaliteit van de beroepsuitoefening. Dergelijke onderzoeken vinden al langer plaats bij aangesloten organisaties van de NBA, de IAA en de RvA.

In december 2012 heeft de Commissie Kwaliteitsonderzoek voor het eerste kwaliteitsonderzoek vanuit de NOREA een bezoek gebracht aan het kantoor van Duijnborgh Audit. Het onderzoeksteam bestond uit de heren dr. ir. A.J. van Dijk RE EMITA en E.L. Verhaaf RE MSc BA RO. Omdat dit het eerste CKO onderzoek betrof, was ook de heer H. de Zwart RE RA RO als lid van het College Kwaliteitsonderzoek aanwezig.

Privacy impact assessment (PIA)

Den Haag, 29 oktober 2012 – In het regeerakkoord tussen VVD en PvdA is opgenomen dat online privacy beter moet worden beschermd. Hiervoor krijgt het College Bescherming Persoonsgegevens (CBP) meer bevoegdheden om de privacy te waarborgen en te handhaven.

De uitwerking binnen het regeerakkoord is een verbreding van de motie- Franken waarmee de overheid privacybeperkende maatregelen vooraf moet toetsen op de verenigbaarheid met de grondrechten inzake privacy. Binnen het huidige regeerakkoord wordt deze eis ook opgelegd aan het bedrijfsleven en dienen organisaties een ‘Privacy Impact Assessment (PIA)’ uit te voeren om te evalueren of de privacy voldoende is geborgd in het geval van het aanleggen van databestanden met persoonsgegevens of dergelijk verwerkende systemen.

Het uitvoeren van een PIA brengt de nodige kosten met zich mee. Die kosten moeten in een aanvaardbare verhouding staan tot de risico’s die met de PIA in kaart kunnen worden gebracht. Het is aannemelijk dat het houden van een PIA voor het midden- en kleinbedrijf relatief vaak zal leiden tot een onevenredig zware verplichting indien deze niet weloverwogen en met juiste diepgang wordt ingezet.

Middels het beantwoorden van een aantal simpele vragen krijgt u snel inzicht of een PIA noodzakelijk is en eventueel met welke diepgang deze kan worden uitgevoerd. Binnenkort kunt u op onze website een evaluatieformulier downloaden.

Beveiligingsassessment voor DigiD gebruikende organisaties

Den Haag, 6 februari 2012 – Minister Spies (bzk) heeft besloten dat alle DigiD gebruikende organisaties een beveiligingsassessment moeten laten uitvoeren op de ICT-beveiliging rond het gebruik van DigiD.

De Minister komt tot het besluit naar aanleiding van een aantal lekken in gemeentelijke websites welke aan het licht kwamen in het derde kwartaal van 2011.

Als norm voor het ICT-beveiligingsassessment dient de ICT-beveiligingsrichtlijn voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC). De richtlijn bevat normen voor basisbeveiliging (virusscanner, firewall), besturingssysteem en netwerk- en applicatiebeveiliging. Ook een penetratietest (zgn. ‘hack-test’) maakt deel uit van het assessment.

Het onderzoek dient te worden uitgevoerd onder de verantwoordelijkheid van een Register EDP-auditor die in het register van de NOREA is ingeschreven.

De beveiligingsassessments zullen gefaseerd worden doorgevoerd: ‘grootgebruikers’ van DigiD dienen te zorgen dat het assessment uiterlijk eind 2012 is uitgevoerd, andere organisaties uiterlijk een jaar later.

Hier kunt u de kamerbrief van de Minister downloaden.

Indien u wilt weten wat Duijnborgh Audit voor u kan betekenen m.b.t. dit assessment, klik dan hier.

 

Update 17/8/2012:

KING (het Kwaliteits Instituut Nederlandse gemeenten) heeft in opdracht van BZK en VNG een impactanalyse uitgevoerd. De analyse is uitgevoerd onder negen gemeenten, hun leveranciers en betrokken auditors en pentesters. Het doel van de impactanalyse is te komen tot een gestandaardiseerde aanpak voor gemeenten voor het uitvoeren van het jaarlijkse ICT-beveiligingsassessment. Belangrijke bevinding is dat op dit moment sprake is van onvoldoende gevoel van urgentie, terwijl de doorlooptijd van het hele assessment minimaal op ongeveer 6 maanden wordt geschat. Geen enkele van de onderzoicht gemeenten is op dit moment helemaal klaar voor het assessment.

Infrastructuur medische gegevensuitwisseling voortgezet

Den Haag, 14 december 2011 – Het bestuur van Nictiz heeft besloten dat de infrastructuur voor gegevens- uitwisseling in 2012 in gebruik blijft….

Na een eerder genomen besluit op 8 november 2011, om te stoppen met de infrastructuur omdat onvoldoende financiele garanties waren verkregen, kondigde Minister Schippers op 8 december aan dat het LSP blijft bestaan en zal worden gefinancierd door de zorgaanbieders, de zorgverzekeraars en het ministerie van VWS. De NPCF, VHN, LHV, KNMP richten de Organisatie van Zorgaanbieders op die de infrastructuur zal gaan beheren. De eerstkomende twee jaar financiert VWS het LSP nog voor 3,5 ton per jaar mee. Ook betaalt VWS het eerste jaar nog 1,5 miljoen voor de overgangsperiode van het klantenloket.

Inmiddels hebben verschillende partijen wel hun afkeuring geuit tegen dit plan, dat door sommigen een schoffering van de Eerste Kamer wordt genoemd.Er zijn echter ook voorstanders die het een groot pluspunt vinden dat patiënten nu zelf aan kunnen geven of zij worden opgenomen in het informatiesysteem.

Nieuwe versie NEN 7510 ‘Informatiebeveiliging in de zorg’ gepubliceerd

Den Haag, oktober 2011 – NEN heeft, in nauwe samenspraak met verschillende partijen uit de zorgsector – onder consensus de nieuwe afspraken voor informatiebeveiliging in de Zorg vastgelegd in de NEN 7510:2011.

De nieuwe versie is volgens verschillende partijen beter leesbaar dan de vorige versie en biedt nu in één document alle eisen aan die nationaal en internationaal gelden voor informatiebeveiliging in de zorg.

De gereviseerde norm is de herziening van NEN 7510:2004 en de daaraan gerelateerde NEN 7511-serie uit 2005. De herziene norm is tevens de Nederlandse variant van NEN-EN-ISO 27799, die aanwijzingen geeft voor het toepassen van de ‘Code voor informatiebeveiliging’ (NEN-ISO-IEC 27002) in de gezondheidszorg. Inhoudelijke wijzigingen zijn onder andere een normatief hoofdstuk over risicomanagement (conform ISO 27005) en een normatief hoofdstuk over kwaliteitsmanagement (conform ISO 27001).

bron: NEN