Het jaar 2019 is een overgangsjaar waarin gemeenten zich kunnen voorbereiden op de Baseline Informatiebeveiliging Overheid (BIO). De baseline is een set aan maatregelen die een basisniveau van informatiebeveiliging moeten realiseren. De Informatiebeveiligingsdienst voor Gemeenten (IBD) heeft de BIO doorontwikkeld van de Baseline Informatiebeveiliging Gemeenten (BIG). Doordat deze doorontwikkeling dus een update van de BIG betreft zijn de werkzaamheden grotendeels al in lijn met de BIO.
Eén normenkader voor de gehele overheid
Vanaf 1 januari 2020 hanteren gemeenten samen met de andere overheidslagen: de rijksoverheid, provincies en waterschappen, één basisnormenkader voor informatiebeveiliging. Voor het aannemen van de BIO waren de BIG, de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Interprovinciale Baseline Informatiebeveiliging (IBI) eigen baselines voor iedere overheidslaag. Echter, deze normenkaders waren nog gebaseerd op de verouderde ISO-normering uit 2005 die in 2013 is geüpdatet naar de huidige ISO (NEN-ISO 27002). Naast een update tot de meest recente ISO-normering, zorgt het gebruik van één normenkader voor de versterking van de informatieveiligheid, verlicht het de administratieve lasten, sluit het aan bij internationale regelgeving en standaarden en verminderen de onderhoudskosten.
Basisbeveiligingsniveau
Met de baselinetoets wordt bepaald of een proces, informatiesysteem en/of informatie een passend Basis Beveiligings Niveau (BBN) heeft binnen de BIO. Op deze manier wordt vastgesteld of er meer maatregelen nodig zijn voor een proces en onderliggende informatiesystemen. Deze baselinetoets heeft ook vragen opgenomen om vast te kunnen stellen of er persoonsgegevens worden verwerkt en zo ja, of er dan ook een data protection impact assessment (DPIA) nodig is. Dit is, onder andere, het geval wanneer de processen een hoog privacy risico op leveren.
Data Protection Impact Assessment
Een uitgevoerde DPIA brengt de privacyrisico’s van de verschillende processen binnen de gemeente in kaart. Deze risico’s kunnen in Privacy Control Center (PCC) worden opgenomen, waaraan een set van maatregelen gekoppeld en geregistreerd kunnen worden. De verantwoordelijke privacymedewerkers kunnen samen met elkaar in de online werkomgeving van PCC aan de slag waardoor alle documentatie op een plek wordt verzameld. Hoe dat werkt? Maak hier een gratis proefaccount aan en leg direct en eenvoudig het privacybeleid voor uw gemeente vast.
Geplaatst 13-09-19