Leestijd: 2 minuten
Om administratieve werkzaamheden te digitaliseren en automatiseren, werken gemeenten vaak samen met externe partijen. Dit is een gevoelige samenwerking, want de persoonlijke gegevens van de burgers moeten beschermd worden. Hoe herken je als gemeente een veilige en betrouwbare IT-partner?
Cybercriminaliteit groeit jaarlijks. Van de cyberaanvallen zijn 90% relatief eenvoudige aanvallen, zoals DDOS of ransomware. Ook gemeenten zijn al eens ten prooi gevallen aan cybercriminelen. Veiligheid is daarom in toenemende mate een thema.
Een gemeente dient hiermee rekening te houden bij het selecteren van leveranciers. Volgens de Autoriteit Persoonsgegevens is namelijk de gemeente, als gegevensverantwoordelijke, eindverantwoordelijk voor de persoonsgegevens die verwerkt worden. Hoe herken je een veilige en betrouwbare IT-partner?
Controleer op een audit en een ISO-certificaat
Wanneer een organisatie veel met gevoelige en/of persoonsgegevens werkt, is het essentieel dat deze zijn informatiebeveiliging op orde heeft en houdt. Met een ISO 27001 certificaat (kwaliteitsmanagementsysteem voor informatiebeveiliging) is door een externe auditor vastgesteld dat die organisatie voldoet aan de norm. Je kunt er dan vanuit gaan dat de informatiebeveiliging op orde is. Het certificaat kan altijd worden opgevraagd. Let er dan ook meteen op om de Verklaring van Toepasselijkheid op te vragen. Dit geeft inzicht op welke aspecten van de norm het ISO certificaat is afgegeven. Een ISO certificaat wordt voor een periode van 3 jaar afgegeven, waarbij er ieder jaar een audit plaatsvindt. Bij ons doet Lloyds Register de jaarlijkse audit.
Onderzoek het trackrecord
Een ISO certificaat is een soort ‘paspoort’ waarmee je verzekerd bent van een constante kwaliteit. Maar als een organisatie geen ISO certificaat heeft, wil dat nog niet zeggen dat men niet veilig werkt. In dat geval is het wel raadzaam om naar de verschillende maatregelen te vragen die van belang zijn voor de informatiebeveiliging. Zo zou je ook onderzoek naar prestaties of misslagen in het recente verleden kunnen doen: is de leverancier in de media gekomen vanwege zijn datalekken of andere problemen?
Breng de technische en organisatorische maatregelen in kaart
Op technisch vlak kan worden gedacht aan bijvoorbeeld:
- Is het serverpark van de leverancier in eigen beheer of is dit uitbesteed?
- Waar staan de servers dan?
- Hoe ziet het veiligheidsprotocol eruit?
- Gebruik van encryptie;
- Gebruik van 2 factor authenticatie.
Organisatorische maatregelen zijn minstens zo belangrijk. Denk hierbij aan het creëren van bewustwording van medewerkers. Is er een opleidingsplan op het gebied van beveiliging, is er een business continuity plan, etc.