Informatiebeveiliging gemeenten KPN logische partner bij invoering en uitvoering

2

3

Informatiebeveiliging is en blijft een hot issue, want de digitalisering neemt nog steeds toe. Ook binnen gemeenten. Sinds de decentralisaties in het sociale domein een feit zijn, is een integrale informatievoorziening tussen alle keten­partners cruciaal. Daarmee is een betrouwbare, beschikbare en correcte informatie huishouding voor gemeenten nog essentiëler dan voorheen. De Baseline Informatiebeveiliging Gemeenten helpt daarbij. KPN is een logische partner bij de invoering en de uitvoering ervan. We leggen uit waarom.

Gemeenten beheren van oudsher veel privacygevoelige

informatie. Het gebruik ervan groeit door nieuwe samen-

werkingen en ontwikkelingen zoals Digitaal 2017, de

decentralisaties, en tijd- en plaatsonafhankelijk werken.

De combinatie van beheren en gebruiken van gegevens

vraagt om grote zorgvuldigheid. Alleen dan kunnen

gemeenten goed functioneren en krijgen ze het ver-

trouwen van de burgers. Daarbij is toegankelijke en

betrouwbare informatie essentieel voor ‘behoorlijk’

bestuur. Toenemende wet- en regelgeving op het gebruik

van (privacygevoelige) informatie maakt van informatie-

beveiliging een strategisch onderwerp dat vraagt om een

integrale visie.

Organisaties die met persoonsgegevens of andere gevoelige

databronnen omgaan, zijn zelf verantwoordelijk voor de

bescherming daarvan.

TrendsDe gevolgen voor de continuïteit van de bedrijfsvoering

en het primaire proces zijn bijzonder ernstig als computers

of telecommunicatiesystemen uitvallen. Daarnaast heeft

het zware gevolgen als gegevens en bestanden op straat

komen te liggen, en dat gezien kan worden als een data-

lek. De kans dat dit gebeurt groeit. We zetten de trends en

ontwikkelingen op een rij:

• Toenemende wet- en regelgeving op het gebruik van

informatie, met onder andere hoge boetes en

persoonlijke aansprakelijkheid voor bestuurders.

• Groeiende cybercriminaliteit: vooral organisaties

die over veel persoonsgegevens beschikken – zoals

gemeenten, zijn een gewild doelwit.

• Steeds meer gegevensuitwisseling via mobiele

apparaten als gevolg van tijd- en plaatsonafhankelijk

werken.

• Centrale rol van gemeenten in het sociale domein

(als gevolg van de decentralisaties) wat de informatie-

uitwisseling – in de hele keten – niet alleen doet

groeien, maar ook veel complexer maakt.

• De nauwere samenwerking tussen de gemeente en

andere overheidsorganisaties op het gebied van

bedrijfsvoering en gemeentelijke processen. Dit vraagt

om het toepassen van een strategie om risico’s af te

dekken.

Deze ontwikkelingen maken gedegen informatiebeveiliging

noodzakelijk.

4

Wet- en regelgeving: de tijd dringt Bestands- en gegevenskoppelingen en verwerking van

deze gegevens tussen gemeenten en andere partijen

zorgen er onder meer voor dat informatieveiligheid en

privacy belangrijker worden. In het verlengde hiervan

werkt Brussel aan een Algemene Verordening Gegevens-

bescherming (AVG). Deze verordening omvat een hele

set nieuwe regels rond privacybescherming. Organisaties

die niet aan deze verordening voldoen, kunnen extreem

hoge boetes krijgen.

Strenge privacyregels dulden geen uitstel van vergaande

informatiebeveiliging.

Zo krijgen de Europese Privacy toezichthouders – in

Nederland is dat het College Bescherming Persoons-

gegevens (CBP) – de bevoegdheid om een boete op

te leggen als organisaties de verordening overtreden.

Je krijgt bijvoorbeeld een boete bij:

• het niet documenteren van de verwerkingen van

persoonsgegevens;

• het niet voldoende beveiligen van persoonsgegevens;

• het niet voldoen aan verzoeken (van burgers) tot

het beter afschermen van persoonsgegevens;

• het niet tijdig melden van datalekken.

Na invoering van de verordening hebben organisaties

nog twee jaar om veranderingen door te voeren.

De Nederlandse overheid loopt – wat betreft het melden

van datalekken – op de AVG vooruit met de wet ‘Meld-

plicht datalekken en uitbreiding boetebevoegdheid CBP’.

Deze uitbreiding op de Wet bescherming persoons-

gegevens betekent dat Nederlandse organisaties vanaf

1 januari 2016 datalekken moeten melden bij het CBP.

Het CBP krijgt daarnaast een grotere bestuurlijke boete-

bevoegdheid. Bij schending van meer algemene

ver plichtingen die de wet stelt aan gebruik en verwerking

van persoonsgegevens, kan het college straks ook een

boete opleggen. Denk aan het niet goed beveiligen

van gegevens. Nu is dat alleen nog bij overtreding van

een administratief voorschrift. De boete is maximaal

€ 810.000 of onder omstandigheden voor een rechts-

persoon 10 procent van de jaaromzet.

Het goed implementeren van de BIG kan voorkomen

dat je een boete krijgt. Er is flink wat werk aan de winkel

voor het college van burgemeester en wethouders.

Het college is verantwoordelijk voor het informatie-

beveiligingsbeleid binnen gemeenten en moet op

basis van landelijke en Europese wet- en regelgeving

hiermee aan de slag. Kortom: de tijd dringt, ook voor

gemeenten!

Visie van KPN op ontwikkelingen bij lokale overhedenLokale overheden staan voor enorme uitdagingen

waarin ICT een belangrijke component vormt. Gemeenten

hebben sinds 1 januari 2015 – door de decentralisaties –

een centrale rol in het sociale domein. Ze zijn de spin in

het web van burgers, zorgverleners en zorginstellingen,

verzekeraars enzovoort. Cruciaal hierbij is veilige

infor matie-uitwisseling in de hele keten. Geen eenvoudige

opgave voor gemeenten – ze hebben hierin de regie –

want de informatie-uitwisseling is met de decentralisaties

in het sociale domein omvangrijker en complexer

geworden.

Gemeenten voeren op dit moment grote veranderingen

door in het sociale domein. Daar hebben gemeenteraad,

bestuur en ambtenaren hun handen vol aan.

Kwetsbaarheid te lijf

Gemeenten zijn kwetsbaar wat hun digitale dienstverlening betreft. Daarom hebben VNG en KING de Baseline

Informatiebeveiliging Gemeenten (BIG) opgesteld. Doel: meer grip op de betrouwbaarheid van de informatie-

voorziening en borging van de informatieveiligheid. Met de BIG hebben bestuur en directie een instrument in

handen waarmee zij kunnen meten of de organisatie de informatiebeveiliging op orde heeft. Gemeenten hebben

zich gecommitteerd aan de invoering van deze baseline. Een complexe en omvangrijke operatie. KPN zit tot in de

haarvaten van het digitale overheidsdomein. Wij beheren al jarenlang de kritische infrastructuur van gemeenten.

Denk aan het Gemnet netwerk. We hebben een lange staat van dienst in het ondersteunen van klanten bij het

ontwikkelen, implementeren en onderhouden van informatiebeveiligingsbeleid en de levering van een compleet

scala aan diensten. Daarmee hebben we de kennis en ervaring in huis die nodig is bij de implementatie van de BIG.

Maar ook bij het ‘onderhoud’: informatiebeveiliging is een continu proces. Onze uitgangspunten: lokale overheden

helpen bij het voldoen aan verplichtingen en ervoor zorgen dat ze altijd en overal veilig kunnen (samen)werken en

gegevens kunnen uitwisselen. Dit doen we vanuit onze kernwaarden: persoonlijk, eenvoud en vertrouwen.

5

Het succes van de decentralisaties hangt onder andere

nauw samen met goede informatiebeveiliging in de

keten: een wezenlijke schakel die constant om aandacht

vraagt en daarmee eigenlijk nooit ‘af’ is. De BIG vormt

een praktisch handvat om hier invulling aan te geven.

Het loont om een ervaren partner bij de invoering

ervan te betrekken die weet waar het over gaat, de

gemeentelijke processen begrijpt en gemeenten

makkelijk werk uit handen neemt en ontzorgt.

KPN kent zowel de lokale overheid als de zorgsector

goed. We werken voor gemeenten maar ook voor zieken-

huizen en jeugdzorginstellingen. KPN beheert het

Gemnet netwerk, onder andere als onderdeel van het

Diginetwerk; het toekomstbestendige overheidsnetwerk.

Ook zijn we leverancier van specifieke dienstverlening

voor de overheid. Denk aan de Digitale Deurmat CORV,

berichtenverkeer op basis van Digikoppeling en Beveiligde

E-mail binnen de zorgketen en de lokale overheid.

Deze positie en ervaring geeft ons een grote voorsprong.

Verderop gaan we nader in op onze positie binnen de

lokale overheid.

Samengevat omvat de visie van KPN de volgende

punten:

• Veilige, afgeschermde infrastructuur en informatie-

uitwisseling zijn nodig om de continuïteit in het

proces en de vertrouwelijkheid van gegevens te

waarborgen.

• Gemeenten moeten ‘in control’ zijn bij de privacy-

bescherming van burgers.

• De organisatie van informatiebeveiliging vraagt

om een ketenbrede benadering met eigen

verantwoordelijkheid.

• Goede informatiebeveiliging is afhankelijk van mensen,

ketenprocessen en technologie en vraagt om een

integrale visie op security & privacy.

• Risicomanagement is een belangrijke voorwaarde voor

informatiebeveiliging.

6

KPN dienstverlening in de BIG-bouwstenenDe BIG bestaat uit een strategisch (beveiligingsbeleid) en

een tactisch deel – de normen en maatregelen. Om te

kunnen voldoen aan de baseline, doorlopen gemeenten

vijf fasen (zie figuur). KPN brengt zijn dienstverlening in

deze fasen onder in drie blokken.

• GAP-analyse, impactanalyse, informatie-

beveiligingsplan

Gemeenten moeten de BIG risicogedreven invoeren.

Maar elke gemeente is anders en zit in een andere

fase. KPN kan gemeenten advies op maat geven wat

de volgende onderdelen betreft: GAP- en impact-

analyse, beleidsontwikkeling, het indelen van data in

risicoklassen, risicoanalyse, opstellen van een risico-

plan, procesherindeling. Centrale vraag in deze fase is:

hoe krijgen gemeenten hun informatiebeveiliging

naar een acceptabel niveau?

• Implementeren maatregelen

Implementeren van (BIG-)maatregelen. KPN kan

adviseren over de juiste fasering, maar ook concrete

diensten leveren. Denk aan Beheerde Firewalls,

Beveiligde E-mail, Pen-tests en Security & Compliance

monitoring (SOC/SIEM).

• Bewaken en verantwoorden

KPN kan niet alleen ondersteunen bij het opbouwen

van kennis rond de BIG en het invoeren ervan, maar

we kunnen gemeenten ook ondersteunen bij het

vervolg. Het informatiebeveiligingsplan heeft immers

een hogere doorloopsnelheid dan het strategische

beleidsplan dat vaak voor vier jaar is vastgelegd.

KPN kan een jaarlijkse analyse uitvoeren die duidelijk

maakt waar u als gemeente staat en welke maat-

regelen nodig zijn om te voldoen aan alle eisen.

Dit betekent dat wij samen met u kijken wat er is

veranderd, het beveiligingsplan bijstellen, bijdragen

aan bewustwording rond informatiebeveiliging en

– indien nodig – maatregelen treffen.

KPN en informatieveiligheidDe historie van KPN gaat ver terug. In 1852 stonden we

als staatsbedrijf aan de wieg van de nationale telegrafie-

verbindingen. We maakten een organische groei door

en ruim 160 jaar later is KPN een cruciaal onderdeel van

de vitale infrastructuur in Nederland. KPN heeft daarmee

de maatschappelijke verantwoordelijkheid om constant

veiligheid en kwaliteit te bieden. Dat zit in ons DNA.

KPN wil samenwerken met gemeenten. Kennis delen is een

noodzakelijke voorwaarde voor digitale veiligheid.

Diensten van KPN

KPN levert de volgende (vitale) diensten:

• 112-netwerk

• Noodnet

• Gemnet

• Berichtenuitwisseling op basis van

Digikoppeling

• Suwi-mail, Beveiligde E-mail in het sociaal

domein

• C2000, het landelijke communicatiesysteem

voor de hulpverleningsdiensten

• E-zorg

• Toegang tot Diginetwerk

• PKIoverheid en eHerkenning

7

Juist vanwege deze wezenlijke positie zit KPN geregeld

aan tafel bij stakeholders. We ondersteunen de BIG en

door het ondertekenen van het leveranciersaddendum

– een aanvulling op het bestaande KING-convenant –

heeft KPN zich geconformeerd aan de strikte

veiligheidseisen.

KPNKPN gaat graag aan de slag met en voor gemeenten.

Binnen KPN werken mensen met gespecialiseerde kennis

over informatiebeveiliging. Zij weten wat er leeft bij

gemeenten. Onze consultants Lokale Overheid zijn op de

hoogte van de ontwikkelingen in bijvoorbeeld het sociale

domein en zij snappen welke politieke gevoeligheden er

bestaan. Daarnaast hebben we IT-specialisten in dienst

met relevante kennis voor gemeenten en bieden we een

uitgebreid pallet aan beheerde informatiebeveiligings-

oplossingen.

Vertrouwelijkheid, integriteit en beschikbaarheid staan aan

de basis van onze dienstverlening.

Onze eigen informatiebeveiliging heeft voortdurend

onze aandacht: KPN hanteert voor de beveiliging van zijn

diensten, organisatie en infrastructuur de internationaal

erkende standaard voor informatiebeveiliging ISO 27001

en ISO 27002 als richtlijn. We houden ons informatie-

beveiligingsniveau hoog doordat we regelmatig in- en

externe audits en controles laten uitvoeren. Als leverancier

en serviceprovider van ICT-, data- en telecommunicatie-

diensten hebben we vertrouwelijkheid, integriteit en

beschikbaarheid hoog in het vaandel.

Tot slotDe wereld van lokale overheden verandert in snel

tempo: van bezuinigingen en decentralisaties tot een

groeiend takenpakket, van bewegen naar de cloud en

standaardisatie tot Het Nieuwe Werken. Om steeds

maximaal aan te sluiten bij de uitdagingen waar lokale

overheden voor staan, investeren we in innovatie. Het

Nieuwe Samenwerken, verbetering van dienstverlening

aan burgers & bedrijven en digitale veiligheid. KPN weet

wat er speelt en denkt mee. Door kennis en ervaring

te combineren met technologie en slagkracht kunnen

onze klanten rekenen op een toekomstvaste oplossing.

Succesvol vernieuwen doen we samen. Hoe snel de

ontwikkelingen ook gaan en wat de nieuwe manier van

werken en leven ook wordt.

ContactgegevensKPN Lokale Overheid

Maanplein 110

2516 CK Den Haag

(+31) (0)70 - 343 69 00

info.lokaleoverheid@kpn.com

www.kpn.com/lokaleoverheid

Voldoen aan de baseline KPN Dienstverlening

GAP analyse

Impactanalyse

Risicomanagement Centrale vraag: hoe krijgen gemeenten hun informatiebeveiliging naar een acceptabel niveau?

Informatiebeveiligingsplan t.o.v. de BIG

Implementeren maatregelen

• Advies• Concrete diensten

Bewaken en verantwoorden

• Jaarlijkse analyse• Beveiligingsplan bijstellen

kpn.com/lokaleoverheid