Informatieveiligheid

Auteur

Gepubliceerd op 20-05-2019

​De thema-audit Informatiebeveiliging die Audit Vlaanderen in 2018 publiceerde, leert dat lokale besturen er nog onvoldoende in slagen om vertrouwelijke en persoonsgevoelige informatie adequaat te beveiligen. Maar die vaststelling was zeker niet het enige resultaat van de doorlichting. Het rapport bevat ook heel wat goede praktijken waarmee lokale besturen meteen aan de slag kunnen. Bovendien kunnen lokale besturen een lijst inkijken van de meest voorkomende kwetsbaarheden bij de doorgelichte besturen.

Lokale besturen slagen er onvoldoende in om vertrouwelijke en persoonsgevoelige informatie adequaat te beveiligen. Dat is de conclusie van een doorlichting door Audit Vlaanderen.

De bescherming van persoonsgegevens is voor de lokale besturen altijd zeer belangrijk geweest. Toch zijn procedures niet altijd waterdicht of individuele verantwoordelijkheden niet altijd even duidelijk, waardoor (theoretische) risico’s toenemen. Ondertussen – en zeker sinds de komst van de Europese Algemene Verordening Gegevensbescherming – is het bewustzijn over de problematiek toegenomen en werken veel lokale besturen volop aan een betere bescherming van de gegevens waarover ze beschikken of waartoe ze toegang hebben.

De afspraken met de dienstenleveranciers vormen daarbij een belangrijk element. Afspraken moeten duidelijker, met een haarscherpe omschrijving van ieders verantwoordelijkheden en rollen. De VVSG ontwierp hiervoor samen met de leden een generieke verwerkingsovereenkomst.

De uitdagingen op het vlak van privacy en informatiebeveiliging zijn zeer groot en complex; geen enkel lokaal bestuur kan de risico’s zelf helemaal beheersen. De omschakeling van klassieke hardware- en softwaresystemen in eigen beheer naar de afname van meer flexibele en veilige diensten kan op dat vlak soelaas bieden.

Verder moeten de verschillende bestuursniveaus beter samenwerken. Centrale overheden moeten er ook zoveel mogelijk naar streven algemene en waterdichte diensten te leveren aan lokale besturen, zodat die ontlast worden van allerlei individuele verplichtingen. De komst van de GDPR heeft de verplichtingen scherper gesteld en de rollen verduidelijkt. In ieder lokaal bestuur is nu een data protection officer actief die blijvend toeziet op het naleven van de regels. Eventuele datalekken worden onmiddellijk opgevolgd, procedures worden bijgestuurd.

De audit vond plaats in 2017 en 2018 bij 35 lokale besturen, vóór de inwerkingtreding van de GDPR. Een ethisch hacker controleerde daarbij van binnen in het netwerk de beveiliging. Gelijklopend met de audit gebeurde er ook een uitgebreide phishingtest bij de lokale besturen.

Ward Van Hal