Informatiebeveiliging gemeenten KPN logische partner bij invoering en uitvoering
2
Informatiebeveiliging is en blijft een hot issue, want de digitalisering neemt nog steeds toe. Ook binnen gemeenten. Sinds de decentralisaties in het sociale domein een feit zijn, is een integrale informatievoorziening tussen alle keten partners cruciaal. Daarmee is een betrouwbare, beschikbare en correcte informatiehuishouding voor gemeenten nog essentiëler dan voorheen. De Baseline Informatiebeveiliging Gemeenten helpt daarbij. KPN is een logische partner bij de invoering en de uitvoering ervan. We leggen uit waarom.
Gemeenten beheren van oudsher veel privacygevoelige informatie. Het gebruik ervan groeit door nieuwe samenwerkingen en ontwikkelingen zoals Digitaal 2017, de decentralisaties, en tijd- en plaatsonafhankelijk werken. De combinatie van beheren en gebruiken van gegevens vraagt om grote zorgvuldigheid. Alleen dan kunnen gemeenten goed functioneren en krijgen ze het ver trouwen van de burgers. Daarbij is toegankelijke en betrouwbare informatie essentieel voor ‘behoorlijk’ bestuur. Toenemende wet- en regelgeving op het gebruik van (privacygevoelige) informatie maakt van informatiebeveiliging een strategisch onderwerp dat vraagt om een integrale visie.
• Centrale rol van gemeenten in het sociale domein (als gevolg van de decentralisaties) wat de informatie- uitwisseling – in de hele keten – niet alleen doet groeien, maar ook veel complexer maakt. • De nauwere samenwerking tussen de gemeente en andere overheidsorganisaties op het gebied van bedrijfsvoering en gemeentelijke processen. Dit vraagt om het toepassen van een strategie om risico’s af te dekken. Deze ontwikkelingen maken gedegen informatiebeveiliging noodzakelijk.
Organisaties die met persoonsgegevens of andere gevoelige databronnen omgaan, zijn zelf verantwoordelijk voor de bescherming daarvan.
Trends De gevolgen voor de continuïteit van de bedrijfsvoering en het primaire proces zijn bijzonder ernstig als computers of telecommunicatiesystemen uitvallen. Daarnaast heeft het zware gevolgen als gegevens en bestanden op straat komen te liggen, en dat gezien kan worden als een datalek. De kans dat dit gebeurt groeit. We zetten de trends en ontwikkelingen op een rij: • Toenemende wet- en regelgeving op het gebruik van informatie, met onder andere hoge boetes en persoonlijke aansprakelijkheid voor bestuurders. • Groeiende cybercriminaliteit: vooral organisaties die over veel persoonsgegevens beschikken – zoals gemeenten, zijn een gewild doelwit. • Steeds meer gegevensuitwisseling via mobiele apparaten als gevolg van tijd- en plaatsonafhankelijk werken.
3
Kwetsbaarheid te lijf Gemeenten zijn kwetsbaar wat hun digitale dienstverlening betreft. Daarom hebben VNG en KING de Baseline Informatiebeveiliging Gemeenten (BIG) opgesteld. Doel: meer grip op de betrouwbaarheid van de informatie voorziening en borging van de informatieveiligheid. Met de BIG hebben bestuur en directie een instrument in handen waarmee zij kunnen meten of de organisatie de informatiebeveiliging op orde heeft. Gemeenten hebben zich gecommitteerd aan de invoering van deze baseline. Een complexe en omvangrijke operatie. KPN zit tot in de haarvaten van het digitale overheidsdomein. Wij beheren al jarenlang de kritische infrastructuur van gemeenten. Denk aan het Gemnet netwerk. We hebben een lange staat van dienst in het ondersteunen van klanten bij het ontwikkelen, implementeren en onderhouden van informatiebeveiligingsbeleid en de levering van een compleet scala aan diensten. Daarmee hebben we de kennis en ervaring in huis die nodig is bij de implementatie van de BIG. Maar ook bij het ‘onderhoud’: informatiebeveiliging is een continu proces. Onze uitgangspunten: lokale overheden helpen bij het voldoen aan verplichtingen en ervoor zorgen dat ze altijd en overal veilig kunnen (samen)werken en gegevens kunnen uitwisselen. Dit doen we vanuit onze kernwaarden: persoonlijk, eenvoud en vertrouwen.
Wet- en regelgeving: de tijd dringt Bestands- en gegevenskoppelingen en verwerking van deze gegevens tussen gemeenten en andere partijen zorgen er onder meer voor dat informatieveiligheid en privacy belangrijker worden. In het verlengde hiervan werkt Brussel aan een Algemene Verordening Gegevensbescherming (AVG). Deze verordening omvat een hele set nieuwe regels rond privacybescherming. Organisaties die niet aan deze verordening voldoen, kunnen extreem hoge boetes krijgen.
Strenge privacyregels dulden geen uitstel van vergaande informatiebeveiliging.
Zo krijgen de Europese Privacy toezichthouders – in Nederland is dat het College Bescherming Persoons gegevens (CBP) – de bevoegdheid om een boete op te leggen als organisaties de verordening overtreden. Je krijgt bijvoorbeeld een boete bij: • het niet documenteren van de verwerkingen van persoonsgegevens; • het niet voldoende beveiligen van persoonsgegevens; • het niet voldoen aan verzoeken (van burgers) tot het beter afschermen van persoonsgegevens; • het niet tijdig melden van datalekken. Na invoering van de verordening hebben organisaties nog twee jaar om veranderingen door te voeren. De Nederlandse overheid loopt – wat betreft het melden van datalekken – op de AVG vooruit met de wet ‘Meldplicht datalekken en uitbreiding boetebevoegdheid CBP’. Deze uitbreiding op de Wet bescherming persoons gegevens betekent dat Nederlandse organisaties vanaf 1 januari 2016 datalekken moeten melden bij het CBP. Het CBP krijgt daarnaast een grotere bestuurlijke boetebevoegdheid. Bij schending van meer algemene 4
v erplichtingen die de wet stelt aan gebruik en verwerking van persoonsgegevens, kan het college straks ook een boete opleggen. Denk aan het niet goed beveiligen van gegevens. Nu is dat alleen nog bij overtreding van een administratief voorschrift. De boete is maximaal € 810.000 of onder omstandigheden voor een rechts persoon 10 procent van de jaaromzet. Het goed implementeren van de BIG kan voorkomen dat je een boete krijgt. Er is flink wat werk aan de winkel voor het college van burgemeester en wethouders. Het college is verantwoordelijk voor het informatie beveiligingsbeleid binnen gemeenten en moet op basis van landelijke en Europese wet- en regelgeving hiermee aan de slag. Kortom: de tijd dringt, ook voor gemeenten! Visie van KPN op ontwikkelingen bij lokale overheden Lokale overheden staan voor enorme uitdagingen waarin ICT een belangrijke component vormt. Gemeenten hebben sinds 1 januari 2015 – door de decentralisaties – een centrale rol in het sociale domein. Ze zijn de spin in het web van burgers, zorgverleners en zorginstellingen, verzekeraars enzovoort. Cruciaal hierbij is veilige informatie-uitwisseling in de hele keten. Geen eenvoudige opgave voor gemeenten – ze hebben hierin de regie – want de informatie-uitwisseling is met de decentralisaties in het sociale domein omvangrijker en complexer geworden.
Gemeenten voeren op dit moment grote veranderingen door in het sociale domein. Daar hebben gemeenteraad, bestuur en ambtenaren hun handen vol aan.
Het succes van de decentralisaties hangt onder andere nauw samen met goede informatiebeveiliging in de keten: een wezenlijke schakel die constant om aandacht vraagt en daarmee eigenlijk nooit ‘af’ is. De BIG vormt een praktisch handvat om hier invulling aan te geven. Het loont om een ervaren partner bij de invoering ervan te betrekken die weet waar het over gaat, de gemeentelijke processen begrijpt en gemeenten makkelijk werk uit handen neemt en ontzorgt. KPN kent zowel de lokale overheid als de zorgsector goed. We werken voor gemeenten maar ook voor ziekenhuizen en jeugdzorginstellingen. KPN beheert het Gemnet netwerk, onder andere als onderdeel van het Diginetwerk; het toekomstbestendige overheidsnetwerk. Ook zijn we leverancier van specifieke dienstverlening voor de overheid. Denk aan de Digitale Deurmat CORV, berichtenverkeer op basis van Digikoppeling en Beveiligde E-mail binnen de zorgketen en de lokale overheid. Deze positie en ervaring geeft ons een grote voorsprong. Verderop gaan we nader in op onze positie binnen de lokale overheid.
Samengevat omvat de visie van KPN de volgende punten: • Veilige, afgeschermde infrastructuur en informatie- uitwisseling zijn nodig om de continuïteit in het proces en de vertrouwelijkheid van gegevens te waarborgen. • Gemeenten moeten ‘in control’ zijn bij de privacybescherming van burgers. • De organisatie van informatiebeveiliging vraagt om een ketenbrede benadering met eigen verantwoordelijkheid. • Goede informatiebeveiliging is afhankelijk van mensen, ketenprocessen en technologie en vraagt om een integrale visie op security & privacy. • Risicomanagement is een belangrijke voorwaarde voor informatiebeveiliging.
5
KPN dienstverlening in de BIG-bouwstenen De BIG bestaat uit een strategisch (beveiligingsbeleid) en een tactisch deel – de normen en maatregelen. Om te kunnen voldoen aan de baseline, doorlopen gemeenten vijf fasen (zie figuur). KPN brengt zijn dienstverlening in deze fasen onder in drie blokken. • GAP-analyse, impactanalyse, informatie beveiligingsplan Gemeenten moeten de BIG risicogedreven invoeren. Maar elke gemeente is anders en zit in een andere fase. KPN kan gemeenten advies op maat geven wat de volgende onderdelen betreft: GAP- en impact analyse, beleidsontwikkeling, het indelen van data in risicoklassen, risicoanalyse, opstellen van een risico plan, procesherindeling. Centrale vraag in deze fase is: hoe krijgen gemeenten hun informatiebeveiliging naar een acceptabel niveau? • Implementeren maatregelen Implementeren van (BIG-)maatregelen. KPN kan adviseren over de juiste fasering, maar ook concrete diensten leveren. Denk aan Beheerde Firewalls, Beveiligde E-mail, Pen-tests en Security & Compliance monitoring (SOC/SIEM). • Bewaken en verantwoorden KPN kan niet alleen ondersteunen bij het opbouwen van kennis rond de BIG en het invoeren ervan, maar we kunnen gemeenten ook ondersteunen bij het vervolg. Het informatiebeveiligingsplan heeft immers een hogere doorloopsnelheid dan het strategische beleidsplan dat vaak voor vier jaar is vastgelegd. KPN kan een jaarlijkse analyse uitvoeren die duidelijk maakt waar u als gemeente staat en welke maat regelen nodig zijn om te voldoen aan alle eisen. Dit betekent dat wij samen met u kijken wat er is veranderd, het beveiligingsplan bijstellen, bijdragen aan bewustwording rond informatiebeveiliging en – indien nodig – maatregelen treffen. 6
KPN en informatieveiligheid De historie van KPN gaat ver terug. In 1852 stonden we als staatsbedrijf aan de wieg van de nationale telegrafieverbindingen. We maakten een organische groei door en ruim 160 jaar later is KPN een cruciaal onderdeel van de vitale infrastructuur in Nederland. KPN heeft daarmee de maatschappelijke verantwoordelijkheid om constant veiligheid en kwaliteit te bieden. Dat zit in ons DNA.
KPN wil samenwerken met gemeenten. Kennis delen is een noodzakelijke voorwaarde voor digitale veiligheid.
Diensten van KPN
KPN levert de volgende (vitale) diensten: • 112-netwerk • Noodnet • Gemnet • Berichtenuitwisseling op basis van Digikoppeling • Suwi-mail, Beveiligde E-mail in het sociaal domein • C2000, het landelijke communicatiesysteem voor de hulpverleningsdiensten • E-zorg • Toegang tot Diginetwerk • PKIoverheid en eHerkenning
Voldoen aan de baseline
GAP analyse
Impactanalyse
KPN Dienstverlening
Risicomanagement Centrale vraag: hoe krijgen gemeenten hun informatiebeveiliging naar een acceptabel niveau?
Informatiebeveiligingsplan t.o.v. de BIG
Implementeren maatregelen
• Advies • Concrete diensten
Bewaken en verantwoorden
• Jaarlijkse analyse • Beveiligingsplan bijstellen
Juist vanwege deze wezenlijke positie zit KPN geregeld aan tafel bij stakeholders. We ondersteunen de BIG en door het ondertekenen van het leveranciersaddendum – een aanvulling op het bestaande KING-convenant – heeft KPN zich geconformeerd aan de strikte veiligheidseisen. KPN KPN gaat graag aan de slag met en voor gemeenten. Binnen KPN werken mensen met gespecialiseerde kennis over informatiebeveiliging. Zij weten wat er leeft bij gemeenten. Onze consultants Lokale Overheid zijn op de hoogte van de ontwikkelingen in bijvoorbeeld het sociale domein en zij snappen welke politieke gevoeligheden er bestaan. Daarnaast hebben we IT-specialisten in dienst met relevante kennis voor gemeenten en bieden we een uitgebreid pallet aan beheerde informatiebeveiligings oplossingen.
en serviceprovider van ICT-, data- en telecommunicatiediensten hebben we vertrouwelijkheid, integriteit en beschikbaarheid hoog in het vaandel. Tot slot De wereld van lokale overheden verandert in snel tempo: van bezuinigingen en decentralisaties tot een groeiend takenpakket, van bewegen naar de cloud en standaardisatie tot Het Nieuwe Werken. Om steeds maximaal aan te sluiten bij de uitdagingen waar lokale overheden voor staan, investeren we in innovatie. Het Nieuwe Samenwerken, verbetering van dienstverlening aan burgers & bedrijven en digitale veiligheid. KPN weet wat er speelt en denkt mee. Door kennis en ervaring te combineren met technologie en slagkracht kunnen onze klanten rekenen op een toekomstvaste oplossing. Succesvol vernieuwen doen we samen. Hoe snel de ontwikkelingen ook gaan en wat de nieuwe manier van werken en leven ook wordt.
Vertrouwelijkheid, integriteit en beschikbaarheid staan aan de basis van onze dienstverlening.
Onze eigen informatiebeveiliging heeft voortdurend onze aandacht: KPN hanteert voor de beveiliging van zijn diensten, organisatie en infrastructuur de internationaal erkende standaard voor informatiebeveiliging ISO 27001 en ISO 27002 als richtlijn. We houden ons informatie beveiligingsniveau hoog doordat we regelmatig in- en externe audits en controles laten uitvoeren. Als leverancier
Contactgegevens KPN Lokale Overheid Maanplein 110 2516 CK Den Haag (+31) (0)70 - 343 69 00
[email protected] www.kpn.com/lokaleoverheid
7
kpn.com/lokaleoverheid
