It-leveranciers kunnen niet voldoen aan het door gemeenten gevraagde beveiligingsniveau dat voor de nodig is voor de GDPR. Hierdoor hangt die nieuwe Europese wet voor databeveiliging als een molensteen om de nek van gemeenten, zij zijn namelijk zelf verantwoordelijk voor de beveiliging van die data. Gemeenten moeten de it-leveranciers blijven aansporen en door de gangen slepen om hun beveiligingseisen gerealiseerd te krijgen. Dat stelt André Biesheuvel, partner bij advieskantoor Duthler Associates, tijdens het Computable Debat over dataveiligheid.
Biesheuvel stelt dat gemeenten verder zijn dan ict-leveranciers en dat leverancier nog veel slagen moeten maken om aan de benodigde veiligheidseisen te voldoen. ‘Zet ook vast in een contract dat het gaat om gedeelde verantwoordelijkheid en houd een vinger aan de pols. Betrek eventueel ook een derde partij en zoek de samenwerking met andere gemeente om eventueel een contract bij een it-leverancier af te dwingen.’
Het debat vindt plaats tijdens het congres Overheid 360 in Jaarbeurs Utrecht. Andere deelnemers aan het debat zijn Gershon Janssen, directeur bij OASIS en Arwi van der Sluijs, algemeen directeur en consultant cybersecurity services bij True-xs Cyber Security. Het debat werd geleid door Computable-hoofdredacteur Sander Hulsman en Jule Hintzbergen, adviseur Informatiebeveiliging IBD bij KING Gemeenten.
Lees ook het achtergrondartikel: Overheid en it-leveranciers botsen over GDPR.
Deze wet gaat door zoveel partijen overtreden worden dat toezicht hierop onhoudbaar zal blijken te zijn mede vanwege het feit dat overtredingen heel lastig op te sporen zijn. En zal er dus selectiviteit ontstaan waarbij er boetes uitgedeeld worden aan partijen die als voorbeeld gesteld worden.
@Johan : het is niet al te ingewikkeld om structuur te geven aan dit soort quasi-chaotische situaties.
Een goede regie met een Quick Scan + ‘hitlist’.
Bovenaan de hitlist van 20-30 meest-voor-de-hand-liggende isues staat met stip #1 : ‘Is terecht GÉÉN DPO aangesteld?’.
Zo niet dan kun je al een sanctie opleggen, escaleren naar een hoger expertise-niveau en verdere maatregelen nemen.
Is die DPO er wél dan kun je de rest van de hitlist met hem/haar afwerken.