It-leveranciers kunnen niet voldoen aan het door gemeente gevraagde beveiligingsniveau dat voor de GDPR nodig is. Om te voorkomen dat de nieuwe wet als een molensteen om de nek hangt, moeten gemeenten it-leveranciers blijven aansporen en door de gangen slepen om hun beveiligingseisen gerealiseerd te krijgen. Dat stelt André Biesheuvel, partner bij advieskantoor Duthler Associates, tijdens het Computable Debat over dataveiligheid.
Biesheuvel meent dat gemeenten verder zijn dan ict-leveranciers en dat leveranciers nog veel slagen moeten maken om aan de benodigde veiligheidseisen te voldoen. ‘Zet ook vast in een contract dat het gaat om gedeelde verantwoordelijkheid en houd een vinger aan de pols. Betrek eventueel ook een derde partij erbij en zoek de samenwerking met andere gemeenten om eventueel een contract bij een it-leverancier af te dwingen.’
Het debat vond plaats tijdens het congres Overheid 360 in Jaarbeurs Utrecht. Andere deelnemers aan het debat waren Gershon Janssen, directeur bij OASIS, en Arwi van der Sluijs, algemeen directeur bij True-xs Cyber Security. Het debat werd geleid door Computable-hoofdredacteur Sander Hulsman en Jule Hintzbergen, adviseur Informatiebeveiliging IBD bij KING Gemeenten.
Volgens Hintzbergen zijn gemeenten goede ‘hoeders van de privacy’. ‘Gemeenten zijn op de goede weg en bewust bezig met privacy en persoonsgegevens. Ze zijn echter nog niet klaar met de voorbereidingen op de GDPR, er moet nog het een en ander gebeuren.’
Van der Sluijs meent dat het ergste nog moet komen. ‘De WannaCry-aanval is wat dat betreft een wake-up call. Van het weekend zijn we veel gebeld, veel partijen hadden onvoldoende capaciteit om gemeentes en andere partijen ter hulp te schieten. En deze aanval viel mee, we zijn nog niets gewend. We moeten ons voorbereiden op cyberincidenten en niet ad hoc reageren zoals nu het geval was. Cyberellende blijft en zal steeds meer gemeengoed worden. We moeten ons beter voorbereiden, onder andere door in kaart te brengen welke risico’s je als overheidsinstelling wilt lopen.’
Nieuwe patches
Van der Sluijs stelt dat als gemeenten hun patches op orde hadden, WannaCry geen effect zou hebben. Ook valt het succes van deze cyberaanval volgens hem tegen. ‘Als je naar het verdienmodel kijkt, hadden ze geen succes. Ze hebben slechts 31 bitcoins, ofwel nog geen 50.000 euro, gescoord.’
Piet Woudt, ciso van de gemeente Houten, stelt dat systeembeheerders bij zijn gemeente niet te spreken zijn over het kwaliteitsniveau van de patches. ‘Ze zijn bang voor kinderziektes en daardoor huiverig om patches in te voeren. Bovendien is het uitschakelen van een oude Windows-versie binnen een zakelijke omgeving moeilijker dan bij een privéapparaat.’
Van der Sluijs beaamt dit en stelt dat hier ook een verantwoordelijkheid bij Microsoft ligt. Janssen onderstreept het belang van het doorvoeren van nieuwe patches. ‘Het is essentieel om het tempo hoog te houden, want anders zijn de gevolgen onbekend.’
Hij voegt hieraan toe dat gemeenten kritisch naar hun partners moeten kijken. ‘Partners hangen vaak via een vpn-verbinding aan het netwerk. Het is daarom belangrijk om te kijken naar hoe zij zijn gepached, vraag naar hun beleid. Je lijkt schijnbaar veilig, maar als een toeleverancier besmet is, raak je alsnog geïnfecteerd.’
‘GDPR-deadline haalt niemand’
Janssen stelt dat geen enkele gemeente de GDPR-deadline, 25 mei 2018, gaat halen. ‘Het is ontzettend complex wat moet gebeuren. Niemand heeft het totale overzicht.’
Wat zijn hiervan de gevolgen? Biesheuvel: ‘Veel mensen vergeten dat er in Nederland al vanaf 1 januari 2016 een wet omtrent data van burgers is; de Nederlandse meldplicht datalekken, onderdeel van de Wet Bescherming Persoonsgegevens. Gemeenten en andere instanties moeten dus al ruim een jaar bewust zijn van hun omgang met data.’
Daarnaast geeft hij extra duidelijkheid over de Europese GDPR. ‘Gemeenten gaan ten onrechte uit van de GDPR-deadline van 25 mei 2018, terwijl de wet al op 24 mei 2016 in werking is getreden. Er is afgesproken dat tot 25 mei 2018 toezichthouders terughoudend zijn in het uitdelen van sancties en overtreders van deze wet eerst een waarschuwing krijgen.’
Vanaf mei 2018 wordt dat volgens hem anders. ‘Ik verwacht dat ze vanaf 25 mei 2018 direct een bestuurlijke sanctie geven in plaats van een waarschuwing. Ook wil ik benadrukken dat overheden zeker niet gevrijwaard zijn van deze sancties en net zoveel kans maken op controle en eventuele sancties als bedrijven.’
Wie is bij gemeenten eigenlijk verantwoordelijk voor de veiligheid van data? Woudt is dat naar eigen zeggen niet. ‘Ik ben verantwoordelijk voor de coördinatie op het gebied van informatieveiligheid en draag niet de volledige verantwoording.’
Ook de deelnemers aan het debat zijn die mening toegedaan. Hintzbergen beaamt dat de ciso niet verantwoordelijk is en dat er bij elke gemeente een proceseigenaar moet zijn die verantwoordelijk is en bijvoorbeeld besluit of er opgeschaald moet worden en of er geld aan extra beveiliging wordt uitgegeven. De ciso is vervolgens degene die de strategie uitvoert.
Ethisch vraagstuk
Het is volgens Biesheuvel belangrijk om te beseffen dat de GDPR een ethisch vraagstuk betreft. ‘Neem de burger serieus. Je moet je verantwoorden over het dataverkeer. Het is hierbij essentieel dat het college en topambtenaren hierin mee gaan. Velen denken dat ze nu niets hoeven te doen, omdat de controle pas in mei 2018 begint. ‘Het zal me een worst zijn’, is een hele slechte strategie. Ik adviseer om ambtenaren binnen je gemeente vrij te maken om de boel te regelen. Besef ook dat het geen politiek is, maar een administratief proces.’ Biesheuvel onderstreept dat afwachten geen zin heeft. ‘Je moet antwoord kunnen geven op vragen als ‘hoe gebruik je mijn gegevens’ of ‘wilt u mijn gegevens verwijderen.’ Van der Sluijs benadrukt dat gemeenten verantwoordelijk zijn voor de security van de data. ‘Het is daarom je plicht om verwerkers van je data te toetsen op het veilig verwerken van privacygegevens.’
Biesheuvel stelt ten slotte dat er een paradigmaverandering nodig is. ‘Gemeenten zijn als strandjutters, ze blijven maar persoonsgegevens verzamelen. Zie de GDPR liever als een aanmoediging om informatie waar geen grondslag voor is, weg te gooien.’
Even voor de duidelijkheid:
Hebben we het hier over de EU GDPR, in de volksmond meestal de GDPR genoemd of over de nederlandse wetgeving, de WBP?
Er vanuit gaande dat men hier de EU GDPR bedoeld begrijp ik niet waar deze Hr.Biesheuvel deze info vandaan heeft. Voor zover ik weet is alleen de nieuwe, strengere, Wet Bescherming Persoonsgegevens op 1 januari 2016 in werking getreden, niet de Europese GDPR. Sterker nog, de EU GDRP is pas op op 14 april 2016 definitief vastgesteld.
Nederland loopt zoals wel vaker het geval is voorop en heeft met de wijzigingen in de WBP al een stap gezet in dezelfde richting als de EUGDPR, maar er zitten wel degelijk nog flinke verschillen tussen de twee.
Zie ook hier: http://www.eugdpr.org:
After four years of preparation and debate the GDPR was finally approved by the EU Parliament on 14 April 2016. It will enter in force 20 days after its publication in the EU Official Journal and will be directly application in all members states two years after this date. Enforcement date: 25 May 2018 – at which time those organizations in non-compliance will face heavy fines.
We hebben het hier natuurlijk over een afgeleid probleem van de GDPR.
Wat dat met chantage te maken heeft is niet duidelijk.
“Zet ook vast in een contract dat het gaat om gedeelde verantwoordelijkheid” slaat vanuit GDPR-perspectief nérgens op. Het is de *verwerkingsverantwoordelijke* die verantwoordelijk is en blíjft. Wie denkt dat contractueel uit te kunnen besteden en met boeteclausules af te kunnen dekken gaat van een koude kermis thuis komen.
En daar zullen er best véél van zijn, getuige de voortgang rond de invoering van de GDPR.
Maar als IT-leveranciers feitelijk niet in staat zijn te leveren heb je dús als verwerkingsverantwoordelijke *feitelijk* geen contract. Laat staan dat ‘door de gangen slepen’ van de leverancier zin heeft.
Maar art. 32 GDPR is daarover ook heel duidelijk.
Zoals ik vorig jaar deze tijd al voorspelde “over twee jaar gaan bedrijven en overheden brandbrieven sturen ‘dat het toch wel érg veel werk is en méér tijd kost dan gedacht’.”
Blijkens bovenstaand congresverslag is men daarmee nú alvast begonnen.
Echter, als zoals Janssen stelt “geen enkele gemeente de GDPR-deadline, 25 mei 2018, gaat halen” kunnen deze gemeenten nú alvast gaan reserveren voor komende boetes.
In tegenstelling tot de AP heeft Europa immers al ruimschoots aangegeven geen énkele consideratie te zullen hebben met non-compliance.
En ondanks bovenstaande merkwaardige Babylonische spraakverwarring tijdens het debat is volstrékt helder wie de verantwoordelijken zijn voor de GDPR-Governance&Compliance;.
Bij betreffende bestuurders lijkt echter de idee te leven dat men sancties wel kan afwentelen op klant of belastingbetaler.
Zulks ten onrechte. In diverse landen maar ook Europees is men druk doende de GDPR-sanctionering tot een persoonlijk aansprakelijkheid van de bestuurder te maken.
Dat kon op afzienbare termijn dus wel eens leiden tot een toenemend vertrek van wethouders, gedeputeerden, leden van RvB en RvC, etc.
De wet bescherming persoonsgegevens is niet in januari 2016, in werking getreden hier wordt de wet meldplicht datalekken bedoeld en deze meldplicht maakt deel uit van de Wbp. De Wbp die de invulling is van de Richtlijn 95/46 komt straks te vervallen. De Avg ( EU GDPR) geldt voor de hele EU.
In 2011 had WRR het over de paradigmaverandering van e-overheid naar i-overheid dus chronologisch lijken gemeenten achter de feiten aan te lopen. Ook de GDPR zelf is niet echt een ‘donderslag aan de heldere hemel’ omdat de wolken rond privacy zich al langer samenpakten. De GDPR is namelijk wel degelijk politiek als we even kijken naar motivatie erachter rond een teruglopend vertrouwen in de overheid.
IT leveranciers verantwoordelijk stellen voor organisatorische (politieke) problemen is wel heel makkelijk ontzorgen. En het idee van de gedeelde verantwoordelijkheid gaat om publiek-private samenwerking wat dus een paradigmaverschuiving is in de wijze van aanbesteden, goed idee maar het maakt wel een heleboel ‘requiremensen’ werkeloos en is politiek dus kansloos.
De Angelsasksische term ‘accountability’ leert dat je de techiek wel uit kunt besteden maar de governance niet. Lekker autistisch breng ik hele discussie over de GDPR terug naar accountability over het I/O pad welke door een koppelvlakken circus gewoon een paradigmaverschuiving van data naar de gebruiker brengen en de gebruiker naar de data brengen gaat. De paradigmaveranderingen van decentraal naar centraal en vice versa werkt helaas ook al niet mee in het nemen van de regie.
Idee om de GDPR als aanleiding voor verwijderen van data die een grondslag voor bewaren missen te gebruiken geeft aan dat ransomware behalve bedreigingen ook kansen biedt als we kijken naar de DRM modellen.
Gelukkig zijn een aantal sectoren eerder gestart met de testdata problematiek waardoor oplossingen inmiddels goed voorhanden zijn. De zorgverzekeraars, pensioenuitvoerders en banken gingen de Nederlandse overheid voor.
Tooling om ketenconsistent te subsettenen en te anonimiseren en de aanpak met de handen om dat te doen zijn volwassen en beschikbaar.
De uitdaging zit in het meekrijgen van betrokkenen en niet zozeer in de techniek. Gemeenten kunnen zelf deze tooling (als dan niet met ondersteuning) in gebruik nemen of aan hun pakket leveranciers vragen dat te doen. De praktijk is vaak een combinatie van beide.
Een gemeente die vandaag begint met een testdata traject zou een heel eind moeten komen om, in elk geval op het gebied van testdata, compliant aan de GDPR te zijn.
Gelukkig zijn een aantal sectoren eerder gestart met de testdata problematiek waardoor oplossingen inmiddels goed voorhanden zijn. De zorgverzekeraars, pensioenuitvoerders en banken gingen de Nederlandse overheid voor.
Tooling om ketenconsistent te subsettenen en te anonimiseren en de aanpak met de handen om dat te doen zijn volwassen en beschikbaar.
De uitdaging zit in het meekrijgen van betrokkenen en niet zozeer in de techniek. Gemeenten kunnen zelf deze tooling (als dan niet met ondersteuning) in gebruik nemen of aan hun pakket leveranciers vragen dat te doen. De praktijk is vaak een combinatie van beide.
Een gemeente die vandaag begint met een testdata traject zou een heel eind moeten komen om, in elk geval op het gebied van testdata, compliant aan de GDPR te zijn.
It-leveranciers in Scandinavië voldoen al jaren, maar gemeentes willen per se een Nederlands softwarepakket.