Nieuwe technologie implementeren? Doe eerst deze 3 veiligheidschecks!

Als je als gemeente nieuwe digitale middelen implementeert, hoort daar aandacht voor de digitale veiligheid bij. Dit is niet alleen een kwestie van de juiste beveiligingssoftware installeren. Het gaat er ook om dat je je organisatie en de mensen die er werken grondig voorbereidt op zowel de mogelijkheden als de risico’s van de nieuwe digitale technologie. Doe daarom een veiligheidscheck voor wetgeving, mensen, processen & systemen en de adoptie als je nieuwe technologie implementeert.

Datum
30 september 2021
Auteur
Wim Hoekstra
Diensten
I&A organisatie op orde
Leestijd
7 min


De kansen en gevaren van nieuwe technologie

Automatisering, digitalisering, vernetwerkisering, vercloudisering, dataficering, robotisering, blockchainisering, kunstmatige intelligentisering; gemeenten zijn volop aan de slag met nieuwe digitale technologieën. Doel is de dienstverlening, werkprocessen en besluitvorming verbeteren. Maar nieuwe technologieën brengen ook risico’s met zich mee, voor de eigen organisatie en voor burgers. Denk onder andere aan ransomware, datalekken of andere schendingen gerelateerd aan privacy. Dat laatste kan bijvoorbeeld het geval zijn als je als gemeente Wifi-tracking inzet. Je doel is misschien loopstromen meten en zo de toegang tot je binnenstad verbeteren. Maar als je niet oplet, komen mensen in bestanden terecht waaruit valt af te leiden waar zij wanneer waren en wat hun winkelgedrag is.

Digitale veiligheid onderwerp voor de bestuurstafel

Digitale veiligheid klinkt misschien als iets technisch en daarmee vooral als iets voor de afdeling I&A. Laat de whizzkids het maar regelen. Die gedachte past echter niet bij de digitale werkelijkheid waarin we vandaag de dag leven en de risico’s die je als gemeente loopt. De VNG geeft duidelijk aan dat digitale veiligheid een urgent onderwerp voor de bestuurstafel is. Door de groei aan digitale producten en diensten binnen de overheid moeten bestuurders, als ze hun werk goed willen doen, de bijkomende risico’s en kwetsbaarheden kennen en daarnaar handelen.

Ransomware als voorbeeld

Een voorbeeld van de vele onderwerpen die aan de bestuurstafel van je gemeente besproken moeten worden, is ransomware. Hoe kun je als organisatie alles op alles zetten om te voorkomen dat je slachtoffer wordt van zo’n aanval? En als je toch slachtoffer wordt, welke stappen moet je dan nemen om de bedrijfsvoering zo snel mogelijk weer op orde te krijgen? Wat doe je in zo’n moment aan interne en externe communicatie? Ga je wel of niet betalen? Het is belangrijk van tevoren over dit soort zaken na te denken, draaiboeken en protocollen op te stellen en niet te wachten tot de werkelijkheid je inhaalt.

Niet alles is te voorkomen

Denk je na over digitale veiligheid dan wil je uiteraard vooral voorkomen dat er dingen misgaan. Want voorkomen is beter dan genezen. Maar helaas wijst de praktijk uit dat ongelukken in kleine hoekjes blijven zitten, zoals een testaccount met een zwak wachtwoord maar wel volledige rechten. Daarom is het belangrijk dat je ook nadenkt hoe je de schade wilt beperken mocht je toch slachtoffer worden van een digitale aanval, hack, datalek of andere schending gerelateerd aan privacy. Want 100% veilig bestaat niet.

3 pijlers veiligheid informatie

Als je nadenkt over de veiligheid van een nieuwe digitale technologie die je gaat implementeren, zijn drie pijlers van belang: beschikbaarheid, vertrouwelijkheid en integriteit.

Beschikbaarheid

Als je systemen (door defecten of kwaadwillenden) uitvallen of onbenaderbaar zijn, kun je niet meer bij je gegevens. Daar heb je dan zelf bij je werkzaamheden veel last van. Maar ook burgers en andere organisaties kunnen dan niet meer bij hun informatie die op jouw uitgevallen systemen staat. Hoe langer dit duurt, hoe groter de schade. Ga je een nieuwe technologie implementeren? Schat dan goed in hoe belangrijk de gegevens zijn die je ermee gaat verwerken. En wie en welke processen er straks afhankelijk van zijn. Maak een passend back-upplan en strakke draaiboeken om in geval van nood de belangrijkste gegevens snel weer toegankelijk te maken.

Vertrouwelijkheid

Je implementeert een nieuwe technologie om de gegevens die dit oplevert te kunnen gebruiken. Tegelijkertijd mogen die gegevens niet zomaar voor Jan en alleman beschikbaar zijn. Dus als je een nieuwe technologie implementeert, is het belangrijk na te denken welke informatie dat gaat opleveren, welke informatie je wilt gebruiken en wie daar bij mag. Dit is extra belangrijk omdat je als gemeente vaak ook gegevens van burgers verzamelt, verwerkt en opslaat. Burgers moeten erop kunnen vertrouwen dat gevoelige informatie veilig is bij jou, je niet meer verzamelt dan je mag en nodig hebt en dat die informatie alleen toegankelijk is voor degenen (of applicaties) voor wie dat noodzakelijk is.

Integriteit

De gegevens in je systemen zijn alleen bruikbaar als je erop kunt vertrouwen dat ze actueel en zonder fouten zijn. De eerste stap daartoe is zorgen dat de data die je verzamelt correct is. Eenmaal opgeslagen, is het zaak ervoor te zorgen dat die data niet (opzettelijk of per ongeluk) ongeautoriseerd kan worden gewijzigd. Dus je moet de data van nieuwe technologieën goed afschermen en voorkomen dat onbevoegden ermee aan het knutselen slaan. Ook de applicaties waarmee je die nieuwe technologieën gaat ontsluiten, mogen geen programmeerfouten bevatten.

Doe deze drie checks!

Kortom, weet waar je aan begint bij het implementeren van nieuwe technologie en zorg dat je de informatiebeveiliging op orde hebt. Hoe? Doe in ieder geval deze drie checks:

Stap 1: check wetgeving

De opkomst van nieuwe digitale technologieën roept veel vragen op met betrekking tot grondrechten en publieke waarden. Check daarom allereerst wat voor impact een nieuwe technologie heeft voor burgers en je eigen organisatie. Wat betekent de nieuwe technologie bijvoorbeeld voor de privacy van burgers? Mag je de gegevens die je (bedoeld en misschien ook onbedoeld) verzamelt, wel verzamelen? Kunnen nieuwe technologieën, of de manier waarop je ze toepast, nadelige gevolgen hebben voor bepaalde burgers of bepaalde groepen juist oneerlijk bevoorrechten?

Stap 2: check de impact op je mensen, processen en systemen

Een nieuwe technologie kan een flinke impact hebben op mensen in de organisatie, de werkprocessen en bestaande informatievoorzieningen . Dat kan gaan om grote en kleine veranderingen, sommige bedoeld, andere onbedoeld. Misschien kun je met een nieuwe technologie bijvoorbeeld bepaalde diensten flink verbeteren, maar wordt het werk van medewerkers er een stuk saaier door. Of heb je minder mensen nodig. Of mensen met andere vaardigheden. Het is belangrijk met een impactanalyse hier een goed beeld van te vormen. Op tijd. Zodat je ‘in control’ blijft en niet achter de gevolgen van een geïmplementeerde digitale technologie aanloopt.

Enkele van de vele vragen die je met zo’n impactanalyse beantwoord zijn: Wat zijn de mogelijkheden van de nieuwe technologie? Welke kansen biedt dit voor onze dienstverlening? Verandert de communicatie met burgers? Verandert het werk voor onze medewerkers? Welke nieuwe risico’s op het gebied van beschikbaarheid, vertrouwelijkheid en integriteit van onze gegevens ontstaan er door de nieuwe technologie? En welke risico’s door het eventueel verkeerd gebruik ervan? En zo door.

Stap 3: check de adoptie

Bij de invoering van nieuwe technologie is het van belang dat mensen de bijbehorende nieuwe functionaliteiten gaan gebruiken. Op de juiste wijze. Dit zorgt ervoor dat je niet alleen flink investeert in die nieuwe technologie, maar er ook daadwerkelijk de voordelen van plukt. Daarnaast is het van belang voor je informatieveiligheid. Want de grootste data-ongelukken ontstaan vaak door menselijke foutjes. Een doordacht adoptieplan is dus cruciaal bij de implementatie van nieuwe toepassingen. Ook na het implementatieproject zelf blijft continue aandacht voor de adoptie van essentieel belang voor je digitale veiligheid.

Informatiebeveiliging niet alleen techniek

Zoals deze checks al aangeven, is informatiebeveiliging zeker niet alleen een kwestie van techniek. Ook mensen spelen een cruciale rol. En de aandacht die je er als organisatie als geheel voor hebt. Informatieveiligheid moet een integraal onderdeel zijn van ieders werk en ook regelmatig op de agenda staan bij werk- en projectoverleggen. Via een mystery guest medewerkers confronteren of een incident stimuleren, kan een prima methode zijn de aandacht hiervoor binnen alle gelederen in je organisatie peil te houden.

Meer informatie?

Wim beantwoordt graag jouw vraag en denkt met jou mee. Of laat je vraag achter in de chat.

Partner
Wim Hoekstra
Er zijn nog genoeg mogelijkheden voor gemeenten om de dienstverlening te verbeteren, meer samen te werken en interne werkprocessen te stroomlijnen. Goede informatisering en automatisering zorgen ervoor dat daarbij ook de wettelijke taken gewaarborgd blijven.
Pagina delen: