Zaken die mis kunnen gaan

*Muziek* 

Beeldtekst: Microlearnings.
Beveiliging.

BART PIETERS - ADVISEUR INFORMATIEBEVEILIGING EN PRIVACY, MINISTERIE VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES:
Ik ben Bart Pieters van de CIO Rijk. 
Daar ben ik adviseur Informatiebeveiliging en Privacy. 
Er gaan weleens dingen mis. 
Daar praat ik over met Wim Overeem van Buitenlandse Zaken. 
Wim, AP kwam bij jullie langs voor het visumsysteem.
Niet naar aanleiding van een datalek.
Wat was er aan de hand?

WIM OVEREEM – COÖRDINATOR AVG & IB, MINISTERIE VAN BUITENLANDSE ZAKEN: 
Vanuit een Schengen-evaluatie, door Brussel opgezet is er een aanbeveling voor de Autoriteit Persoonsgegevens geweest waarin zij werden gemaand om onderzoeken te doen op ambassades.
Daarvoor kom je bij Buitenlandse Zaken terecht.
Dat hebben ze gedaan in Londen, in Dublin en ook bij onze backoffice hier in Den Haag.
Dat heeft geresulteerd in een handhavingsbesluit en een boete en een last onder dwangsom op het Schengenvisumproces, inderdaad.

BART PIETERS:
En die boete. 
Dat is natuurlijk heel vervelend en kost veel tijd.
Maar heeft het ook positieve dingen gebracht? 

WIM OVEREEM:
Natuurlijk. 
De hele organisatie wordt wel weer even op scherp gezet.
Een boete van een half miljoen, een last onder dwangsom op twee onderdelen. 
Daarmee is het belang van informatiebeveiliging en privacy wel duidelijk geworden.

BART PIETERS:
En dan alleen voor dat ene systeem of heeft het ook nog een olievlekeffect gehad?

WIM OVEREEM:
Ja, uiteraard, ook voor andere systemen, andere processen geldt natuurlijk hetzelfde.
Ook daarvoor gelden dezelfde normen en wetten wat betreft informatiebeveiliging en privacy. 

BART PIETERS:
Toen kregen jullie de boete en heb je besloten om allerlei partijen binnen de Rijksoverheid te gaan informeren.
Waarom ben je dat gaan doen?

WIM OVEREEM:
In eerste instantie, het boetebesluit is natuurlijk openbaar.
Dat staat op de website van de Autoriteit Persoonsgegevens.
Maar vanuit dat visumproces nemen wij deel aan de zogenaamde migratieketen met onder andere IND, politie,
Koninklijke Marechaussee.
Binnen die migratieketen zijn we op een aantal centrale systemen aangesloten.
Het was heel logisch dat wij die partijen ook zijn gaan informeren.
Dat verzoek was ook vanuit die partijen duidelijk naar voren gekomen binnen de overleggen die we hebben op regelmatige basis.

BART PIETERS:
Want je werkt in vertrouwen samen.
Als er dan iets misgaat, is het goed om elkaar erover te informeren, in feite.

WIM OVEREEM:
Ja. 
We hadden de partijen al geïnformeerd dat het onderzoek heeft plaatsgevonden op het moment dat het onderzoek plaatsvond.
Lopende dat onderzoek in de terugkoppeling vanuit de Autoriteit Persoonsgegevens hebben we dat binnen onze organisatie gehouden.
Maar het uiteindelijke boetebesluit en de bevindingen hebben we natuurlijk gedeeld.

BART PIETERS:
Toen je bij iedereen langs bent gegaan, wat heeft dat de andere partijen gebracht?

WIM OVEREEM:
In de eerste plaats dat een onderzoek van de Autoriteit Persoonsgegevens iets anders is dan je eigen interne controle. Die partij kijkt er toch op een andere manier naar.
En ook wel een stukje feedback in die zin dat ook onze partners in de migratieketen wel zeiden: 'Dit is voor ons ook wel een leermoment.'
Dat was voor ons ook een geruststelling dat we het niet heel slecht hadden gedaan.
Maar er is altijd wel ruimte voor verbetering.
Dat is hier ook uit naar voren gekomen.

BART PIETERS:
Zij hebben eigenlijk hun voordeel kunnen doen met jullie probleem door ook direct in hun systemen te kijken wat ze moesten doen.

WIM OVEREEM:
Ja, er zijn toch heel concrete overtredingen geconstateerd.
Een aantal ketenpartners en ook andere afdelingen binnen Buitenlandse Zaken hebben daar ook hun lering uit getrokken.

BART PIETERS:
Als je de rest van de collega's nog wat zou kunnen adviseren wat zou je top drie, vier zijn van dingen die ze op orde moeten hebben?

WIM OVEREEM:
Ik denk als eerste toch wel de administratie op orde.
Dat geldt niet alleen voor een onderzoek, maar ook voor audits, voor je externe audits.
Wanneer externe partijen komen kijken hoe je alles hebt georganiseerd wat betreft informatiebeveiliging en privacy scheelt het je een hoop tijd wanneer je je documentatie, je administratie op orde hebt.

Beeldtekst: Administratie en documentatie op orde.

WIM OVEREEM:
Dat staat voor mij buiten kijf.
Dat geldt ook voor ons.
Daarnaast is het een continuing process.
Als er niets verandert aan al je processen en systemen en de buitenwereld verandert ook niet, dan ben je op een gegeven moment klaar.
Maar dat is helaas niet de realiteit.
Je processen en je systemen veranderen, de buitenwereld verandert.

Beeldtekst: Compliance continu op orde.

WIM OVEREEM:
Dus moet je continu met je informatiebeveiliging en privacy-compliance bezig zijn.
De plan-do-check-actcyclus is wat dat betreft heel belangrijk.

BART PIETERS:
En het management?

WIM OVEREEM:
De betrokkenheid van de directie, van het management is uiteraard belangrijk.
Zij moeten daar geld en middelen voor vrijmaken.
Maar dat was bij BZ op zich wel op orde.
Maar dat is wel belangrijk uiteraard.
Daar begint het.

BART PIETERS:
En vond AP dat er ook iets goed ging?

WIM OVEREEM:
Ja, zeker. 
Ze hebben wat betreft de training, opleiding en awareness van de medewerkers specifiek dan op dit Schengenvisumproces dat als voldoende beoordeeld binnen Buitenlandse Zaken.
Dat is ook goed om dat teruggekoppeld te krijgen.

BART PIETERS:
Dat is ook belangrijk, want dingen gaan weleens mis.
En dat wil je voorkomen, dus bewustwording, dus opleiding. En als het misgaat, wil je ook graag dat ze daar goed mee omgaan.

WIM OVEREEM:
Ja, punt één is natuurlijk dat mensen weten wat ze moeten doen als er iets misgaat.
Daarvoor heb je de formele procedures. Melding van datalekken en incidenten.
Dat is één, maar belangrijker nog is de cultuur: voel je vrij om dingen te melden als het misgaat.

Beeldtekst: Cultuur van openheid en van elkaar leren.

WIM OVEREEM:
Wat dat betreft is die cultuur vaak belangrijker dan het proces, dan de formele procedure.

*Muziek speelt en eindigt* 

Beeldtekst: Microlearnings.
Beveiliging.
Deze microlearning is tot stand gekomen door een samenwerking tussen de Leer- en Ontwikkelcampus (LOC) van UBR, de directie CIO Rijk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BKZ) en de RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO).