PB Data, creating insights

Inzicht in en bescherming van data is van levensbelang voor iedere organisatie. In deze tijd van steeds verdergaande automatisering groeit de hoeveelheid data exponentieel. Met de juiste specialistische kennis op het gebied van data verbetert u uw concurrentiepositie.

De professionals van PB Data helpen u de prestaties en effectiviteit van uw bedrijf te vergroten. Wij adviseren en ondersteunen u bij uw data-, risk-, security- en privacyvraagstukken. Dit doen we op interim-, project- of consultancybasis. PB Data is een ontwikkelingsinstituut voor talenten die dit soort vraagstukken willen doorgronden en zich hierin blijven ontwikkelen.

PwC: Nederlandse organisaties niet klaar voor aangescherpte privacyregels

PwC: Nederlandse organisaties niet klaar voor aangescherpte privacyregels Nog een klein jaar en dan moeten alle organisaties in Nederland voldoen aan de EU-verordening over privacy en databescherming. Deze is veel strenger dan de huidige Wet bescherming persoonsgegevens. Toch is slechts 12 procent van de organisaties op dit moment helemaal voorbereid op de nieuwe regels. Dat percentage ligt nauwelijks hoger dan aan het begin van dit jaar. Dat blijkt uit het periodieke Privacy Governance-onderzoek van PwC onder 351 Nederlandse organisaties. De enquête is eind mei gehouden. Meer dan de helft van de ondervraagde organisaties is zelfs nog niet begonnen met voorbereidingen. Verwerking en bescherming persoonsgegevens De Europese Algemene Verordening Gegevensbescherming (AVG) gaat op 25 mei 2018 in en heeft grote gevolgen voor de verwerking en bescherming van persoonsgegevens binnen organisaties. Centraal staan het verkrijgen van inzicht in de verwerkingen van persoonsgegevens en datastromen en het vooraf borgen van privacy bij nieuwe producten en systemen (privacy by design & privacy by default). Ook krijgt iedereen het recht ‘om vergeten te worden’. Onderschatting voorbereidingstijd “Veel organisaties onderschatten de voorbereidingstijd die de talrijke procedurewijzigingen en technische aanpassingen van hen vragen”, zegt Bram van Tiel, securityspecialist bij PwC. Dat 69 procent geen inzage- of correctieprocedures en 43 procent geen beleidsregels voor datalekken heeft en een derde datalekken niet bijhoudt, geeft bovendien te denken. Aan een deel van deze regels moet een organisatie op basis van de huidige Nederlandse wetgeving al sinds 1 januari 2016 voldoen. Kans op boetes Dat betekent dat er veel organisaties zijn die boetes tot 820.000 euro riskeren. Die boetes kunnen vanaf mei 2018 oplopen tot twintig miljoen euro of vier...

Wat is ENSIA?

ENSIA Elk jaar moeten gemeenten zich verantwoorden over de kwaliteit van de informatieveiligheid van diverse informatiesystemen. In 2017 gebeurt dit voor het eerst met een nieuwe Audit systematiek: de Eenduidige Normatiek Single Information Audit (ENSIA). Deze nieuwe systematiek maakt het beantwoorden van de uitvraag over informatieveiligheid gemakkelijker en efficiënter. Met ENSIA wordt de verantwoordingssystematiek over BRP, PUN, Suwi, BAG, BGT en DigiD gebundeld. Bovendien sluit hiermee de horizontale verantwoording over informatieveiligheid aan op de gemeentelijke planning en control-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van hun gemeente en kan het bestuur beter sturen en verantwoording afleggen aan de gemeenteraad. Voorheen waren er aparte audits voor de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet). Vanaf 1 juli 2017 komt de zelfevaluatietool voor ENSIA online en heeft u de tijd om de vragenlijst in te vullen. De IBD adviseert, als opsteller van de BIG, de VNG, de gemeenten en het project implementatie ENSIA van KING bij de implementatie van ENSIA in 2017. Voor meer informatie over ENSIA kunt u terecht op de website van KING en de website van...

Overzicht meldingen datalekken eerste kwartaal 2017

Van januari tot en met maart 2017 zijn er ruim 2300 datalekken gemeld aan de Autoriteit Persoonsgegevens (AP). De meeste datalekken werden gemeld vanuit de sectoren gezondheid en welzijn (27%), financiële dienstverlening (21%) en openbaar bestuur (20%). De AP startte in deze periode 135 onderzoeken naar beveiliging en datalekken. Dit gaat ook om mogelijke datalekken bij organisaties die deze niet hebben gemeld. Een deel van de onderzoeken loopt nog in het tweede kwartaal. De AP gaf het merendeel van de onderzochte organisaties een waarschuwing. Over het algemeen leidde dat tot beëindiging van de overtreding. Er zijn in het eerste kwartaal van 2017 geen boetes uitgedeeld. Wat voor datalekken? Het meest voorkomende type datalek was het versturen of afgeven van persoonsgegevens aan een verkeerde ontvanger (45% van de meldingen). Bijvoorbeeld een brief met gevoelige gegevens die bij de verkeerde persoon terecht is gekomen en is geopend. Hoeveel mensen? In ruim 60% van de meldingen in het eerste kwartaal van 2017 ging het om minder dan 10 mensen. Dat hangt samen met het soort datalekken dat het vaakst voorkomt. Wordt bijvoorbeeld een brief verkeerd bezorgd, dan gaat het om de gegevens van 1 persoon. In een kleine 4% van de meldingen ging het om de gegevens van 5.000 mensen of meer. Bijvoorbeeld een besmetting met ransomware waarbij mogelijk gegevens van 300.000 mensen waren gelekt, waaronder financiële gegevens en kopieën van ID-bewijzen. Of een klantportaal waarbij de NAW-gegevens en het BSN van 480.000 mensen mogelijk zichtbaar waren geweest voor andere klanten. Het grootste aantal betrokkenen dat werd gemeld, was 680.000....

Doelmatiger verantwoordingsproces informatieveiligheid – Gemeenten

Interview met Paulien van der Hoeven en Jan Roodnat Doelmatiger verantwoordingsproces informatieveiligheid Gemeenten moeten verantwoording afleggen aan de gemeenteraad over de inrichting en werking van de informatieveiligheid. Daarnaast moeten gemeenten zich naar de rijksoverheid verantwoorden over een veelheid aan onderwerpen die met informatieveiligheid verband houden, zoals DigiD, basisregistraties personen, gebouwen en adressen, paspoortuitgifte, SUWINET, et cetera. Dat kan efficiënter en effectiever dan nu gebeurt. We spreken met Paulien van der Hoeven en Jan Roodnat, twee personen die betrokken zijn bij het verbeteringstraject op dit terrein. In November 2013 heeft de Vereniging van Nederlandse Gemeenten (VNG) een resolutie aangenomen waarin ten eerste het belang van informatieveiligheid wordt onderstreept door middel van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en ten tweede de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) wordt opgeroepen om de audit- en verantwoordingsinspanning bij de gemeenten drastisch in te perken. Hier is het project ENSIA (‘Eenduidige Normatiek Single Information Audit’) uit voortgekomen. Deze zomer zijn de eerste pilots van het ENSIA-project bij enkele gemeenten gestart. We spreken over het project met projectleider Paulien van der Hoeven en Jan Roodnat, die namens de Auditdienst Rijk het ministerie van BZK adviseert en in die hoedanigheid is opgenomen in de ENSIA-Stuurgroep. Verantwoordingsproces over informatieveiligheid verder professionaliseren In 2013 heeft het ministerie van BZK de Informatiebeveiligingsdienst (IBD) opgezet. Dat leidde tot de publicatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten. Projectleider Paulien van der Hoeven: ‘Veel gemeenten maken in de praktijk werk van de implementatie van de BIG, maar worstelen met de grote verantwoordingsinspanning die moet worden geleverd voor diverse projecten en verschillende departementen. Dat kost erg veel capaciteit en daardoor wordt de...

De noodzakelijke transitie van IT-auditing

Interview met Paul van Kessel De noodzakelijke transitie van IT-auditing Paul van Kessel (1958) is sinds 2006 wereldwijd verantwoordelijk voor de (IT-) Risk Assurance en Advisory Services van EY. Zijn rol is momenteel Global Managing Partner Cybersecurity Services. Deze bijzondere positie en zijn ervaring vormen voor ons de aanleiding om hem te interviewen, benieuwd als we zijn naar zijn observaties aangaande de inzet en relevantie van IT-auditprofessionals in Nederland maar ook wereldwijd. ’Wat mij in het bijzonder opvalt is het denken in vastomlijnde hokjes dat in het Nederlandse domein nog steeds rondom de afzonderlijke disciplines en hun beroepsorganisaties heerst. Nergens ter wereld zie je zoveel publicaties of toekomstverkenningen met titels als ‘The future of IT-auditing’; ‘The future of operational auditing’, et cetera. NOREA is 25 jaar geleden opgericht. Vanaf de zijlijn heb ik de totstandkoming van NOREA meegemaakt. De personen die daar destijds het initiatief toe hebben genomen waren voornamelijk accountants en consultants die zich gingen richten op de audit met behulp van IT. Data-analyses werden ondersteund en uitgevoerd met behulp van computers (CAATs, Computer Assisted Audit Techniques). We maakten als het ware de data toegankelijk voor accountants die dat zelf niet konden. Die specialisatie voorzag toen in een grote behoefte en het IT-audit vak heeft zich sindsdien als een afzonderlijke discipline doorontwikkeld en verbreed. NOREA en de IT-auditopleidingen van de universiteiten hebben daaraan een belangrijke bijdrage geleverd.’  Er zijn twee soorten bedrijven, bedrijven die al gehackt zijn en bedrijven die dat nog niet weten… ’De core competence van de IT-auditor heeft te maken met control(s). Als ik naar het beroep kijk, dan is een IT-auditor niet primair...

15 Juni kennissessie “ENSIA” – BIG DenkTank

De BIG DenkTank is het platform voor kennisuitwisseling voor informatiebeveiliging binnen het gemeentelijk domein. In de komende kennissessie staat ENSIA (Eenduidige Normatiek Single Information Audit) centraal. ENSIA is de nieuwe audit systematiek waarmee gemeenten zich vanaf 2017 moeten verantwoorden over de kwaliteit van de informatieveiligheid. ENSIA heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke Planning & Control-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier ook beter op sturen. Uitgebreide informatie kunt u bestuderen op www.ensia.nl en https://www.ibdgemeenten.nl/projecten/ensia/. In deze sessie krijgt u antwoord op de vraag waar uw gemeente aan moet voldoen als ENSIA in werking treedt. Gastspreker is de drs. Robert Flinterman RA. De heer Flinterman is auditmanager bij de Gemeente Den Haag en lid van de projectgroep ENSIA van de Vereniging Nederlandse Gemeenten (VNG). Programma donderdag 15 juni vanaf 12.30 uur: inloop 13.00: start kennissessie 13.15: presentatie drs. R. Flinterman RA 14.15: koffiepauze 15.00: casuïstiek 15:45: beantwoording vragen 16.00: einde kennissessie Tijdens de training worden broodjes geserveerd. Locatie PB Data | Nassauplein 25 | 2585 EC Den Haag Aanmelden Aanmelden kan door een E-mail te sturen naar iddo.post@pbdata.nl, ook uw collega’s zijn van harte welkom. Als genodigde zijn er geen kosten verbonden aan deelname. PE uren De kennissessie wordt verzorgd door de Creating Insights University (CIU), het opleidingsinstituut van PB Data. De CIU is geaccrediteerd door Cedeo, waardoor er PE uren voor de aanwezigheid van gecertificeerde professionals kunnen worden...

PB Data organiseert kennissessie cyber terrorisme

Cyber terrorisme vormt in toenemende mate een belangrijke dreiging voor de publieke sector en de (Rijks)overheid.    In de kennissessie cyber terrorisme van PB Data wordt u geïnformeerd over actuele dreigingen, ontwikkelingen en defensieve maatregelen. Wat is cyber terrorisme precies? Hebben we hier al mee te maken in de praktijk? Hoe zou dit Nederland kunnen treffen? Hoe moeten we ons erop voorbereiden en wat te doen als dit gebeurt? Vragen waarop u tijdens de kennissessie antwoord krijgt. Uw sprekers zijn: Ing. S. (Sijmen) Ruwhof ZCE Sijmen Ruwhof is een zeer ervaren ethisch hacker en IT security consultant. Al 19 jaar is hij gepassioneerd voor alles wat te maken heeft met internetbeveiliging en het ontwikkelen van veilige softwaresystemen. Sijmen is gespecialiseerd in hacking, IT-beveiligingsonderzoeken en het uitvoeren van geavanceerde penetratietesten. Dit doet hij in binnen- en buitenland voor onder andere banken, verzekeringsmaatschappijen, energiebedrijven, overheidsorganisaties en beveiligingsbedrijven. drs. R.H. (Raymond) Bierens MsC MC Raymond Bierens onderzoekt aan de Technische Universiteit Delft als buitenpromovendus sinds 2013 nationale cyber strategieën. Raymond heeft ruim 15 jaar ervaring binnen inter(nationale) defensie- en veiligheidsorganisaties en is adviseur op bestuurlijk niveau van diverse ministeries en organisaties met vitale infrastructuur. Als docent aan de Cyber Security Academy combineert hij zijn onderzoek met zijn inzichten als adviseur en zijn betrokkenheid bij cyber security start-ups. Programma dinsdag 5 juli 2016 vanaf 15.30 uur: inloop 16.00 uur: start kennissessie 18:00: discussie / stellingen 18.30 uur: einde kennissessie, aanvang borrel Tijdens de training worden broodjes geserveerd.   Locatie PB Data | Nassauplein 25 | 2585 EC Den Haag Aanmelden kennissessie cyber...

Versie 1.1 Privacy Impact Assessment (PIA) gepubliceerd

De NOREA Kennisgroep Privacy heeft een verbeterde versie van de Privacy Impact Assessment gepubliceerd, mede op basis van de eerste feedback van gebruikers. Daarbij zijn ook nog enkele correcties en verbeteringen in de structuur van de tabel aangebracht. De PIA zal worden geëvalueerd en in de toekomst verder worden verbeterd. Het is de bedoeling om de PIA op basis van ervaring en evaluatie als NOREA-handreiking (conform artikel 15 Reglement Beroepsbeoefening) vast te stellen. Dit document heeft tot dat moment de formele status van studierapport (conform artikel 18 Reglement Beroepsbeoefening). Document: Privacy Impact Assessment, versie 1.1 Bron: NOREA, de beroepsorganisatie van IT-auditors in...

Privacyboetes van materieel belang stellen hoge eisen aan risicomanagement

Op dinsdag 26 mei heeft de Eerste Kamer de “meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp” aangenomen. Deze meldplicht geldt met ingang van 1 januari 2016. Daarmee wordt iedere organisatie in Nederland verplicht om in bepaalde gevallen datalekken te melden aan de toezichthouder en aan de individuele betrokkenen. Daarnaast krijgt de toezichthouder de bevoegdheid om hoge boetes op te leggen bij overtreding van de Wet bescherming persoonsgegevens. Tenslotte zal het College bescherming persoonsgegevens worden omgedoopt in Autoriteit persoonsgegevens. In welke situatie de meldplicht datalekken geldt is in de wet in algemene termen beschreven. Die algemene termen zullen door de Autoriteit persoonsgegevens nog nader in zogenaamde richtsnoeren worden uitgewerkt. Een concrete normuitwerking is van groot belang om rechtsonzekerheid zo veel als mogelijk te voorkomen. NOREA zal mede daarom input geven bij de consultatieronde van de richtsnoeren. Beperking van rechtsonzekerheid is des te meer van belang doordat de wetsbrede boetebevoegdheid van de Autoriteit persoonsgegevens tegelijkertijd sterk wordt uitgebreid. Boetes tot een maximum van € 810.000 of 10% van de jaaromzet per geval behoren tot de mogelijkheden. Boetes van materieel belang. Tezamen met de steeds grotere reputatiegevolgen van privacy-incidenten vormt dit een reëel risico voor de continuïteit van ondernemingen. Vanuit overheid, toezichthouder, accountants en betrokkenen komt het vergrootglas op hoe organisaties de persoonlijke levenssfeer beschermen. Het belang voor organisaties om “in privacy control” te zijn neemt hierdoor sterk toe. Dit betekent dat het specifiek op privacy gerichte risicomanagement bij veel organisaties intensivering behoeft. Een Privacy Audit of een Privacy Impact Assessment kunnen hieraan bijdragen. Gekwalificeerde IT-auditors, ingeschreven in het NOREA-register, kunnen u in dat verband bijstaan. Voor nadere informatie en/of contact met...

Uitgelicht

Bij PB Data weten we hoe belangrijk het is om controle te hebben over informatie. PB Data heeft kennis en ontwikkeling op dit gebied hoog in het vaandel staan. Ben je als professional op zoek naar een baan in het bedrijfsleven en spreekt de accountancybranche jou ook aan? PB Data levert jou die combinatie. Neem contact met ons op voor meer informatie.

Iddo Post

Iddo Post

directeur

Wilt u meer weten over PB Data? Neem dan contact op met Iddo Post.

Contact PB Data

12 + 6 =