Inleiding

Dit artikel bevat ons informatiebeveiligingsbeleid. Cybercrime neemt hand over hand toe en is niet meer weg tedenken uit onze maatschappij. Het risico om slachtoffer te worden, neemt steeds verder toe. Het betreft criminaliteitmet ICT als middel en doelwit. Om slachtoffer van cybercrime te worden, is niet eens een computer ofinternetaansluiting nodig. Zo bevatten de meeste telefoons en bankpassen computerchips, die kunnen wordengemanipuleerd door cybercriminelen.

Ook als administratiekantoor worden wij geconfronteerd met het toenemende risico van cybercrime en de mogelijkegevolgen daarvan voor onze bedrijfsvoering en reputatie als professioneel dienstverlener. Onsinformatiebeveiligingsbeleid, privacybeleid en de maatregelen die uit dit beleid voortvloeien hebben tot doel om deschade te voorkomen dan wel te beperken indien wij slachtoffer worden van cybercrime. Dit mede om te voldoenaan de vereisten vanuit de Algemene verordening gegevensbescherming (AVG) (het nemen van de juistetechnische en organisatorische middelen).

Als administratiekantoor maken wij gebruik van gegevens van onze cliënten en verwerken wij persoonsgegevens.Bedrijfs- en persoonsgegevens kunnen economisch gezien een grote waarde vertegenwoordigen. Het verlies ofbekend worden van deze gegevens kan niet alleen grote bedrijfsschade opleveren voor onze cliënten maar ookvoor ons als professioneel dienstverlener. Dit betekent dat de bescherming van bedrijfs- en cliëntgegevens eenessentiële voorwaarde is voor de ‘Licence to Operate’ van ons als administratiekantoor. Goede informatiebeveiligingis in dit kader essentieel.

Een goede informatiebeveiliging is ook nodig om te kunnen voldoen aan de eisen die vanuit de Algemeneverordening gegevensbescherming (AVG) aan ons kantoor worden gesteld. Uitgangspunt voor ons kantoor hierbij ishet privacybeleid zoals
hier opgenomen.

Aanpak informatiebeveiliging

Informatiebeveiliging omvat het geheel aan maatregelen waar wij onze informatie beveiligen. Het gaat daarbij omalle informatie die wij verwerken, zowel digitaal als niet digitaal. Als kantoor hebben wij niet alleen informatie nodigom onze bedrijfsprocessen uit te voeren, maar ook om de interne bedrijfsvoering bij te sturen en strategischebeslissingen te nemen. Informatiebeveiliging richt zich op het waarborgen van de betrouwbaarheid, bestaande uitintegriteit, beschikbaarheid en vertrouwelijkheid van processen en data.

Naast de drie bovengenoemde aspecten, die betrekking hebben op de informatie en de verwerking ervan,onderkennen wij nog een vierde en een vijfde aspect:

• Beheersbaarheid: de beheersbaarheid is de mate waarin het kantoor, het systeem of een proces kan wordenaangestuurd en/of bijgestuurd, zodat het kantoor, het systeem of het proces aan de gestelde eisen voldoet ofkan voldoen. Beheersbaarheid is de verantwoordelijkheid van de eigenaar;
• Controleerbaarheid: de controleerbaarheid betreft de mogelijkheid om met voldoende zekerheid (achteraf)vast te kunnen stellen of wordt/is voldaan aan de eisen ten aanzien van beschikbaarheid, integriteit envertrouwelijkheid.

Informatiebeveiliging richt zich op het kantoor, de in gebruik zijnde systemen en de processen samen met deverwerkte en opgeslagen data met als doel deze te beschermen tegen dreigingen die de integriteit, beschikbaarheiden vertrouwelijkheid kunnen aantasten, alsmede het toezicht ten aanzien van onder andere de effectiviteit erop.

Informatiebeveiliging is een verantwoordelijkheid van de eigenaar waarin afwegingen worden gemaakt tussen de tebereiken doelen en de ‘risk appetite ofwel risicobereidheid’ (welk risico willen wij lopen) versus de te nemenmaatregelen. Dit betreft een risk based benadering. De dwingende bepalingen in de AVG maken echter dat wij alsadministratiekantoor beperkt worden in onze keuzemogelijkheden, omdat wij passende maatregelen moeten treffenom bijvoorbeeld de rechten van betrokkenen te kunnen waarborgen.

Risicoanalyse versus baseline benadering

Om passende beveiligingsmaatregelen te kunnen nemen is het van belang zicht te hebben op welke gebieden onskantoor de grootste risico’s loopt. Hierbij hebben wij de keuze om een risicoanalyse uit te voeren dan wel voor eenzogenaamde baseline benadering te kiezen. Ons kantoor heeft ervoor gekozen om de baseline benadering toe tepassen omdat het uitvoeren van een risicoanalyse doorgaans veel tijd in beslag neemt en daarmee een (te) grote druk legt op ons kantoor en onze medewerkers. Bij deze baseline benadering heeft ons kantooreen basisbeveiligingsniveau ingevoerd. Vervolgens wordt bepaald welke aanvullende maatregelen noodzakelijk zijnwaarbij periodiek evaluatie plaatsvindt. In het BANVO Kwaliteitssysteem zijn de middelen opgenomen om concreetinvulling te geven aan deze jaarlijkse evaluatie en de vastlegging daarvan.

Uitgangspunten beveiligingsbeleid

Bij de beveiligingsmaatregelen hanteren wij de volgende uitgangspunten:

Het maximeren van de eigen regie

• Wij nemen het initiatief door verantwoordelijkheden binnen ons kantoor (eigenaar) en met partijen(cliënten en verwerkers) expliciet te maken, mede door middel van zowel ons privacybeleid als ons privacystatement;
• Wij inventariseren periodiek de gevolgen van de AVG voor ons kantoor;
• Wij leggen afspraken over gegevens, verwerkingen en verantwoordelijkheden vast in onder andere registersvan verwerkingsactiviteiten en verwerkersovereenkomsten;
• Indien wij verwerkers inschakelen, die gegevens buiten de EU verwerken, leggen wij met deze verwerkersafspraken vast in een door de Europese Commissie goedgekeurd modelcontract voor doorgifte.
• Met verwerkers maken wij concrete werkafspraken voor de uitvoering van inspecties en audits om tecontroleren of de verwerker voldoet aan de afspraken uit de verwerkersovereenkomst, of indien vantoepassing het modelcontract voor doorgifte.

Het maximeren van beheerste flexibiliteit

• Wij vertalen de flexibiliteit van onze dienstverlening naar cliënten in beheersbare bedrijfsvoering doormaximale automatisering;
• Wij hebben cliëntoplossingen maximaal gestandaardiseerd met behoud van keuzevrijheden.

Het minimaliseren van de complexiteit

• Wij passen het ‘Need to know’ principe toe voor alle partijen (medewerkers, cliënten, dienstverleners) in hetverlenen van bevoegdheden. Hierbij voorkomen wij zoveel als mogelijk overtollige of tegenstrijdigebevoegdheden die tot inbreuken kunnen leiden;
• Wij reduceren de complexiteit in de informatievoorziening door de beste oplossing voor het geheel te kiezenen niet alleen de beste deeloplossing. Het geheel van de beste deeloplossingen kan voor een hoge mate vancomplexiteit en dus voor management (lees: privacy) problemen zorgen;
• Wij zijn selectief in creatieve tijdelijke oplossingen. Deze oplossingen kunnen zeer structurele vormenaannemen met alle risico’s van dien;
• Wij minimaliseren de opgeslagen persoonsgegevens omdat persoonsgegevens alleen mogen wordenverwerkt als er een grondslag voor is, of, in aanvulling, wanneer er toestemming van de betrokkene is. Dezegegevens mogen alleen verwerkt worden met betrekking tot het doel waarvoor ze verkregen zijn. Wij zijnalert op eventuele ‘bijvangsten’ aan gegevens die onbedoeld/ongewenst tot extra verplichtingen leiden. Ditvraagt om de nodige beheersingsmaatregelen.

Het maximeren van de aandacht op gedrag

• Wij stimuleren actief, bewust verantwoordelijk en alert gedrag, omdat de ‘mens’ in vele gevallen de zwaksteschakel is in het geheel van beheersingsoplossingen;
• Wij zorgen ervoor dat de relevante mensen binnen ons kantoor (zoals de eigenaar en eventuele andereleidinggevenden) op de hoogte zijn van de nieuwe privacyregels en op de hoogte blijven.

Verantwoordelijkheid

De eigenaar speelt een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. Zo is er een inschattinggemaakt van het belang dat de verschillende delen van de informatievoorziening voor ons kantoor hebben, derisico’s die ons kantoor hiermee loopt en welke van deze risico’s voor ons kantoor onacceptabel hoog zijn. Op basishiervan heeft de eigenaar dit beleid voor informatiebeveiliging opgezet. Deze draagt dit beleid uit naar deorganisatie en ondersteunt bij de bewaking en uitvoering ervan.

De eigenaar geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat deze informatiebeveiligingondersteunt en zich hierbij betrokken voelt. Dit door het uitbrengen en handhaven van eeninformatiebeveiligingsbeleid van en voor alle disciplines van het kantoor.

Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten,informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleidvan ons kantoor en de relevante wet- en regelgeving. De eigenaar van ons kantoor is zelf verantwoordelijk voor hetopstellen en/of uitvoeren en/of handhaven van het beleid.