BIO2 Inleiding - Impact van risico's: schade voor burgers

[l-groenewegen]

Als overheid zijn wij er in de eerste plaats voor de burgers. Begin de opsomming van de impact van risico's uitdrukkelijk met:

• Schade voor de burger

[keeshint]

We kunnen je opmerking intern bespreken, maar persoonlijk denk ik dat "Schade voor de burger" een privacy aspect is terwijl de BIO zich richt op de bedrijfsvoering van de organisatie.

[floort]

Het standpunt dat de BIO (of ISO 27001) bedoeld is om de organisatie te beschermen en niet betrokkenen zie ik vaker langskomen. Misschien is het goed om dit stanpunt expliciet te herhalen in de BIO om expliciet te maken dat risico's voor de burgers/betrokkenen expliciet niet onder de BIO vallen. Anders kan de verwarring ontstaan dat bijvoorbeeld BIO compliance kan helpen bij het voldoen aan artikel 32 AVG. Ook zie ik wel eens incidenten bij overheidsinstellingen waarbij men niet erg duidelijk durft te zijn over de vraag of het een beveiligingsissue is of een bedoelde onrechtmatige verwerking. Meer duidelijkheid op dit vlak zou ik willen aanmoedigen.

[keeshint]

De BIO voldoet natuurlijk wel uitstekend als het gaat om het nemen van passende organisatorische en technische maatregelen. En daarnaast: Als uit de scope van het ISMS blijkt dat er persoonsgegevens verwerkt worden dan komt het privacy aspect vanzelf om de hoek kijken en dan zal ook vanuit de AVG het een en ander gedaan moeten worden. Dus het privacy haakje volgt vanzelf als het aspect binnen de scope valt.

[l-groenewegen]

"Schade voor de burger" beperkt zich niet tot privacy-impact van beveiligingsincidenten (vanuit vertrouwelijkheid). Het kan ook gaan om incorrecte beslissingen voor burgers op basis van onjuiste informatie (integriteit) of vertragingen in de dienstverlening waar burgers last van ondervinden (beschikbaarheid).

[floort]

Misschien helpt een enigszins recent voorbeeld: Een gemeente gebruikt (waarschijnlijk ondoordacht) onrechtmatig tracking cookies op de website. Ik denk: dat is tegen het beleid van de gemeente en de BIO, ik meld het als een inbreuk op de beveiliging. Onbevoegde partijen krijgen namelijk toegang tot persoonsgegevens van bezoekers op de website. De gemeente weigert dit als beveiligingsissue op te pakken omdat dit een privacy issue is. Het beveiligingsbeleid is niet bedoeld om burgers te beschermen tegen de acties van een leverancier van de gemeente. Lijkt me niet wenselijk, maar het is een zorg voor anderen en dat is duidelijk.

Ik denk dat het belangrijk is om helder te benoemen wie je beschermt tegen welke risico's. Als de BIO er niet is om burgers te beschermen tegen risico's is dat prima maar benoem dat. Als de BIO er wel is om (ook) burgers te beschermen lijkt mij dat belangrijk genoeg om die expliciet te benoemen. Het zou voor mij toch op zijn minst een plekje boven "Directe imagoschade" verdienen. Zeker in gevallen waarbij dat belang en dat van burgers in conflict kan zijn (hoe transparant ben je bijvoorbeeld over beveiligingsincidenten?) is het belangrijk om duidelijk te maken of de maatregelen er ook zijn om burgers te beschermen.

Ik zeg overigens niet dat de BIO niet helpt bij het nemen van passende organisatorische en technische maatregelen. Maar ik denk dat het belangrijk om duidelijk te maken wiens risico het helpt beheersen. Vertrouwen van burgers wordt wel genoemd, waarom niet ook concreet noemen dat maatregelen ook dienen om tegen risico's van burgers te beschermen?