In de etalage
'We willen geen ‘nee’ verkopen, maar juist meedenken over hoe het wél kan.'
Wat mag je als gemeente met persoonsgegevens, en waar liggen de grenzen? In een tijd van steeds strengere regels, toenemende cyberdreigingen en razendsnelle technologische ontwikkelingen staan de DISO’s – decentrale information security officers – klaar om mee te denken. Geen ‘nee’, maar: hoe kan het wél? We spraken een van hen over het werk achter de schermen, de uitdagingen van tegenstrijdige wetgeving en de risico’s die dichterbij zijn dan je denkt.
Tegenwoordig hoor je steeds vaker dat grote organisaties, waaronder overheden, te maken hebben met hacks. Dat roept de vraag op: zijn wij als gemeente goed beschermd tegen dit soort aanvallen? Lopen wij risico en wat zijn eigenlijk de risico’s? Gelukkig hebben we collega’s die hier dagelijks mee bezig zijn. Raymond, DISO van Werk en Inkomen, legt uit wat dit werk precies inhoudt en deelt met ons zijn bedenkingen over deze onderwerpen.
Wat doet een DISO precies?
“DISO staat voor decentrale information security officer,” vertelt Raymond van Impelen, DISO bij Werk en Inkomen. “Wij adviseren over alles wat met privacy of informatiebeveiliging te maken heeft. Binnen Werk en Inkomen zijn we met vier DISO’s. Dat is best veel, maar dat heeft alles te maken met de grootte van de afdeling en de complexiteit van de wet- en regelgeving waarmee we werken.”
Kun je je in die wetten vinden?
“Niet altijd. Soms zijn ze gewoon niet goed toepasbaar in de praktijk. Maar dat is ook precies waarom het goed is dat wij dit signaleren. Als we structurele knelpunten zien, dan schakelen we met beleidsmedewerkers om een lobby richting Den Haag op te starten. Alleen: wetgeving aanpassen duurt jaren.”
Daarnaast lijkt er ook steeds meer aandacht te zijn voor databescherming van sociale media.
“Klopt. De techreuzen gaan steeds soepeler om met data. Meta, het moederbedrijf van WhatsApp, Instagram en Facebook, heeft ontzettend veel informatie over bijna iedereen op aarde. En nu AI in opkomst is, komen daar weer nieuwe risico’s bij. Waar gaan die data naartoe? Wie heeft er toegang toe? De technologie ontwikkelt zich zo snel, dat de wetgeving het amper kan bijbenen. Je loopt altijd twee stappen achter.”
En dat is ook het gevaar: je weet nooit precies hoe techniek zich ontwikkelt en hoe je daarop vervolgens moet reageren. Zo worden er nu quantumcomputers gemaakt, een soort super computers. Die kan wachtwoorden kraken waar een gewone computer jaren over doet. Met zo’n machine kunnen gevoelige gegevens binnen no time worden blootgelegd. Ook dat is iets waar we als overheid rekening mee moeten houden.”
Heb je nog een tip voor mensen die hier niet dagelijks bij stilstaan?
“Lock je computer als je even wegloopt. Klinkt simpel, maar we zien het nog vaak misgaan. En daarnaast: wacht niet tot het laatste moment om een DISO erbij te halen. Hoe eerder we betrokken zijn, hoe makkelijker we kunnen meedenken over hoe iets wél kan. Want dat is uiteindelijk ons doel: niet remmen, maar mogelijk maken.”
Word jij nooit bang van alles wat je weet?
“Bang niet. Wel bewuster. Ik let goed op wat ik online zet.”
Wat is het grootste risico?
“Dat het gemeentelijk netwerk wordt gegijzeld. Als dat gebeurt, hebben we nergens meer toegang toe: Outlook, systemen, bestanden. We kunnen dan geen uitkeringen verstrekken, geen paspoorten uitgeven – niets. Dat is echt een serieus risico. Vaak eisen de hackers losgeld. Er zit meestal een financieel motief achter.”
Hoe staat het ervoor binnen de gemeente?
“We doen het best goed, maar er zijn ook echt dingen die beter kunnen. Neem bijvoorbeeld de oorlog in Oekraïne. Je denkt misschien: dat is ver weg, maar het aantal cyberaanvallen op overheden neemt hierdoor wel toe. Dat raakt ons ook.”
Waarom adviseren zij dan niet zelf over privacyzaken?
“Zij focussen zich vooral op de sectorale wetgeving. Wij als DISO’s zitten meer op de AVG – dat gaat over privacy – en de BIBO, de Baseline Informatiebeveiliging Overheid. Dat gaat over hoe je informatie technisch en organisatorisch beveiligt.”
Het klinkt alsof je met een wetboek naar je werk moet komen.
“Het is inderdaad vrij juridisch. Gelukkig hebben we bij Werk en Inkomen twee juristen rondlopen die alles weten van de wet – tot op de komma nauwkeurig.”
Wordt wetgeving dan eigenlijk wel goed getest in de praktijk?
“Niet altijd, denk ik. Soms merk je dat wetten zijn gemaakt vanuit een theoretisch model, maar in de uitvoering botsen ze met de realiteit. En ondertussen worden de regels alleen maar strenger. Dat maakt het werk uitdagend: we moeten systemen en processen constant aanpassen aan de nieuwste normen. Daar worden we ook op gecontroleerd.”
Dus tot die tijd vraag je twee keer hetzelfde e-mailadres op.
“Ja, precies.”
Wat maakt het zo ingewikkeld?
“Er zijn veel regels. En soms kunnen die elkaar zelfs tegenspreken. Een voorbeeld: als iemand een uitkering aanvraagt en tegelijkertijd in de schuldhulpverlening zit, hebben we via de schuldhulp eigenlijk al veel gegevens van die persoon. Toch mogen we die gegevens niet zomaar gebruiken voor de uitkeringsaanvraag, omdat het onder verschillende wetten valt. We moeten dan opnieuw dezelfde gegevens opvragen, vaak zelfs door dezelfde medewerkers. Dat voelt natuurlijk heel onlogisch.”
Jullie signaleren ook zelf dingen, toch?
“Zeker. Als we zelf iets tegenkomen wat beter kan, dan delen we dat bijvoorbeeld in een WI Share-bericht. Zo hebben we laatst: ‘Het mag wel van de AVG’ geplaatst. Daarin leggen we uit hoe de AVG zich verhoudt tot andere wetgeving. Want die sectorale wetgeving – zoals in het sociaal domein – maakt het allemaal behoorlijk complex.”
Wanneer worden jullie ingeschakeld?
“We worden vaak gevraagd als er projecten of vragen zijn waarbij privacy of informatiebeveiliging een rol spelen. Denk bijvoorbeeld aan het herinrichten van een werkproces. We starten dan meestal met een Data Protection Impact Assessment (DPIA). Dat is een soort risicoanalyse waarin we kijken naar de wettelijke basis: mogen we dit doen, vragen we niet te veel gegevens op, en zijn we zorgvuldig? Zo brengen we de risico’s in kaart.”
In de etalage
'We willen geen ‘nee’ verkopen, maar juist meedenken over hoe het wél kan.'
Wat mag je als gemeente met persoonsgegevens, en waar liggen de grenzen? In een tijd van steeds strengere regels, toenemende cyberdreigingen en razendsnelle technologische ontwikkelingen staan de DISO’s – decentrale information security officers – klaar om mee te denken. Geen ‘nee’, maar: hoe kan het wél? We spraken een van hen over het werk achter de schermen, de uitdagingen van tegenstrijdige wetgeving en de risico’s die dichterbij zijn dan je denkt.
Tegenwoordig hoor je steeds vaker dat grote organisaties, waaronder overheden, te maken hebben met hacks. Dat roept de vraag op: zijn wij als gemeente goed beschermd tegen dit soort aanvallen? Lopen wij risico en wat zijn eigenlijk de risico’s? Gelukkig hebben we collega’s die hier dagelijks mee bezig zijn. Raymond, DISO van Werk en Inkomen, legt uit wat dit werk precies inhoudt en deelt met ons zijn bedenkingen over deze onderwerpen.
Wat doet een DISO precies?
“DISO staat voor decentrale information security officer,” vertelt Raymond van Impelen, DISO bij Werk en Inkomen. “Wij adviseren over alles wat met privacy of informatiebeveiliging te maken heeft. Binnen Werk en Inkomen zijn we met vier DISO’s. Dat is best veel, maar dat heeft alles te maken met de grootte van de afdeling en de complexiteit van de wet- en regelgeving waarmee we werken.”
Kun je je in die wetten vinden?
“Niet altijd. Soms zijn ze gewoon niet goed toepasbaar in de praktijk. Maar dat is ook precies waarom het goed is dat wij dit signaleren. Als we structurele knelpunten zien, dan schakelen we met beleidsmedewerkers om een lobby richting Den Haag op te starten. Alleen: wetgeving aanpassen duurt jaren.”
“Lock je computer als je even wegloopt. Klinkt simpel, maar we zien het nog vaak misgaan. En daarnaast: wacht niet tot het laatste moment om een DISO erbij te halen. Hoe eerder we betrokken zijn, hoe makkelijker we kunnen meedenken over hoe iets wél kan. Want dat is uiteindelijk ons doel: niet remmen, maar mogelijk maken.”
“Bang niet. Wel bewuster. Ik let goed op wat ik online zet.”
Heb je nog een tip voor mensen die hier niet dagelijks bij stilstaan?
Word jij nooit bang van alles wat je weet?
“Klopt. De techreuzen gaan steeds soepeler om met data. Meta, het moederbedrijf van WhatsApp, Instagram en Facebook, heeft ontzettend veel informatie over bijna iedereen op aarde. En nu AI in opkomst is, komen daar weer nieuwe risico’s bij. Waar gaan die data naartoe? Wie heeft er toegang toe? De technologie ontwikkelt zich zo snel, dat de wetgeving het amper kan bijbenen. Je loopt altijd twee stappen achter.”
En dat is ook het gevaar: je weet nooit precies hoe techniek zich ontwikkelt en hoe je daarop vervolgens moet reageren. Zo worden er nu quantumcomputers gemaakt, een soort super computers. Die kan wachtwoorden kraken waar een gewone computer jaren over doet. Met zo’n machine kunnen gevoelige gegevens binnen no time worden blootgelegd. Ook dat is iets waar we als overheid rekening mee moeten houden.”
Daarnaast lijkt er ook steeds meer aandacht te zijn voor databescherming van sociale media.
“Dat het gemeentelijk netwerk wordt gegijzeld. Als dat gebeurt, hebben we nergens meer toegang toe: Outlook, systemen, bestanden. We kunnen dan geen uitkeringen verstrekken, geen paspoorten uitgeven – niets. Dat is echt een serieus risico. Vaak eisen de hackers losgeld. Er zit meestal een financieel motief achter.”
Wat is het grootste risico?
“We doen het best goed, maar er zijn ook echt dingen die beter kunnen. Neem bijvoorbeeld de oorlog in Oekraïne. Je denkt misschien: dat is ver weg, maar het aantal cyberaanvallen op overheden neemt hierdoor wel toe. Dat raakt ons ook.”
Hoe staat het ervoor binnen de gemeente?
“Zij focussen zich vooral op de sectorale wetgeving. Wij als DISO’s zitten meer op de AVG – dat gaat over privacy – en de BIBO, de Baseline Informatiebeveiliging Overheid. Dat gaat over hoe je informatie technisch en organisatorisch beveiligt.”
Waarom adviseren zij dan niet zelf over privacyzaken?
“Het is inderdaad vrij juridisch. Gelukkig hebben we bij Werk en Inkomen twee juristen rondlopen die alles weten van de wet – tot op de komma nauwkeurig.”
Het klinkt alsof je met een wetboek naar je werk moet komen.
“Niet altijd, denk ik. Soms merk je dat wetten zijn gemaakt vanuit een theoretisch model, maar in de uitvoering botsen ze met de realiteit. En ondertussen worden de regels alleen maar strenger. Dat maakt het werk uitdagend: we moeten systemen en processen constant aanpassen aan de nieuwste normen. Daar worden we ook op gecontroleerd.”
Wordt wetgeving dan eigenlijk wel goed getest in de praktijk?
“Ja, precies.”
Dus tot die tijd vraag je twee keer hetzelfde e-mailadres op.
“Er zijn veel regels. En soms kunnen die elkaar zelfs tegenspreken. Een voorbeeld: als iemand een uitkering aanvraagt en tegelijkertijd in de schuldhulpverlening zit, hebben we via de schuldhulp eigenlijk al veel gegevens van die persoon. Toch mogen we die gegevens niet zomaar gebruiken voor de uitkeringsaanvraag, omdat het onder verschillende wetten valt. We moeten dan opnieuw dezelfde gegevens opvragen, vaak zelfs door dezelfde medewerkers. Dat voelt natuurlijk heel onlogisch.”
Wat maakt het zo ingewikkeld?
“Zeker. Als we zelf iets tegenkomen wat beter kan, dan delen we dat bijvoorbeeld in een
WI Share-bericht. Zo hebben we laatst:
‘Het mag wel van de AVG’ geplaatst.
Daarin leggen we uit hoe de AVG zich verhoudt tot andere wetgeving. Want die sectorale wetgeving – zoals in het sociaal domein – maakt het allemaal behoorlijk complex.”
Jullie signaleren ook zelf dingen, toch?
“We worden vaak gevraagd als er projecten of vragen zijn waarbij privacy of informatiebeveiliging een rol spelen. Denk bijvoorbeeld aan het herinrichten van een werkproces. We starten dan meestal met een Data Protection Impact Assessment (DPIA). Dat is een soort risicoanalyse waarin we kijken naar de wettelijke basis: mogen we dit doen, vragen we niet te veel gegevens op, en zijn we zorgvuldig? Zo brengen we de risico’s in kaart.”