Met de Algemene Verordening Gegevensbescherming (AVG) op komst en de steeds toenemende vraag naar betere en vooral transparantere informatiebeveiliging (zoals ENSIA bij gemeenten) staat u met uw organisatie voor een flinke uitdaging: hoe zorg ik dat mijn organisatie ‘in control’ is als het gaat om informatiebeveiliging en privacy?
Onze ervaring is dat iedereen zich tegenwoordig wel bewust is van de nut en noodzaak van goede informatiebeveiliging. Toch blijkt het in de praktijk moeilijk om dit goed te implementeren. Diverse sectoren hebben raamwerken waar u als organisatie mee aan de slag kunt. Denk aan de BIR/BIG/BIWA bij overheden, NEN7510 bij de zorgsector, BIC bij woningcorporaties en generiek ISO27001. Alleen, hoe ver bent u met de implementatie hiervan?
Afdwingen
Veel organisaties verzuimen een regelmatige toetsing (audit) van hun informatiebeveiliging uit te (laten) voeren, terwijl het van groot belang is om de kwaliteit hiervan te kunnen aantonen. Partners in de keten zijn vaak van uw beveiliging afhankelijk en vragen hiervan bewijzen. Daarnaast stelt de AVG dat de informatiebeveiliging aantoonbaar op orde dient te zijn. De aantoonbaarheid wordt zelfs vaker afgedwongen, zoals bij gemeenten voor DigiD en ENSIA en in de zorgsector vanuit de aansluitorganisatie VECOZO.
Nulmeting
Doelstelling van een audit is om te achterhalen waar u staat en waar u heen moet. Audits worden meestal vanuit een verplichting uitgevoerd. Een audit kan echter ook heel goed worden gebruikt als een nulmeting om te weten waar u aan toe bent. Hiermee zorgt u ook dat u de vragen van uw ketenpartners voor bent: hoe sterk is het als u ongevraagd al de kwaliteit van uw informatiebeveiliging kunt aantonen?
Brede ervaring
2-Control B.V. is een onafhankelijke it-audit partij met brede ervaring in overheidssectoren, zorg, industrie, handel en woningcorporaties. Onze professionele aanpak kent verschillende manieren:
- Het uitvoeren van een nulmeting op basis waarvan u concrete aanbevelingen krijgt om uw informatiebeveiligingsraamwerk verder te implementeren;
- Het helpen opzetten van beheersingsmaatregelen, zoals het beschrijven procedures;
- Het uitvoeren van een privacy impact assessment, om u te helpen te voldoen aan de AVG;
- Het uitvoeren van audits, om te voldoen aan verplichte toetsingen (zoals ENSIA, DigiD en NEN7510).
ENSIA
Gezien de actualiteit van ENSIA hebben wij hiervoor een aanpak ontwikkeld waarbij wij gemeenten van A tot Z begeleiden conform onze beproefde drie stappen:
- Gezamenlijke inventarisatie normenkader: wat wordt precies van u verwacht per norm?
- Een proefaudit: zodat u precies weet wat u nog moet doen.
- Definitieve audit: met uiteindelijk als resultaat de benodigde assurance-verklaring.
Sparren?
Heeft u behoefte aan een deskundige sparringpartner die u op alle vlakken verder kan helpen met informatiebeveiliging en privacy? Neem contact op met ons: https://2-control.nl/nl/