Verander complexiteit: Relevante wet- en regelgeving

Vandaag gaan we in op de complexiteitsfactor: Relevante wet- en regelgeving

Met het juridische onderzoek hebben we ook inzicht gekregen in de relevante wet- en regelgeving. Dit zijn de kaders die we niet mogen overtreden. Weten we welke wet- en regelgeving relevant is dan moeten we ook kijken naar de inhoud ervan.

We kunnen bijvoorbeeld simpelweg stellen dat de Wet Bescherming Persoonsgegevens van toepassing is om het vervolgens daarbij te laten. Maar een dergelijke wet schrijft een aantal regels voor. Deze moeten we vertalen naar ons project. We kunnen stellen dat bij cameratoezicht de wet van toepassing is maar als we het vervolgens niet aanmelden bij het College Bescherming
Persoonsgegevens of als we niet zichtbaar maken dat we camera’s toepassen dan zijn we nog steeds in overtreding.

Een afdelingsmanager wilde graag de bewaartermijn van de camerabeelden verlengen van 30 dagen naar 12 maanden. Zo wisten ze immers zeker dat de beelden na een incident altijd nog terug konden worden gekeken. De camerabewaking was aangemeld bij het CBP en daarin was de opslagtermijn van 30 dagen afgesproken. Camerabewaking is een zwaar middel en de privacy aspecten wegen zwaar, daarom is opslag van beelden voor de duur van 12 maanden in dit geval niet goedgekeurd.

Informatiebeveiliging: wet- en regelgeving

Het is maar goed dat het vandaag vrijdag is, want we zijn aanbeland bij een onderwerp dat al snel als erg droog ervaren wordt. De wet- en regelgeving. Ik ben geen jurist dus kan het hier eigenlijk alleen maar over de hoofdlijnen en de mogelijke aanpak hebben. Er wordt dan ook niet ingegaan op allerlei specifieke artikelen en lidnummers. Toch is het een aspect waar we niet aan ontkomen, dus de vraag die we ons moeten stellen is:

Is de wet- en regelgeving, waaraan de organisatie moet voldoen, inzichtelijk?

Een voordeel (of nadeel, het is maar net hoe je er tegenaan kijkt) is dat er niet heel veel expliciete wet- en regelgeving aanwezig is waaraan organisaties moeten voldoen op het gebied van de informatiebeveiliging. Er is een Wet Bescherming Persoonsgegevens, een Telecom Wet, een Wet Computercriminaliteit en misschien kunnen we ook nog wel wat vinden in de Grondwet en de Arbo Wet.

Belangrijk om te onderkennen is dat de wet- en regelgeving niet ons hoofdvakgebied is. We moeten dan ook niet zelf gaan worstelen met allerlei artikelen in de wetten, maar moeten onze juridische afdeling vragen ons te helpen. Net als wij hen helpen bij het inrichten van hun beveiliging.

Wij zijn er verantwoordelijk voor om onze beveiliging zo in te richten dat aan de wet- en regelgeving wordt voldaan. Het lijnmanagement moet ons beleid uitvoeren en er dus voor zorgen dat de medewerkers binnen de kaders blijven en onze juridische afdeling ondersteunt ons bij het inzichtelijk maken van de wet- en regelgeving en met de doorvertaling van al die wetteksten naar onze praktijk situatie.

Hieruit blijkt maar weer dat beveiliging geen losstaand aspect of losstaande afdeling is maar juist goed samen moet werken met andere afdelingen binnen de organisatie. Aan de ene kant met de lijnorganisatie maar juist ook met de andere stafafdelingen. Gezamenlijk moeten we er voor zorgen dat de directie “in control” is, we hebben daarbij allemaal hetzelfde doel (als het goed is) en een andere verantwoordelijkheid. Al die taken en verantwoordelijkheden bij elkaar zorgen voor een succesvolle organisatie…die aan de wet- en regelgeving voldoet.

Wet- en regelgeving

Eerder deze week hebben we al gekeken naar de normen, best practices en richtlijnen uit de branche. Daarmee dekken we al een behoorlijk stuk van de beveiliging af. Toch moeten we ook de wet- en regelgeving in dit geval niet vergeten. Daarom gaan we daar vandaag kort op in.

De negende vraag die we moeten stellen is:
Is de wet- en regelgeving waaraan de organisatie moet voldoen inzichtelijk en kan aantoonbaar worden gemaakt dat hieraan wordt voldaan?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Wees gerust, hier komt geen heel verhaal met allerlei droge tekst en verwijzingen naar artikelen in de wetboeken. Waarom niet? Nou eigenlijk omdat er niet zo gek veel wet- en regelgeving is op het gebied van informatiebeveiliging. Vanuit de Wet Bescherming Persoonsgegevens moeten we het een en ander regelen en daarnaast bestaat er nog zoiets als de Wet op de Computercriminaliteit. Maar goed, als we al serieus bezig zijn met informatiebeveiliging dan voldoen we al aan grote delen van die wetgeving.

Daarnaast kan er vanuit de branche of EU nog aanvullende regelgeving zijn, maar die is dan specifiek voor dat soort organisaties. Zo zullen de banken net iets meer moeten doen dan de bakker op de hoek en gelden er weer andere eisen voor die kerncentrale. De organisaties waar aanvullende regelgeving voor geldt zijn vaak meer gereguleerd en staan onder controle.

Maar, vraag je je misschien af, is er dan niet zoiets als de ARBO-wet voor informatiebeveiliging? Nou, nee, die is er niet. Natuurlijk kunnen we teruggrijpen op allerlei algemene wetgeving die ons verplichtingen oplegt, maar daar moest je toch al aan voldoen, ook zonder informatiebeveiliging.

Met een gezond boerenverstand, algemene normenkaders en best practices zijn wel al een heel stuk op weg. Misschien wil je nog specifiek aandacht besteden aan de Wet Bescherming Persoonsgegevens, maar ook daarvoor zijn er zelfevaluaties beschikbaar.

Wet- en regelgeving kan een droog vakgebied zijn (althans, dat is wat ik nog wel eens hoor). Een geluk bij een ongeluk, maar voor informatiebeveiliging is er niet heel veel specifieke wetgeving beschikbaar. Maar wat niet is kan zeker nog komen, je zult dus wel goed op de hoogte moeten blijven want het kan zomaar veranderen. Maar, als je toch al serieus met het vakgebied bezig bent, dan zul je door die wetgeving niet heel snel worden ingehaald. Wow, we zijn er bijna. Nog een vraag en we hebben alle tien de vragen beantwoord. Op naar vraag 10 dan maar.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.