Aantoonbaarheid voldoen aan wet- en regelgeving

Het weekend is weer achter de rug en vorige week hebben we afgesloten met de relevante wet- en regelgeving. Hoewel we in dit weekend nog steeds geen jurist zijn geworden is het wel belangrijk om aan te tonen dat we de wet- en regelgeving onderkennen en dat we aan kunnen tonen dat we naar ons beste kunnen daaraan voldoen. De volgende vraag wordt dan belangrijk:

Kan het aantoonbaar worden gemaakt dat aan de toepasselijke wet en regelgeving, door de organisatie, wordt voldaan?

Kortom: in de vorige exercitie zijn we met de juridische afdeling in gesprek gegaan om duidelijk te krijgen wat we verplicht zijn om te doen. Dan wordt het ook belangrijk om duidelijk te documenteren welke wet- en regelgeving volgens ons op ons van toepassing is en hoe we die vertaald hebben naar ons beleid en onze inrichting van de beveiliging.

Over niet al te lange termijn zal er vanuit de EU meer wet- en regelgeving opgelegd gaan worden. Hierbij zullen we ook incidenten openbaar moeten gaan maken waarbij de privacy van onze klanten in het geding is gekomen. We willen ons natuurlijk niet laten verrassen door die nieuwe regels en nemen nu al onze verantwoordelijkheid door er goed over na te denken.

Pakken we bijvoorbeeld de Code voor Informatiebeveiliging en maken we daarvan een goede doorvertaling naar onze organisatie dan dekken we al hele grote delen van de wet- en regelgeving af. Maken we aantoonbaar dat we inderdaad aan die Code voldoen dan maken we daarmee ook aantoonbaar dat we serieus met het onderwerp bezig zijn.

Wet- en regelgeving. Het blijft aan lastig aspect waar we eens goed in moeten duiken en waar we zeer waarschijnlijk specialistisch advies goed bij kunnen gebruiken. Maar denken we met ons gezond boeren verstand na en gebruiken we de beschikbare informatie de branche en van het internet dan zijn we al een groot aantal stappen op weg om ook aan deze wet- en regelgeving te voldoen.

Informatiebeveiliging: wet- en regelgeving

Het is maar goed dat het vandaag vrijdag is, want we zijn aanbeland bij een onderwerp dat al snel als erg droog ervaren wordt. De wet- en regelgeving. Ik ben geen jurist dus kan het hier eigenlijk alleen maar over de hoofdlijnen en de mogelijke aanpak hebben. Er wordt dan ook niet ingegaan op allerlei specifieke artikelen en lidnummers. Toch is het een aspect waar we niet aan ontkomen, dus de vraag die we ons moeten stellen is:

Is de wet- en regelgeving, waaraan de organisatie moet voldoen, inzichtelijk?

Een voordeel (of nadeel, het is maar net hoe je er tegenaan kijkt) is dat er niet heel veel expliciete wet- en regelgeving aanwezig is waaraan organisaties moeten voldoen op het gebied van de informatiebeveiliging. Er is een Wet Bescherming Persoonsgegevens, een Telecom Wet, een Wet Computercriminaliteit en misschien kunnen we ook nog wel wat vinden in de Grondwet en de Arbo Wet.

Belangrijk om te onderkennen is dat de wet- en regelgeving niet ons hoofdvakgebied is. We moeten dan ook niet zelf gaan worstelen met allerlei artikelen in de wetten, maar moeten onze juridische afdeling vragen ons te helpen. Net als wij hen helpen bij het inrichten van hun beveiliging.

Wij zijn er verantwoordelijk voor om onze beveiliging zo in te richten dat aan de wet- en regelgeving wordt voldaan. Het lijnmanagement moet ons beleid uitvoeren en er dus voor zorgen dat de medewerkers binnen de kaders blijven en onze juridische afdeling ondersteunt ons bij het inzichtelijk maken van de wet- en regelgeving en met de doorvertaling van al die wetteksten naar onze praktijk situatie.

Hieruit blijkt maar weer dat beveiliging geen losstaand aspect of losstaande afdeling is maar juist goed samen moet werken met andere afdelingen binnen de organisatie. Aan de ene kant met de lijnorganisatie maar juist ook met de andere stafafdelingen. Gezamenlijk moeten we er voor zorgen dat de directie “in control” is, we hebben daarbij allemaal hetzelfde doel (als het goed is) en een andere verantwoordelijkheid. Al die taken en verantwoordelijkheden bij elkaar zorgen voor een succesvolle organisatie…die aan de wet- en regelgeving voldoet.

Wet- en regelgeving

Eerder deze week hebben we al gekeken naar de normen, best practices en richtlijnen uit de branche. Daarmee dekken we al een behoorlijk stuk van de beveiliging af. Toch moeten we ook de wet- en regelgeving in dit geval niet vergeten. Daarom gaan we daar vandaag kort op in.

De negende vraag die we moeten stellen is:
Is de wet- en regelgeving waaraan de organisatie moet voldoen inzichtelijk en kan aantoonbaar worden gemaakt dat hieraan wordt voldaan?

En het antwoord? Ja, nee of weten we het eigenlijk niet?

Wees gerust, hier komt geen heel verhaal met allerlei droge tekst en verwijzingen naar artikelen in de wetboeken. Waarom niet? Nou eigenlijk omdat er niet zo gek veel wet- en regelgeving is op het gebied van informatiebeveiliging. Vanuit de Wet Bescherming Persoonsgegevens moeten we het een en ander regelen en daarnaast bestaat er nog zoiets als de Wet op de Computercriminaliteit. Maar goed, als we al serieus bezig zijn met informatiebeveiliging dan voldoen we al aan grote delen van die wetgeving.

Daarnaast kan er vanuit de branche of EU nog aanvullende regelgeving zijn, maar die is dan specifiek voor dat soort organisaties. Zo zullen de banken net iets meer moeten doen dan de bakker op de hoek en gelden er weer andere eisen voor die kerncentrale. De organisaties waar aanvullende regelgeving voor geldt zijn vaak meer gereguleerd en staan onder controle.

Maar, vraag je je misschien af, is er dan niet zoiets als de ARBO-wet voor informatiebeveiliging? Nou, nee, die is er niet. Natuurlijk kunnen we teruggrijpen op allerlei algemene wetgeving die ons verplichtingen oplegt, maar daar moest je toch al aan voldoen, ook zonder informatiebeveiliging.

Met een gezond boerenverstand, algemene normenkaders en best practices zijn wel al een heel stuk op weg. Misschien wil je nog specifiek aandacht besteden aan de Wet Bescherming Persoonsgegevens, maar ook daarvoor zijn er zelfevaluaties beschikbaar.

Wet- en regelgeving kan een droog vakgebied zijn (althans, dat is wat ik nog wel eens hoor). Een geluk bij een ongeluk, maar voor informatiebeveiliging is er niet heel veel specifieke wetgeving beschikbaar. Maar wat niet is kan zeker nog komen, je zult dus wel goed op de hoogte moeten blijven want het kan zomaar veranderen. Maar, als je toch al serieus met het vakgebied bezig bent, dan zul je door die wetgeving niet heel snel worden ingehaald. Wow, we zijn er bijna. Nog een vraag en we hebben alle tien de vragen beantwoord. Op naar vraag 10 dan maar.

Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.