Eerder deze week hebben we al gekeken naar de normen, best practices en richtlijnen uit de branche. Daarmee dekken we al een behoorlijk stuk van de beveiliging af. Toch moeten we ook de wet- en regelgeving in dit geval niet vergeten. Daarom gaan we daar vandaag kort op in.
De negende vraag die we moeten stellen is:
Is de wet- en regelgeving waaraan de organisatie moet voldoen inzichtelijk en kan aantoonbaar worden gemaakt dat hieraan wordt voldaan?
En het antwoord? Ja, nee of weten we het eigenlijk niet?
Wees gerust, hier komt geen heel verhaal met allerlei droge tekst en verwijzingen naar artikelen in de wetboeken. Waarom niet? Nou eigenlijk omdat er niet zo gek veel wet- en regelgeving is op het gebied van informatiebeveiliging. Vanuit de Wet Bescherming Persoonsgegevens moeten we het een en ander regelen en daarnaast bestaat er nog zoiets als de Wet op de Computercriminaliteit. Maar goed, als we al serieus bezig zijn met informatiebeveiliging dan voldoen we al aan grote delen van die wetgeving.
Daarnaast kan er vanuit de branche of EU nog aanvullende regelgeving zijn, maar die is dan specifiek voor dat soort organisaties. Zo zullen de banken net iets meer moeten doen dan de bakker op de hoek en gelden er weer andere eisen voor die kerncentrale. De organisaties waar aanvullende regelgeving voor geldt zijn vaak meer gereguleerd en staan onder controle.
Maar, vraag je je misschien af, is er dan niet zoiets als de ARBO-wet voor informatiebeveiliging? Nou, nee, die is er niet. Natuurlijk kunnen we teruggrijpen op allerlei algemene wetgeving die ons verplichtingen oplegt, maar daar moest je toch al aan voldoen, ook zonder informatiebeveiliging.
Met een gezond boerenverstand, algemene normenkaders en best practices zijn wel al een heel stuk op weg. Misschien wil je nog specifiek aandacht besteden aan de Wet Bescherming Persoonsgegevens, maar ook daarvoor zijn er zelfevaluaties beschikbaar.
Wet- en regelgeving kan een droog vakgebied zijn (althans, dat is wat ik nog wel eens hoor). Een geluk bij een ongeluk, maar voor informatiebeveiliging is er niet heel veel specifieke wetgeving beschikbaar. Maar wat niet is kan zeker nog komen, je zult dus wel goed op de hoogte moeten blijven want het kan zomaar veranderen. Maar, als je toch al serieus met het vakgebied bezig bent, dan zul je door die wetgeving niet heel snel worden ingehaald. Wow, we zijn er bijna. Nog een vraag en we hebben alle tien de vragen beantwoord. Op naar vraag 10 dan maar.
Nogmaals, voor diegene onder jullie die echt niet 10 dagen willen wachten, je kunt de quickscan zelf ook al doorlopen door hier te klikken of door me snel uit te nodigen voor die bak koffie.