Digitalisering is bij de overheid volop in ontwikkeling. Dat zien we terug in digitale handelingen als persoonsgegevens wijzigen met elektronische identificatiemiddelen (eID), digitale handtekeningen zetten en toezicht houden met slimme camera’s. Het grote voordeel van deze toepassingen is dat de overheid duurzamer en efficiënter te werk kan gaan en dat burgers meer betrokken kunnen zijn bij initiatieven van de overheid. Naast voordelen bestaan ook risico’s, waardoor overheden genoodzaakt zijn bij digitaliseringsprojecten zekerheid te verkrijgen over de toekomst, ofwel ‘future control’. Welke impact heeft de digitalisering op de overheid en hoe kan de overheid de focus verleggen van past control naar future control?
Door de digitalisering van de overheid, ook wel bekend als digitale transformatie, nemen de risico’s van cybercriminaliteit enorm toe. Dit zien we onder andere terug in het Internet Organised Crime Threat Assessment (IOCTA, 2020) van Europol, het Cybersecurity Beeld (2020) van het Nationaal Cyber Security Centrum (NCSC) en in praktijkvoorbeelden, zoals de recente ransomware-aanvallen bij de gemeente Hof van Twente.
In de praktijk zien we dat deze risico’s leiden tot voorzichtigheid, waarbij overheden het gebruik van privacygevoelige informatie mijden en digitaliseringskansen laten liggen. Recentelijk kreeg een grote gemeente een boete van de Autoriteit Persoonsgegevens vanwege het gebruik van wifitracking. Doordat onjuist gebruik van wifitracking was gemaakt, was het mogelijk om individuele bezoekers te volgen. Dit is volgens de AVG niet toegestaan, waardoor een boete is uitgedeeld.
Om digitaliseringskansen toch te benutten, is het van belang om de focus te verleggen. Waar voorheen de focus lag op ‘past control’, oftewel het beoordelen van het verleden, is bij digitaliseringsprojecten juist zekerheid over de toekomst van belang, ofwel ‘future control’. Dit vraagt van overheden een nieuwe blik bij het toepassen van digitaliseringsprojecten, waarbij Privacy by Design en Security by Design een essentieel onderdeel vormen. De principes van deze methoden waarborgen dat bij het ontwerp van een toepassing rekening gehouden wordt met de beveiliging van informatie en persoonsgegevens. Dit betekent niet dat slechts in de ontwerpfase de privacy- en security-eisen gewaarborgd moeten worden. Het voorbeeld van de gemeente laat zien dat bij het ontwerp van de wifitracking is nagedacht over het beveiligen van persoonsgegevens. De getraceerde telefoons van bezoekers werden namelijk gepseudonimiseerd, wat inhoudt dat de geïdentificeerde gegevens door een algoritme vervangen werden door versleutelde gegevens. Echter heeft de gemeente gedurende het gebruik van de wifitracking de pseudonimiseringsmethode niet aangepast. Dit toont aan dat ook een continue waarborging van de privacy en security-eisen van essentieel belang is.
Op landelijk niveau wordt op diverse manieren ondersteuning gegeven aan de digitalisering van de overheid. Verschillende werkgroepen vanuit onder andere de Vereniging van de Nederlandse Gemeenten (VNG) zetten zich in voor digitale thema’s waarin handvatten en richtlijnen worden gegeven voor de digitale visievorming en concrete uitvoering. Aan de hand hiervan kunnen overheidsorganisaties op hun eigen tempo de digitalisering inzetten. Dit alles wordt gedreven en gestuurd vanuit de nationale Agenda Digitale Overheid.
Als reactie op de toename van cyberrisico’s hebben verschillende organisaties, waaronder het Nationaal Cyber Security Centrum (NCSC), ICTU en Centrum Informatiebeveiliging en Privacybescherming (CIP), de krachten gebundeld. De programma’s en projecten die vanuit deze samenwerking zijn opgesteld, hebben als doel de digitale weerbaarheid van de overheid (en daarmee Nederland) te verhogen. Een belangrijk wapenfeit in deze samenwerking is de basis-beveiligingsniveaus voor organisaties. Deze basis-beveiligingsniveaus dwingen een minimaal aantal beveiligingsmaatregelen af om het risico op cyberincidenten terug te dringen en te beheersen. Zeker voor nieuwe digitale oplossingen en projecten is het benodigd om het basis-beveiligingsniveau te bepalen. Daarnaast zijn vanuit de samenwerking tussen NCSC, ICTU en CIP diverse quickscans, roadmaps en stappenplannen ontwikkeld om de digitale weerbaarheid van overheden te verhogen.
Naast de ondersteuning vanuit de overheid, zien wij een deel van de oplossing in het opknippen van brede ideeën en programma’s in separaat gedefinieerde projecten. Door per project een duidelijke business case te schetsen, kan een juiste afweging van risico’s worden gemaakt en is beter inzichtelijk welke wettelijke eisen van toepassing zijn. Op deze manier is het mogelijk een goede, heldere afweging te maken in hoeverre een implementatie haalbaar en daarmee mogelijk is.
De IT-auditor kan bijdragen door van A tot Z betrokken te zijn bij digitaliseringsprojecten; van het ontwerpen van de businesscase tot en met de implementatie en nazorg. Op deze manier worden de juiste privacy en security-aspecten niet alleen in de ontwerpfase, maar ook gedurende het gebruik van digitale toepassingen gewaarborgd en komt uw organisatie achteraf niet voor verrassingen te staan. Met als resultaat een veilige, digitale toepassing en geen negatieve gevolgen voor de projectplanning.
