Baseline Informatiebeveiliging Overheid

Verhalen uit de praktijk

Het jaar 2019 is een overgangsjaar waarin gemeenten zich kunnen voorbereiden op de Baseline Informatiebeveiliging Overheid (BIO). De baseline is een set aan maatregelen die een basisniveau van informatiebeveiliging moeten realiseren. De Informatiebeveiligingsdienst voor Gemeenten (IBD) heeft de BIO doorontwikkeld van de Baseline Informatiebeveiliging Gemeenten (BIG). Doordat deze doorontwikkeling dus een update van de BIG betreft zijn de werkzaamheden grotendeels al in lijn met de BIO.

Eén normenkader voor de gehele overheid

Vanaf 1 januari 2020 hanteren gemeenten samen met de andere overheidslagen: de rijksoverheid, provincies en waterschappen, één basisnormenkader voor informatiebeveiliging. Voor het aannemen van de BIO waren de BIG, de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Interprovinciale Baseline Informatiebeveiliging (IBI) eigen baselines voor iedere overheidslaag. Echter, deze normenkaders waren nog gebaseerd op de verouderde ISO-normering uit 2005 die in 2013 is geüpdatet naar de huidige ISO (NEN-ISO 27002). Naast een update tot de meest recente ISO-normering, zorgt het gebruik van één normenkader voor de versterking van de informatieveiligheid, verlicht het de administratieve lasten, sluit het aan bij internationale regelgeving en standaarden en verminderen de onderhoudskosten.

Verschil tussen de BIO en BIG

De BIO gebruikt minder maatregelen dan de BIG, maar deze maatregelen zijn onder de BIO wel altijd verplicht. De BIG gaat meer over specifieke maatregelen, nu is de rol van de bestuurder en lijnmanager ten aanzien van risicomanagement explicieter dan de BIG aangaf. Om daaraan invulling te geven wordt tegelijkertijd met de BIO een handreiking van de Vereniging Nederlandse Gemeenten (VNG): ‘10 bestuurlijke principes voor informatiebeveiliging’ van kracht. Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.

Basisbeveiligingsniveau

Met de baselinetoets wordt bepaald of een proces, informatiesysteem en/of informatie een passend Basis Beveiligings Niveau (BBN) heeft binnen de BIO. Op deze manier wordt vastgesteld of er meer maatregelen nodig zijn voor een proces en onderliggende informatiesystemen. Deze baselinetoets heeft ook vragen opgenomen om vast te kunnen stellen of er persoonsgegevens worden verwerkt en zo ja, of er dan ook een data protection impact assessment (DPIA) nodig is. Dit is, onder andere, het geval wanneer de processen een hoog privacy risico op leveren. 

Data Protection Impact Assessment

Een uitgevoerde DPIA brengt de privacyrisico’s van de verschillende processen binnen de gemeente in kaart. Deze risico’s kunnen in Privacy Control Center (PCC) worden opgenomen, waaraan een set van maatregelen gekoppeld en geregistreerd kunnen worden. De verantwoordelijke privacymedewerkers kunnen samen met elkaar in de online werkomgeving van PCC aan de slag waardoor alle documentatie op een plek wordt verzameld. Hoe dat werkt? Maak hier een gratis proefaccount aan en leg direct en eenvoudig het privacybeleid voor uw gemeente vast. 

Geplaatst 13-09-19

Ashley Moes
Privacy Professional
Ashley Moes houdt zich als Privacy Professional bezig met het introduceren van Privacy Control Center (PCC) bij nieuwe organisaties en helpt hen met de implementatie van de Algemene Verordening Gegevensbescherming. Vanuit haar juridische achtergrond vertaalt zij de soms lastige privacyvraagstukken naar heldere en concrete adviezen voor de klanten van PCC.

Heeft u nog vragen?

Heeft u vragen over inhoudelijke ondersteuning bij de organisatie van uw activiteiten rondom de verwerking en bescherming van persoonsgegevens?

Probeer Privacy Control Center gratis

Start uw proefabonnement en bekijk zelf de mogelijkheden.