INTERVIEW

‘Maak afspraken,
en maak ze waterdicht!’

Ad Reuijl

Steeds meer bedrijven vinden hun weg naar het Centrum Informatiebeveiliging en Privacybescherming (CIP). Dé plek waar je moet zijn als je informatie beter wilt beveiligen en de privacy van klanten goed wilt beschermen.

Meer weten over de GDPR? Oriënteer je bij het CIP. Deze netwerkorganisatie, die bestaat uit zowel overheidsorganisaties als marktpartijen, heeft als voornaamste doel om kennis en ervaringen te delen op gebied van informatiebeveiliging en privacybescherming. Het CIP werd in 2012 opgericht door vier overheidsinstanties die ieder enorm veel persoonsgegevens van burgers verwerken: het UWV, de Sociale Verzekeringsbank, de Belastingdienst en de Dienst Uitvoering Onderwijs (DUO). Medeoprichter en directeur Ad Reuijl: ‘We zagen allemaal dat we in rap tempo steeds kwetsbaarder werden voor hackers. Directe aanleiding voor de start van het CIP waren twee roemruchte hacks. De eerste was het lek bij Diginotar in 2011. Dit bedrijf gaf veiligheidscertificaten uit voor overheidswebsites maar ging erg slordig om met basale beveiligingsmaatregelen. Het gebruikte bijvoorbeeld geen virusscanners en werkte met verouderde software, waardoor hackers eenvoudig hun slag konden slaan. Diginotar ging failliet. Een tweede incident was de actie van ICT-beveiligingsjournalist Brenno de Winter, die aantoonde hoe kinderlijk eenvoudig het was om websites van uiteenlopende overheidsdiensten te kraken.’


Geen flauw benul

Toen het CIP in 2012 startte, was het bewustzijn rond cyberaanvallen nihil, vertelt Reuijl. ‘De meeste bedrijven en zeker de meeste overheidsinstellingen hadden geen flauw benul van de snel toenemende dreiging en de beschikbare methoden van beveiliging. Dat bewustzijn is de afgelopen jaren bij veel organisaties gelukkig flink toegenomen. Ook wetgeving – zoals de Meldplicht Datalekken in de Wet bescherming persoonsgegevens en nu de GDPR – dwingt organisaties om hard aan de slag te gaan met informatiebeveiliging en privacybescherming. Een absolute noodzaak, gezien de toenemende digitalisering.’

Het bewustzijn kan ook net zo snel weer inzakken, waarschuwt Reuijl: ‘We zien nu om de haverklap berichten in de media, zoals recent de rel rond Facebook. Je ziet dan telkens hetzelfde patroon: eerst staat iedereen op de achterste benen, er worden Kamervragen gesteld, de ophef is groot. Maar een paar weken later is dat dan weer helemaal weggezakt.’

Ad Reuijl

Na een aantal jaren ICT-projecten te hebben gedaan bij detacheringsbureaus, startte Ad Reuijl (62) als Manager Systeemontwikkeling bij het GAK. Vervolgens werkte hij ondermeer voor PinkRoccade, dat later opging in Getronics. Reuijl stapte vervolgens over naar het UWV, waar hij toetrad tot de Directie ICT Bedrijf. In 2012 werd hij directeur van het Centrum Informatiebeveiliging en Privacybescherming.

Bedrijven alerter dan overheden

Daarom juicht Reuijl wetgeving zoals de GDPR toe: die dwingt bedrijven en overheidsinstellingen om hun zaken fundamenteel goed te regelen. ‘Om hun organisatie op te schudden, te ordenen, te verbeteren en weer meer in control te komen. GDPR helpt Europese bedrijven om een vuist te maken tegen kwaadwillende organisaties van buiten Europa’, zegt Reuijl. Bovendien ligt er een bonus in het verschiet, vindt hij: ‘Het correct of beter omgaan met persoonsgegevens verhoogt de kwaliteit van de gegevensverwerking en daarmee de kwaliteit van dienstverlening en het imago van de organisatie. Daarbij zie je dat bedrijven het gemiddeld beter voor elkaar hebben dan overheidsdiensten. Waarschijnlijk omdat er voor hen concreet meer op het spel staat, denk aan de gevolgen van reputatieschade, die in het ergste geval kan leiden tot faillissement.’


Snel inzicht

Concreet helpt het CIP organisaties met een keur aan producten, handreikingen, modelovereenkomsten, best practices, games et cetera. Gericht op zowel het veilig ontwerpen van soft- en hardware als (‘zeker zo belangrijk’) veilig gedrag van medewerkers. Reuijl: ‘We hebben in 2016 een uitgebreide productlijn opgetuigd, genaamd “Grip op privacy” (zie kader). Onderdeel daarvan is een scan, de Privacy Self Assessment, waarmee je snel in kaart krijgt hoe je er voorstaat. Je kunt hem gratis downloaden; het invullen duurt pakweg een half uur. Daarna krijg je advies over wat je nog te doen staat om de privacy afdoende te beschermen. En ook al blijft 100% veiligheid vrijwel zeker een utopie, deze scan is zeker een goed instrument om binnen organisaties awareness rond privacy van klanten te creëren, te versterken en vast te houden.’

‘Na een lek ontstaat snel

ophef

maar die zakt ook
net zo snel weer weg’

Veilige software ontwikkelen

Naast de focus op het gedrag van medewerkers richt het CIP zich ook op Secure Software Development.‘Met SSD bieden we vanuit het CIP voor zowel opdrachtgevers als IT-leveranciers en interne ontwikkelafdelingen een eenduidig normenkader voor het ontwikkelen en onderhouden van goed beveiligde software. We schatten dat omstreeks driekwart van alle security-incidenten ontstaat door ontbrekende veiligheidsmaatregelen in software’, aldus Reuijl. Veilige software is dan ook van groot belang voor het beschermen van (persoons)gegevens van burgers en bedrijven. ‘Met onze SSD-normen kunnen organisaties software bouwen die de kans op lekken en andere cyberrisico’s minimaliseert.’


Privacyafspraken met ketenpartners

Als organisatie sta je nooit alleen, maar maak je deel uit van een keten. Het is dan ook slim om met de belangrijkste ketenpartners af te spreken welke privacygevoelige data je uitwisselt en hoe je samen de veiligheid van die data regelt, stelt Reuijl. ‘Risico en aansprakelijkheid kun je onder de GDPR niet zomaar wegwerken door naar anderen te wijzen. We hebben vanuit onze CIP-werkgroep “Ketens en verwerkersovereenkomsten” samen met privacy-expert en penvoerder Ruben Tienhooven van BDO een document geschreven over GDPR-afspraken die je met je ketenpartners kunt maken. We geven daarin mogelijke oplossingen, onder andere in de vorm van een opzet voor een modelovereenkomst. Met als motto: maak afspraken, en maak die waterdicht!’