In de huidige tijd is digitale veiligheid een essentieel onderdeel geworden van het veiligheidsbeleid van lokale besturen, aangezien cyberaanvallen een dagelijkse dreiging vormen. Voor advies en ondersteuning op dit gebied kunnen lokale besturen zich wenden tot het team informatieveiligheid van Haviland.
Bij Haviland blijven we ons inzetten voor een veilige en betrouwbare informatiesamenleving, waarbij de bescherming van zowel de IT-systemen van onze partners als daaruit voortvloeiend de gegevens van hun inwoners centraal staat. Dit omvat niet alleen de vele persoonsgegevens van inwoners die besturen beheren, maar ook de digitale omgevingen van bijvoorbeeld scholen en de IT-systemen van veiligheidsdiensten zoals politie en brandweer. De impact van een cyberaanval op dergelijke organisaties kan immens zijn, met talrijke voorbeelden als bewijs.
Ons cyberteam doet er dan ook alles aan om de digitale verdediging van lokale besturen zo robuust mogelijk te maken en de bewustwording van hun medewerkers op scherp te stellen. Mocht er toch een aanval plaatsvinden, dan is het essentieel om de schade tot een minimum te beperken en te zorgen voor een doeltreffend 'business continuity plan'. “Hope for the best, plan fort he worst” is daarbij de aangewezen tactiek, aangezien het niet de vraag is of je als organisatie wordt aangevallen, maar eerder wanneer.
Hieronder lees je meer over de concrete acties en aandachtspunten waar ons team cyberveiligheid in 2024 extra op heeft ingezet.
DPO
De Data Protection Officer (DPO) heeft als belangrijkste taak om toezicht te houden op de naleving van de AVG en andere privacywetgeving binnen een organisatie. Ons Haviland team adviseert het management en medewerkers over gegevensbescherming, beoordeelt verwerkingsactiviteiten en risico’s, en zorgt ervoor dat privacyregels correct worden toegepast. Daarnaast speelt de DPO een belangrijke rol in het creëren van bewustwording. Ook voert hij Data Protection Impact Assessments (DPIA’s) uit en beoordeelt of gegevensverwerkingen rechtmatig en veilig verlopen.
Tot slot fungeert de DPO als aanspreekpunt voor de Autoriteit Persoonsgegevens en andere toezichthoudende instanties, waarbij hij of zij onafhankelijk opereert en rechtstreeks aan het management rapporteert.
NIS2: Fase 1
In oktober 2024 is de NIS2-richtlijn in werking getreden, waarmee strengere eisen worden gesteld aan cybersecurity binnen essentiële en belangrijke sectoren. Deze richtlijn is zoals de naam al doet vermoeden de opvolger van de oorspronkelijke NIS-richtlijn en heeft als doel een hoog gezamenlijk niveau van cyberveiligheid binnen de Europese Unie te bewerkstelligen.
Al in 2023 was Haviland begonnen met de voorbereidingen om de nieuwe voorschriften van de NIS2-richtlijn te implementeren bij de lokale besturen. Als eerste concrete stap binnen de NIS2 hebben we in 2024 de aanmeldingsprocedure begeleid, zodat organisaties zich tijdig en correct kunnen registreren bij de bevoegde autoriteiten. Daarnaast hebben we uitleg gegeven over de CyberFundamentals, een set basismaatregelen die helpt bij het versterken van digitale weerbaarheid en het voldoen aan de nieuwe regelgeving. Hiermee hebben we een solide basis gelegd voor verdere implementatie en naleving van de NIS2-verplichtingen.
Vooruitblik 2025
In 2024 deden we ook de voorbereiding van enkele grote acties die in 2025 verder zullen worden uiterold:
NIS2: Fase 2
Om organisaties te ondersteunen bij de naleving van de NIS2-richtlijn bieden we begeleiding bij het uitvoeren van een Self-Assessment. Dit helpt bij het in kaart brengen van de huidige cybersecuritymaatregelen en het identificeren van eventuele tekortkomingen. Op basis van de resultaten stellen we een concreet stappenplan op, afgestemd op de specifieke behoeften en risico’s van de organisatie. We begeleiden het volledige proces, van analyse tot implementatie, zodat organisaties effectief kunnen werken aan hun cyberweerbaarheid en voldoen aan de NIS2-verplichtingen.
Cybersecurity Awareness Campagne
We starten een nieuw project: de Cybersecurity Awareness Campagne, gericht op het versterken van cyberveiligheid binnen organisaties. Dit initiatief biedt vennoten volledige ontzorging bij het opzetten van een effectieve bewustwordingscampagne. De campagne omvat een nulmeting om het huidige kennisniveau te bepalen, gevolgd door diverse affichecampagnes, diepgaande trainingen en een interactieve afsluitende quiz. Het traject wordt afgerond met een uitgebreide rapportage, zodat organisaties inzicht krijgen in hun vooruitgang en concrete vervolgstappen kunnen bepalen.
Business Continuity Planning (BCP)
In 2024 deden we de interne voorbereiding voor de lancering in 2025 van een nieuw project rond Business Continuity Planning (BCP) om organisaties te helpen bij het waarborgen van bedrijfscontinuïteit in crisissituaties, zoals een cyberaanval. We bieden ondersteuning bij het opstellen van een doordacht Business Continuity Plan, waarbij we samen de belangrijkste prioriteiten in kaart brengen en strategieën ontwikkelen om deze effectief aan te pakken. Door risico’s te identificeren en concrete maatregelen vast te leggen, zorgen we ervoor dat organisaties veerkrachtig blijven en snel kunnen reageren op verstoringen.
Gemeenten en intercommunales beheren vaak kritieke sectoren, bijvoorbeeld afvalverwerking en drinkwatervoorziening. Hierdoor is het belangrijk om naast het nemen van preventieve maatregelen ook plannen op te stellen om na een incident de dienstverlening zo goed mogelijk te kunnen laten doorgaan. Dit gebeurt aan de hand van het “business continuity plan”, dat op maat van elk bestuur wordt gemaakt.
Privacyvraagstukken ikv bestuurlijke handhaving
Ons nieuwe project rond Juridisch Advies biedt ondersteuning bij privacyvraagstukken in het kader van bestuurlijke handhaving. We helpen organisaties om privacyrisico’s te identificeren en te voldoen aan de geldende regelgeving bij het verzamelen, verwerken en delen van gegevens. Door gericht advies en praktische richtlijnen zorgen we ervoor dat handhavingsprocedures juridisch correct verlopen en de privacy van betrokkenen gewaarborgd blijft.