Informatiebeveiliging en privacy continue prioriteit voor CBS

/ Auteur: Corporate Communication
Cybersecurity
Het CBS heeft informatiebeveiliging en privacy permanent zeer hoog op zijn agenda staan. Dit blijkt onder andere uit het feit dat het bureau zijn beleid op deze punten regelmatig extern laat toetsen. Onlangs is dit weer gebeurd en is het statistiekbureau opnieuw gecertificeerd op het gebied van informatiebeveiliging en privacy. Het bevestigt dat de gegevens van bedrijven en personen bij het CBS veilig en goed beschermd zijn.

Strenge eisen

Het CBS hanteert zeer strenge eisen op het gebied van informatiebeveiliging en privacy, zegt Douwe Kuurstra, hoofd van de CBS Auditdienst. ‘En we vinden het daarom belangrijk om ons beleid regelmatig extern te laten toetsen. We zoeken namelijk continu naar hoe het nóg beter kan. Dat is essentieel voor een statistiekbureau. De audit bestaat uit een diepgaand onderzoek, waarbij onze medewerkers geïnterviewd worden en auditors ook achter de schermen meekijken in de computerprogramma’s. We hebben het onderzoek goed doorlopen en we zijn het komende jaar dus weer officieel gecertificeerd.’

Toegang tot data

Tijdens de audit is onder meer beoordeeld of het CBS alleen die data verzamelt die het nodig heeft voor zijn wettelijke taak. Ook onderzochten de auditors of alleen dié mensen die werken met bepaalde data daar toegang toe hebben. Kuurstra legt uit: ‘Alleen de makers van de betreffende statistiek kunnen bij de dan al onherkenbaar gemaakte data. Alle andere medewerkers van het CBS niet.’ Natuurlijk wordt ook onderzocht of de data voldoende beschermd zijn voor mensen van buitenaf. Dat blijkt het geval.

Werkwijze op website

Dit jaar werd de audit voor het eerst uitgevoerd door Duijnborgh Audit. Kuurstra: ‘Zij kenden het CBS nog niet, dus dan moet je eerst uitleggen hoe de organisatie in elkaar zit. Op basis van de informatie die wij verstrekten en de informatie over onze werkwijze op onze website heeft het auditbureau bepaald met welke medewerkers ze wilden spreken, online vanwege de coronamaatregelen. Onder hen waren statistiekmakers, maar bijvoorbeeld ook mensen die zorgen voor de beveiliging van de ICT.’

‘Los van audits kijkt het CBS zelf ook voortdurend kritisch naar zijn processen op allerlei gebieden’

Processen in kaart brengen

‘Het CBS is een complexe organisatie’ zegt Frank Kossen van Duijnborgh Audit. ‘Dat komt omdat er ontzettend veel statistieken gemaakt worden en veel verschillende werkzaamheden plaatsvinden. We moesten alle zeilen bijzetten om de organisatie te doorgronden. Dat is goed gelukt, met dank aan de medewerking die we kregen binnen het CBS. Ik vond het opvallend hoe de professionals van het CBS – van laag tot hoog – doordrongen zijn van het belang van privacy en informatiebeveiliging en daardoor ook open stonden voor onze vragen.’ Zijn collega Edin Golotic vult aan: ‘Als voorbereiding hebben we een uitvraag gedaan om in kaart te brengen hoe de privacy- en informatiebeveiligingsprocessen georganiseerd waren. Dat gaf een goede indruk op basis waarvan we verder in gesprek konden gaan. Een uitgebreide audit als deze vereist veel planningswerk. Het CBS heeft daar goed bij geholpen: we konden snel schakelen en dat werkte prettig.’

Verbeterpunten

De audit leverde ook enkele verbeterpunten op, met name op het gebied van het beheer van documentatie en het goed borgen van het eigenaarschap van processen. Kossen: ‘Door de complexiteit van de organisatie is het lastig om alle documenten over privacy en informatiebeveiliging overal up-to-date te hebben. Dat is een van de punten waarop we aanbevelingen gedaan hebben. Wat de privacy betreft geldt in het algemeen dat routine goed is, maar sleur slecht. Ook dat hebben we in ons rapport benadrukt. Omdat het een terugkerend verhaal is, is het belangrijk dat je er bewust je aandacht op blijft richten en dat bijvoorbeeld steeds duidelijk is wie waarvoor verantwoordelijk is.’ Kuurstra: ‘Het CBS werkt nu aan een plan van aanpak om deze punten te verbeteren. Het plan moet op 1 april aanstaande klaar zijn en in de zomer moet het resultaat al zichtbaar zijn. Los van audits kijkt het CBS zelf ook voortdurend kritisch naar zijn processen op allerlei gebieden.’

Scherp blijven

Informatiebeveiliging en privacy staan maatschappelijk in de belangstelling en zijn van levensbelang voor het werk van het CBS. Het CBS streeft op dit gebied dan ook niet naar ‘goed’, maar naar ‘excellent’. Kuurstra benadrukt dat audits helpen om scherp te blijven: ‘Burgers en bedrijven in Nederland én onze eigen medewerkers kunnen ervan op aan dat hun gegevens bij ons veilig en goed beschermd zijn. Daar zijn we trots op.’