Informatiebeveiliging en privacy by design

Wat houdt informatiebeveiliging en 'privacy by design' nu eigenlijk in? Het houdt in dat je goed nadenkt over informatiebeveiliging en privacy bij alles wat je doet. Als je er aan de voorkant over nadenkt, hoef je het aan de achterkant niet meer te regelen. Dus goed nadenken, goed ontwerpen. Hoe het werkt, wordt toegelicht aan de hand van de levenscyclus van een systeem. 

*Muziek* 

Beeldtekst: Microlearnings.
Beveiliging.

BART PIETERS - ADVISEUR INFORMATIEBEVEILIGING EN PRIVACY, MINISTERIE VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES:
Ik ben Bart Pieters, adviseur Informatiebeveiliging
en Privacy bij CIO Rijk.
Ik doe nu een jaar of twintig informatiebeveiliging en een jaar of acht privacy.
Ik ga het met jullie hebben over informatiebeveiliging en privacy by design.

Beeldtekst: Informatiebeveiliging.
privacy by design.

BART PIETERS:
Dat zijn populaire termen, maar wat houdt het nu eigenlijk in?
Het houdt eigenlijk in dat je goed nadenkt over informatiebeveiliging en privacy bij alles wat je doet.
Als je er aan de voorkant over nadenkt, hoef je het aan de achterkant niet meer even te regelen.

Beeldtekst: Bewust nadenken over het ontwerp aan de voorkant.

BART PIETERS:
Dus goed nadenken, goed ontwerpen.
Dat is informatiebeveiliging en privacy by design.
Hoe dat werkt, licht ik toe aan de levenscyclus van een systeem.

Beeldtekst: Levenscyclus van een systeem.

BART PIETERS:
Je hebt een project.
Dat leidt tot een systeem wat je gebruikt.
Aan het einde ga je het systeem afstoten.
Helemaal aan het begin zit vaak het vooronderzoek.

Beeldtekst: 1 voorbereiding.

BART PIETERS:
Daarin maak je een businesscase met de kosten en de baten en ook een Project Start Architectuur.
In beide documenten moet al aandacht zijn voor informatiebeveiliging en privacy.
Meestal voer je een quickscan uit om de basiszaken van beide onderwerpen aan de orde te krijgen.
Hoe gevoelig is informatie? 
Wat voor persoonsgegevens worden er verwerkt?
Zo weet je in de basis al vrij behoorlijk hoe belangrijk het onderwerp wordt.

Beeldtekst: 2 planfase: 

BART PIETERS:
In de tweede stap gaat de projectleider aan de slag.
Die krijgt de opdracht om een plan uit te werken, de planfase. Hij pakt meestal een sjabloon van een plan van aanpak waarin de privacy- en beveiligingsproducten al zijn opgenomen en maakt daar een keuze uit die past bij de inhoud van het project.
Zo krijg je een goede definitie van de privacy- en securityproducten die in de planfase worden opgeleverd.

Beeldtekst: 3 ontwerpfase. 

BART PIETERS:
Dan komt de belangrijkste fase: de ontwerpfase, de by-designfase.
Je kijkt dan eigenlijk naar voren, naar het einde van het systeem.
Wat heb je nodig om het systeem af te stoten?
Vaak heb je een exportfunctie, een archieffunctie nodig.
Wat heb je nodig tijdens de operationele fase?
Functionele releases, beheerpatches.
Zo redeneer je dat terug naar allerlei ontwerpeisen en maak je het ontwerp van het systeem.

Beeldtekst: 4 realisatiefase. 

BART PIETERS:
Dat ontwerp pas je toe in de volgende fase, de realisatiefase waarbij je systematisch het ontwerp toepast in het maken van het systeem.
Wat daarbij heel belangrijk is, is dat je toetst of het systeem ook goed is gerealiseerd.
Je gaat een pentest uitvoeren, je gaat een audit uitvoeren om te kijken of alle privacy- en securityeisen ook goed gerealiseerd zijn.
Deze by-designaanpak pas je verder toe op alle levensfases van het systeem.
Wat betekent dat voor jou als medewerker?
Als je als medewerker ergens in dit proces zit betekent dit dat je wanneer je documentatie van je voorganger aangeleverd krijgt… 

Beeldtekst: Kijk naar aangeleverd materiaal.

BART PIETERS:
…je hierin kijkt naar wat informatiebeveiliging en privacy inhouden voor dit project en dat vervolgens systematisch
bij jouw werkzaamheden uitvoert en ook aantoonbaar uitvoert zodat degene die na jou komt er ook mee verder kan.

Beeldtekst: Leg wijzigingen vast. 

BART PIETERS:
Wat ook heel belangrijk is, is dat je voldoende kennis en ervaring hebt.

Beeldtekst: zorg voor voldoende training. 

De opleidingen zijn er echt voor alle ICT-medewerkers.
Ze zijn er voor beheerders, programmeurs, testers.
Hoe ga je op jouw vakgebied om met informatiebeveiliging en privacy.
Zorg dat je de kennis hebt.
Vraag bij je leidinggevende om die opleidingen.
Maak er gebruik van.

*Muziek speelt en eindigt* 

Beeldtekst: Microlearnings.
Beveiliging.
Deze microlearning is tot stand gekomen door een samenwerking tussen de Leer- en Ontwikkelcampus (LOC) van UBR, de directie CIO Rijk van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BKZ) en de RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO).