Utrecht, 11 oktober 2006 - Gemeenten en zorginstellingen zijn zich ervan bewust dat ze onvoldoende ver zijn met het doorvoeren en handhaven van security beleid, maar ze accepteren de achterstand. Opvallend is verder dat het beleid en handhaving op het gebied van informatiebeveiliging is belegd bij de IT-afdeling of het facilitair bedrijf. Dit zijn enkele conclusies uit een door Northwave verricht onderzoek onder gemeenten en zorginstellingen. Northwave is een adviesbureau op het gebied van informatiebeveiliging en compliance,
Gemeenten en zorginstellingen staan middenin grootschalige digitaliseringsprocessen, bijvoorbeeld rondom digitale loketten of patiëntendossiers. Steeds meer medewerkers krijgen toegang tot vertrouwelijke persoonsgebonden informatie. De beveiligingsrisico’s van informatie-uitwisseling via digitale kanalen maken aanpassingen van de administratieve organisatie en interne controlemaatregelen noodzakelijk. Om te peilen hoever de gemeenten en zorginstellingen zijn in deze aanpassingen, heeft Northwave een kwalitatief onderzoek gehouden in deze doelgroepen. Functionarissen op management- en directieniveau van IT, facilitaire bedrijfseenheden en AO/IC afdelingen zijn geïnterviewd. De uitkomsten uit het onderzoek zijn nadrukkelijk indicatief, maar leiden tot een aantal conclusies.
Zowel bij gemeenten als in de zorg blijken de IT afdeling of het facilitair bedrijf verantwoordelijk te zijn voor beleid en toezicht op integriteitgerelateerde zaken, als er überhaupt beleid is. Integriteit wordt vrijwel altijd geassocieerd met systeemintegriteit en fysieke beveiliging. Wet- en regelgeving en zelfs interne procedures zijn vrijwel nergens als prioriteit opgenomen in de agenda’s van de respondenten. Op een aantal punten werd de respondenten gevraagd zichzelf te beoordelen met een rapportcijfer tussen 1 (slecht) en 10 (goed). Enkele uitkomsten:
- Bekendheid met relevante wet- en regelgeving: 7-
- Aanwezigheid van beleid, procedures en belegging van verantwoordelijkheid: 4
- Interne communicatie en bekendheid met beleid: 6-
- Interne beheersorganisatie: 6
- Interne beheersmaatregelen: 5,5
Bij de algemene zelfbeoordeling was het hoogste cijfer een 7 en de meest negatieve uitslag een 4-. Opmerkelijk was dat een belangrijk aantal respondenten aangaf per 1 januari 2007 niet compliant te zijn aan nieuwe wetgeving en dat zij dat acceptabel vonden.
Uit de enquête kunnen wij voorzichtig concluderen dat men voldoende bekend is met nieuwe wet- en regelgeving. Er zijn echter onvoldoende stappen ondernomen om de interne organisatie klaar te maken voor de veranderingen. In sommige gevallen wordt bewust niet op tijd voldaan aan de compliance richtlijnen. Deze situatie is niet wenselijk en zou het onderwerp hoger op de agenda van het bestuur moeten plaatsen.
Over Northwave (www.northwave.nl)
Northwave is een jong Nederlands adviesbedrijf op het gebied van informatiebeveiliging en compliance. Northwave is in 2006 opgericht. Het bedrijf telt 4 medewerkers en heeft een netwerk van ruim 10 consultants.
Northwave ondersteunt organisaties bij het beschermen van informatie en het voldoen aan regelgeving, zoals SOX, Basel II en PCI DSS. Klanten van Northwave zijn actief in de financiële dienstverlening, zorg en (lokale) overheid. Northwave fungeert als kenniscentrum, geeft beleidsadvies en verzorgt implementaties van informatiebeveiligings-strategieën en -oplossingen. Indien relevant voor de klantsituatie adviseert Northwave een complete infrastructuur voor veilig databeheer. Naast producten van derden kunnen de oplossingen van Vormetric, waarmee Northwave een VAR-overeenkomst heeft, worden ingezet. Op termijn zal Northwave ook andere producten aan haar portfolio toevoegen.
In de rol van kenniscentrum heeft Northwave voor specifieke sectoren trainings- en opleidingsprogramma’s met open inschrijving ontwikkeld. Zo wordt momenteel voor de gemeentemarkt de ‘Basiscursus Informatiebeveiliging’ aangeboden.
Northwave BV
Fultonbaan 20
Postbus 1054
3430 BB Nieuwegein
T +31 (0)30 6004727
F+31 (0)30 6004729
W
www.northwave.nl