Op dinsdag 11/04/2022 vond de werkgroep security plaats.
We nodigden enkele DPO's van onze community uit om hun vragen, noden en wensen - beter te capteren.
In de evolutie van informatieveiligheidstool naar cybersecurityplatform hebben we enkele focuspunten bij het renovatieproject behandeld en hebben we de community feedback laten geven. Onder meer volgende wensen voor de informatieveiligheidstool kwamen ter sprake:
- Een duidelijkere toegangsmatrix waarbij de invulling o.b.v. functie uitgebreid wordt naar persoonsgerelateerde toegangen waarbij een tweezijdige zoekfuntie mogelijk is (toegang per persoon - toegang per toepassing). Externe toegang tot deze toegangenmatrix is ook wenselijk, hierbij kunnen de verantwoordelijken (vb. diensthoofden deze rechtstreeks aanpassen).
- Meer exportmogelijkheden voor de risicoanalysen en maturiteitsmetingen. Een exportmogelijkheid naar excel werd alvast toegevoegd. De uitsplitsing van de vragenlijsten in verschillende delen is een volgende stap die we hierin bekijken.
- Mogelijkheden tot het genereren van een rapport van het incidentenregister.
- Voorbeelden van een uitgewerkt wachtwoordbeleid en sjablonen zoals vertrouwelijkheidsovereenkomsten e.d. In de renovatie van de tool zal er een specifieke plaats voorzien worden waar de community kennis en documenten met elkaar kan delen en waarderen.
- Mogelijkheid tot bijschaven van kennis via opleidingsmogelijkheden.
- Een inventaris van risicovolle processen. De meeste processen voor lokale besturen zijn generiek dus hier zouden ook de generieke risoco's van deze processen al in kaart gebracht kunnen worden.
- Momenteel zijn de omgeving gebonden aan 1 persoon/account. Er is grote vraag naar het geven van directe toegang aan collega's, zodat zij rechtstreeks relevante onderdelen kunnen invullen in de tool. Het huidig licentiemodel zal hiervoor herbekeken worden.
- Er wordt onderzocht of we de vragenlijst op minimale veiligheidsnormen van de KSZ kunnen integreren in de tool, omdat dit ook een analyse is die ieder jaar ingevuld moet worden.
- Er is vraag naar het toevoegen van een tijdslijn bij het creëren van een veiligheidsplan (type Gantt chart).
- Er is nood aan een optie om bepaalde hoofdstukken in de maturiteitsmeting aan te duiden als 'niet van toepassing'.
We gaan hier mee aan de slag om deze noden ook mee te nemen in de informatieveiligheidstool en zullen tijdens de volgende werkgroep de resultaten bespreken.
Er kwamen ook enkele juridische onduidelijke vraagstukken naar boven, onder meer over de bewaartermijn van gegevens. De GDPR worden enkele bewaartermijnen opgelegd, de archiefwetgeving daarentegen werd vanuit een heel andere optiek opgesteld. Om meer inzicht te krijgen in hoe deze zich tot elkaar verhouden, zullen we op een volgend moment enkele specialisten van advocatenkantoor Equator aanspreken die onze community meer duidelijkheid kan verschaffen in deze kwesties.
Ook de "quick responsive comunity" (QRC) kwam ter sprake. Samen keken we naar hoe we deze community kunnen versterken en het platform kunnen verbeteren.
Wil jij er de volgende keer ook bij zijn? EN hier jouw vragen en aandachtspunten te delen om samen doelgericht tot een oplossing te komen, geef ons dan een seintje en we nodigen jou uit, om er bij te zijn op 16 mei.
WELKOM.