Beveiliging

Uitgangspunten

1. Veiligheid is onderdeel van ontwerp, inrichting, beheer en gedrag.
2. Oplossingen zijn secure by design.
3. Informatiebeveiliging wordt niet los gezien van proceskwaliteit en rechtmatigheid.
4. Beveiliging is niet alleen technisch, maar ook organisatorisch en procesmatig ingericht.

Voor FUMO betekent dit dat beveiliging niet als aparte controlelaag achteraf mag worden georganiseerd. Beveiliging werkt door in procesontwerp, applicatiekeuzes, gegevensgebruik, leveranciersafspraken en beheer. Alleen dan kan de organisatie voldoen aan haar verantwoordelijkheden in een omgeving met gevoelige gegevens, ketenuitwisseling en afhankelijkheid van externe voorzieningen.

BIO

1. BIO is het primaire normenkader voor informatiebeveiliging binnen de overheid.
2. Toepassing van BIO vraagt blijvende actualisatie in beleid, maatregelen, toetsing en leveranciersafspraken.
3. FUMO moet rekening houden met het feit dat het actueel houden van BIO-conform werken een structurele inspanning vraagt in beheer, projecten en governance.

Het belang van BIO ligt voor FUMO niet alleen in compliance, maar vooral in het bieden van een gemeenschappelijke taal voor risico's, maatregelen en toetsing. Juist in een architectuur met SaaS, ingekochte platformdiensten en ketensamenwerking helpt BIO om verwachtingen, verantwoordelijkheden en beveiligingsniveaus expliciet te maken.

Referentie:

1. BIO Overheid

AVG en privacy

1. Privacy en gegevensbescherming zijn integraal onderdeel van ontwerp, inrichting en beheer.
2. Gegevensverwerking moet aantoonbaar rechtmatigHet uitgangspunt dat processen, besluiten, gegevensverwerkingen en informatie-uitwisseling voldoen aan wet- en regelgeving en aan de geldende mandaten en bevoegdheden., proportioneel en controleerbaar zijn.

Voor FUMO betekent dit dat privacy niet beperkt blijft tot beleid of juridische toetsing. Privacy werkt door in dossiervorming, logging, autorisaties, gegevensdeling en informatieproducten. De architectuur moet daarom expliciet rekening houden met proportionaliteit, doelbinding en de positie van betrokkenen.

Referentie:

1. Autoriteit Persoonsgegevens

Rollen

1. CISO.
2. FG.
3. Proceseigenaren.
4. Beheerders.

Deze rollen maken duidelijk dat beveiliging en privacy niet exclusief bij één functionaris liggen. FUMO kiest voor een model waarin eigenaarschap, toetsing en uitvoering elkaar aanvullen. Daardoor wordt voorkomen dat security uitsluitend technisch wordt benaderd of privacy uitsluitend juridisch.

Toetsing en maatregelen

1. Toetsing vindt plaats op BIO, privacy, architectuur en leveranciersafspraken.
2. Afwijkingen worden geregistreerd, beoordeeld en opgevolgd.
3. Ook afhankelijkheden van platformen, hosting, identity en AI-diensten worden beoordeeld op risico en soevereiniteit.
4. NIS2 is een relevant aandachtspunt bij leveranciersafhankelijkheid, ketensamenwerking en continuiteitsrisico's.
5. Voor processen waarin boa-taken of andere relevante handhavingstaken worden uitgevoerd, wordt de Wpg toegepast voor zover dat juridisch noodzakelijk is.
6. AI-diensten, externe cloudplatformen en specialistische externe processtappen worden expliciet getoetst op beveiliging, privacy, logging en uitlegbaarheid.

Voor FUMO is toetsing op risico's en maatregelen een structureel onderdeel van architectuur en verandering. Nieuwe oplossingen moeten niet alleen functioneren, maar ook uitlegbaar, toetsbaar en beheersbaar zijn binnen de context van ketensamenwerking, gegevensuitwisseling en bestuurlijke verantwoording. Dit vraagt om expliciete risicobeoordeling, classificatie van belangen en onderbouwde keuzes over maatregelen.

Aanvullende eisen:

1. Waar wettelijk of qua risico vereist wordt een DPIA uitgevoerd.
2. FUMO houdt een actueel verwerkingsregister bij voor relevante gegevensverwerkingen.
3. Ontwerpkeuzes worden gebaseerd op risicoanalyse en classificatie van te beschermen belangen.
4. Zero trust geldt als ontwikkelrichting voor toegangs- en netwerkbeveiliging.

Logging en audittrail

1. Logging en audittrail ondersteunen toezicht, verantwoording en onderzoek.

Logging en audittrail zijn voor FUMO niet alleen technische hulpmiddelen, maar ook bestuurlijke randvoorwaarden. Zonder logging zijn gegevensverwerkingen, overdrachtsmomenten, wijzigingen en beveiligingsincidenten onvoldoende herleidbaar. Dat raakt direct aan Woo, AVG, Wpg, audits en ketenverantwoording.

Beveiliging in verandering

1. Beveiliging is een expliciet onderdeel van releases, projecten en innovatie.
2. Nieuwe oplossingen of wijzigingen worden niet alleen functioneel maar ook beveiligingsmatig beoordeeld.
3. Afwegingen rond beveiliging, privacy en continuiteit worden vastgelegd als onderdeel van change en besluitvorming.

Deze lijn is van belang omdat FUMO bewust werkt met releasematig beheerDe beheerstroom voor voorspelbare wijzigingen die periodiek worden gebundeld, getest en in productie genomen., projecten en innovatie als drie verschillende veranderstromen. In alle drie moet beveiliging expliciet worden meegenomen. Daarmee wordt voorkomen dat vernieuwing sneller gaat dan de organisatie verantwoord kan beheersen.

Aanvullende aandachtspunten

1. NIS2 wordt als extern kader gevolgd en waar relevant betrokken bij eisen aan leveranciers en ketensamenwerking.
2. Wpg wordt alleen toegepast waar de aard van het proces en de gegevensverwerking dat vraagt, waaronder in elk geval processen rond boa-taken.

Deze aandachtspunten laten zien dat FUMO opereert in een veranderend normatief landschap. De architectuur moet daarom niet alleen voldoen aan huidige eisen, maar ook voldoende robuust zijn om nieuwe verplichtingen, strengere eisen aan leveranciers en nieuwe vormen van digitale samenwerking op te vangen.

Referenties:

1. NCSC - NIS2
2. Justis - Wet politiegegevens