Informatiebeveiliging (IB) bij de Politie

Een cruciaal onderdeel van het Privacy Intensiveringsprogramma

Sinds 2020 is Growteq nauw betrokken bij het grote Privacy Intensiveringsprogramma (informatiebeveiliging) van de politie. De politie verwerkt en slaat een enorme hoeveelheid persoonsgegevens op. Het is dan ook essentieel om te onderzoeken of dit volgens de geldende regelgeving gebeurt, zoals de Algemene Verordening Gegevensbescherming (AVG) en de Wet politiegegevens (Wpg).

Het programma bestaat hoofdzakelijk uit twee teams: het Privacy team, bestaande uit 14 personen, en het Informatiebeveiligingsteam, bestaande uit 6 personen. Hoewel deze teams gezamenlijk optrekken, hebben ze duidelijk afgebakende taken die samenkomen in de Gegevensbescherming Effect Beoordeling, oftewel GEB (of in het Engels: Data Protection Impact Assessment, DPIA).

Het Privacy team begint met het in kaart brengen van de verwerkingen en het categoriseren ervan als hoog- of laagrisico verwerkingen. Met name voor de hoogrisico verwerkingen wordt een GEB opgesteld. Hierbij analyseren de analisten van het Informatiebeveiligingsteam de betrokken systemen op mogelijke kwetsbaarheden. Deze kwetsbaarheden beoordelen we vervolgens als risico’s (kans x impact) en op basis daarvan worden er maatregelen voorgesteld om deze kwetsbaarheden tot een minimum te beperken.

MAPGOOD-model

Binnen het programma is ervoor gekozen om de risicoanalyses uit te voeren volgens het MAPGOOD-model. Deze  is aangepast aan de specifieke situatie van de politie. Binnen dit model worden vijf thema’s onderzocht, namelijk:

1. Apparatuur
2. Programmatuur
3. Gegevens
4. Mens
5. Procedures

Voor elk thema worden meerdere onderwerpen behandeld waarin risico’s kunnen optreden.

Hoe wordt een IB-analyse uitgevoerd?

Alle IB-analisten werken volgens een vastgestelde procedure en maken gebruik van vooraf gedefinieerde templates. Hierdoor kan een collega IB-analist het werk gemakkelijk overnemen in geval van ziekte. Over het algemeen bestaan de volgende stappen in het maken van een IB-analyse:

1. Het opnemen van de IB-analyse in de planning.
2. Een interview met de betrokkenen (Product Owner, functioneel en technisch beheer).
3. Uitwerken van gespreksverslagen.
4. Het invullen van de IB-analyse.
5. Interne review van de IB-analyse.
6. Oplevering van de IB-analyse.

Tijdens de oplevering en bespreking van de IB-analyse, inclusief de voorgestelde mitigatiemaatregelen, wordt het eigenaarschap van de benodigde acties overgedragen aan de Product Owner.

Na ongeveer zes maanden wordt er contact opgenomen met de Product Owner om te informeren naar de implementatie van de aanbevolen maatregelen en de voortgang ervan.

Conclusie

Informatiebeveiliging speelt een cruciale rol binnen het Privacy Intensiveringsprogramma van de politie. Door middel van het MAPGOOD-model en IB-analyses worden kwetsbaarheden geïdentificeerd en passende maatregelen voorgesteld. Het gebrek aan capaciteit vormt echter een uitdaging bij de implementatie van deze maatregelen. Desondanks blijft het waarborgen van sterke informatiebeveiliging van essentieel belang om de privacy van individuen te beschermen en het vertrouwen in de politie te behouden.

Is uw bedrijf of overheidsinstelling ook op zoek naar professionele ondersteuning op het gebied van informatiebeveiliging? Bij Growteq hebben we ruime ervaring en expertise in het beoordelen en verbeteren van informatiebeveiligingssystemen. Neem vandaag nog contact met ons op om te ontdekken hoe wij u kunnen helpen bij het versterken van uw informatiebeveiliging en het voldoen aan de geldende regelgeving.