Blog

De BIO is complex, maar alles draait om grip op de risico’s

Cloud richtlijnen van de BIO

Vanaf 1 januari 2020 hebben gemeenten te maken met de BIO, de Baseline Informatiebeveiliging Overheid. Het is een vrij complex document. Ik merk dat er bij onder andere CISO’s veel onduidelijkheid is over de vertaling naar de praktijk, zeker bij het thema cloud. Waar moet je nu echt rekening mee houden om te voldoen aan de richtlijnen van de BIO?

De BIO neemt de plaats in van de BIG. Gemeenten moeten sinds 1 januari 2020 zijn begonnen met het invoeren van de nieuwe richtlijnen. Aan het eind van dat jaar moeten ze zich via de ENSIA kunnen verantwoorden richting de gemeenteraad en de toezichthouders vanuit het Rijk.

De BIO is grotendeels gebaseerd op twee normenkaders: NEN-ISO/IEC 27001:2017 en NEN-ISO/IEC 27002:2017. Persoonlijk vind ik het een behoorlijk algemeen en daardoor complex document. Dat komt omdat het heel uitgebreid is, zeker in combinatie met een groot aantal extra handreikingen. Er zijn veel richtlijnen, maar wat je als gemeente precies geregeld moet hebben wordt niet altijd duidelijk omschreven. Het lijkt mij daarom voor CISO’s of compliancy officers moeilijk om te beoordelen of ze volledig compliant zijn aan de BIO.

Comply or explain

Het eerste dat mij opvalt als je de BIO doorspit: eigenlijk is het meer dan een richtlijn. Het geeft namelijk niet alleen een richting aan, het stelt ook eisen voor het invoeren van maatregelen. Veel maatregelen die in de BIO worden genoemd zijn min of meer verplicht, een groot verschil met de eerdere BIG.

Waarom zeg ik ‘min of meer’? Je kunt nog wel afwijken van die richtlijnen, maar dan moet je dat duidelijk vastleggen, zeggen waarom je dat doet en aangeven dat je de risico’s accepteert. Dat wordt in de BIO het ‘comply or explain principe’ genoemd. De BIO legt veel nadruk op risicomanagement. Eigenlijk komt het erop neer dat je altijd aan moet kunnen tonen dat je grip hebt en dat je weet waar de eventuele risico’s zitten.

Cloud en BIO

Maar wat zeggen die min of meer verplichte maatregelen over cloud computing? Weinig concreets. Sterker nog: de term “cloud” komt in de hele BIO niet voor. Omdat het niet wordt genoemd bestaat het risico op interpretatieverschillen. Want de BIO heeft weldegelijk betrekking op de cloud.

Meerdere punten in de BIO slaan namelijk op cloud computing. Daarnaast zijn er extra handreikingen uitgebracht die over de combinatie van BIO en cloud gaan. Ze beschrijven onder meer dat je afspraken moet maken met je cloudleverancier. Want gemeenten zijn en blijven verantwoordelijk voor de manier waarop een cloudleverancier omgaat met informatiebeveiliging. De BIO zegt letterlijk: “Met alle leveranciers die als verwerker voor of namens de organisatie persoonsgegevens verwerken, worden verwerkersovereenkomsten gesloten waarin alle wettelijk vereiste afspraken zijn vastgesteld.”

Wat betekent het voor de overheid?

Dat klinkt mooi, maar de praktijk kent haken en ogen. Zeker als het niet om SaaS, maar om IaaS via de publieke cloud gaat. Ik zie gemeenten daar steeds vaker voor kiezen, vaak in combinatie met Azure. De uitdaging: specifieke afspraken maken met in dit geval Microsoft is in veel gevallen een illusie. Wat moeten overheden doen? Daar gaat mijn collega Ruud in de volgende blog dieper op in.

 

Auteur: Jos Vulto

Jos Vulto is Solutions Architect in het IT as a Service team. Hij werkt inmiddels 24 jaar vol passie voor het vak bij Telindus Nederland en is CCIE-, CISSP- en TOGAF-gecertificeerd. Jos volgt nauwgezet technologietrends en klantwensen en combineert deze kennis vervolgens met zijn jarenlange IT-ervaring om de Telindus-directie te adviseren over de te volgen koers. Hij is als zodanig nauw betrokken bij het bedenken en ontwikkelen van propositie op het gebied van relevante topics als cloud en security.

Blijf up to date! Meld je aan voor onze nieuwsbrief.
Blijf up to date! Meld je aan voor onze nieuwsbrief.