Privacy impact assessment (PIA)

Den Haag, 29 oktober 2012 – In het regeerakkoord tussen VVD en PvdA is opgenomen dat online privacy beter moet worden beschermd. Hiervoor krijgt het College Bescherming Persoonsgegevens (CBP) meer bevoegdheden om de privacy te waarborgen en te handhaven.

De uitwerking binnen het regeerakkoord is een verbreding van de motie- Franken waarmee de overheid privacybeperkende maatregelen vooraf moet toetsen op de verenigbaarheid met de grondrechten inzake privacy. Binnen het huidige regeerakkoord wordt deze eis ook opgelegd aan het bedrijfsleven en dienen organisaties een ‘Privacy Impact Assessment (PIA)’ uit te voeren om te evalueren of de privacy voldoende is geborgd in het geval van het aanleggen van databestanden met persoonsgegevens of dergelijk verwerkende systemen.

Het uitvoeren van een PIA brengt de nodige kosten met zich mee. Die kosten moeten in een aanvaardbare verhouding staan tot de risico’s die met de PIA in kaart kunnen worden gebracht. Het is aannemelijk dat het houden van een PIA voor het midden- en kleinbedrijf relatief vaak zal leiden tot een onevenredig zware verplichting indien deze niet weloverwogen en met juiste diepgang wordt ingezet.

Middels het beantwoorden van een aantal simpele vragen krijgt u snel inzicht of een PIA noodzakelijk is en eventueel met welke diepgang deze kan worden uitgevoerd. Binnenkort kunt u op onze website een evaluatieformulier downloaden.

Beveiligingsassessment voor DigiD gebruikende organisaties

Den Haag, 6 februari 2012 – Minister Spies (bzk) heeft besloten dat alle DigiD gebruikende organisaties een beveiligingsassessment moeten laten uitvoeren op de ICT-beveiliging rond het gebruik van DigiD.

De Minister komt tot het besluit naar aanleiding van een aantal lekken in gemeentelijke websites welke aan het licht kwamen in het derde kwartaal van 2011.

Als norm voor het ICT-beveiligingsassessment dient de ICT-beveiligingsrichtlijn voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC). De richtlijn bevat normen voor basisbeveiliging (virusscanner, firewall), besturingssysteem en netwerk- en applicatiebeveiliging. Ook een penetratietest (zgn. ‘hack-test’) maakt deel uit van het assessment.

Het onderzoek dient te worden uitgevoerd onder de verantwoordelijkheid van een Register EDP-auditor die in het register van de NOREA is ingeschreven.

De beveiligingsassessments zullen gefaseerd worden doorgevoerd: ‘grootgebruikers’ van DigiD dienen te zorgen dat het assessment uiterlijk eind 2012 is uitgevoerd, andere organisaties uiterlijk een jaar later.

Hier kunt u de kamerbrief van de Minister downloaden.

Indien u wilt weten wat Duijnborgh Audit voor u kan betekenen m.b.t. dit assessment, klik dan hier.

 

Update 17/8/2012:

KING (het Kwaliteits Instituut Nederlandse gemeenten) heeft in opdracht van BZK en VNG een impactanalyse uitgevoerd. De analyse is uitgevoerd onder negen gemeenten, hun leveranciers en betrokken auditors en pentesters. Het doel van de impactanalyse is te komen tot een gestandaardiseerde aanpak voor gemeenten voor het uitvoeren van het jaarlijkse ICT-beveiligingsassessment. Belangrijke bevinding is dat op dit moment sprake is van onvoldoende gevoel van urgentie, terwijl de doorlooptijd van het hele assessment minimaal op ongeveer 6 maanden wordt geschat. Geen enkele van de onderzoicht gemeenten is op dit moment helemaal klaar voor het assessment.

Beveiligingsassessment voor DigiD gebruikende organisaties

Den Haag, 6 februari 2012 – Minister Spies (bzk) heeft besloten dat alle DigiD gebruikende organisaties een beveiligingsassessment moeten laten uitvoeren op de ICT-beveiliging rond het gebruik van DigiD.

De Minister komt tot het besluit naar aanleiding van een aantal lekken in gemeentelijke websites welke aan het licht kwamen in het derde kwartaal van 2011.

Als norm voor het ICT-beveiligingsassessment dient de ICT-beveiligingsrichtlijn voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC). De richtlijn bevat normen voor basisbeveiliging (virusscanner, firewall), besturingssysteem en netwerk- en applicatiebeveiliging. Ook een penetratietest (zgn. ‘hack-test’) maakt deel uit van het assessment.

Het onderzoek dient te worden uitgevoerd onder de verantwoordelijkheid van een Register EDP-auditor die in het register van de NOREA is ingeschreven.

De beveiligingsassessments zullen gefaseerd worden doorgevoerd: ‘grootgebruikers’ van DigiD dienen te zorgen dat het assessment uiterlijk eind 2012 is uitgevoerd, andere organisaties uiterlijk een jaar later.

Hier kunt u de kamerbrief van de Minister downloaden.

Indien u wilt weten wat Duijnborgh Audit voor u kan betekenen m.b.t. dit assessment, klik dan hier.

 

Update 17/8/2012:

KING (het Kwaliteits Instituut Nederlandse gemeenten) heeft in opdracht van BZK en VNG een impactanalyse uitgevoerd. De analyse is uitgevoerd onder negen gemeenten, hun leveranciers en betrokken auditors en pentesters. Het doel van de impactanalyse is te komen tot een gestandaardiseerde aanpak voor gemeenten voor het uitvoeren van het jaarlijkse ICT-beveiligingsassessment. Belangrijke bevinding is dat op dit moment sprake is van onvoldoende gevoel van urgentie, terwijl de doorlooptijd van het hele assessment minimaal op ongeveer 6 maanden wordt geschat. Geen enkele van de onderzoicht gemeenten is op dit moment helemaal klaar voor het assessment.

Infrastructuur medische gegevensuitwisseling voortgezet

Den Haag, 14 december 2011 – Het bestuur van Nictiz heeft besloten dat de infrastructuur voor gegevens- uitwisseling in 2012 in gebruik blijft….

Na een eerder genomen besluit op 8 november 2011, om te stoppen met de infrastructuur omdat onvoldoende financiele garanties waren verkregen, kondigde Minister Schippers op 8 december aan dat het LSP blijft bestaan en zal worden gefinancierd door de zorgaanbieders, de zorgverzekeraars en het ministerie van VWS. De NPCF, VHN, LHV, KNMP richten de Organisatie van Zorgaanbieders op die de infrastructuur zal gaan beheren. De eerstkomende twee jaar financiert VWS het LSP nog voor 3,5 ton per jaar mee. Ook betaalt VWS het eerste jaar nog 1,5 miljoen voor de overgangsperiode van het klantenloket.

Inmiddels hebben verschillende partijen wel hun afkeuring geuit tegen dit plan, dat door sommigen een schoffering van de Eerste Kamer wordt genoemd.Er zijn echter ook voorstanders die het een groot pluspunt vinden dat patiënten nu zelf aan kunnen geven of zij worden opgenomen in het informatiesysteem.

Infrastructuur medische gegevensuitwisseling voortgezet

Den Haag, 14 december 2011 – Het bestuur van Nictiz heeft besloten dat de infrastructuur voor gegevens- uitwisseling in 2012 in gebruik blijft….

Na een eerder genomen besluit op 8 november 2011, om te stoppen met de infrastructuur omdat onvoldoende financiele garanties waren verkregen, kondigde Minister Schippers op 8 december aan dat het LSP blijft bestaan en zal worden gefinancierd door de zorgaanbieders, de zorgverzekeraars en het ministerie van VWS. De NPCF, VHN, LHV, KNMP richten de Organisatie van Zorgaanbieders op die de infrastructuur zal gaan beheren. De eerstkomende twee jaar financiert VWS het LSP nog voor 3,5 ton per jaar mee. Ook betaalt VWS het eerste jaar nog 1,5 miljoen voor de overgangsperiode van het klantenloket.

Inmiddels hebben verschillende partijen wel hun afkeuring geuit tegen dit plan, dat door sommigen een schoffering van de Eerste Kamer wordt genoemd.Er zijn echter ook voorstanders die het een groot pluspunt vinden dat patiënten nu zelf aan kunnen geven of zij worden opgenomen in het informatiesysteem.

Nieuwe versie NEN 7510 ‘Informatiebeveiliging in de zorg’ gepubliceerd

Nieuwe versie NEN 7510 ‘Informatiebeveiliging in de zorg’ gepubliceerd

Den Haag, oktober 2011 – NEN heeft, in nauwe samenspraak met verschillende partijen uit de zorgsector – onder consensus de nieuwe afspraken voor informatiebeveiliging in de Zorg vastgelegd in de NEN 7510:2011.

De nieuwe versie is volgens verschillende partijen beter leesbaar dan de vorige versie en biedt nu in één document alle eisen aan die nationaal en internationaal gelden voor informatiebeveiliging in de zorg.

De gereviseerde norm is de herziening van NEN 7510:2004 en de daaraan gerelateerde NEN 7511-serie uit 2005. De herziene norm is tevens de Nederlandse variant van NEN-EN-ISO 27799, die aanwijzingen geeft voor het toepassen van de ‘Code voor informatiebeveiliging’ (NEN-ISO-IEC 27002) in de gezondheidszorg. Inhoudelijke wijzigingen zijn onder andere een normatief hoofdstuk over risicomanagement (conform ISO 27005) en een normatief hoofdstuk over kwaliteitsmanagement (conform ISO 27001).

bron: NEN

Nieuwe versie NEN 7510 ‘Informatiebeveiliging in de zorg’ gepubliceerd

Den Haag, oktober 2011 – NEN heeft, in nauwe samenspraak met verschillende partijen uit de zorgsector – onder consensus de nieuwe afspraken voor informatiebeveiliging in de Zorg vastgelegd in de NEN 7510:2011.

De nieuwe versie is volgens verschillende partijen beter leesbaar dan de vorige versie en biedt nu in één document alle eisen aan die nationaal en internationaal gelden voor informatiebeveiliging in de zorg.

De gereviseerde norm is de herziening van NEN 7510:2004 en de daaraan gerelateerde NEN 7511-serie uit 2005. De herziene norm is tevens de Nederlandse variant van NEN-EN-ISO 27799, die aanwijzingen geeft voor het toepassen van de ‘Code voor informatiebeveiliging’ (NEN-ISO-IEC 27002) in de gezondheidszorg. Inhoudelijke wijzigingen zijn onder andere een normatief hoofdstuk over risicomanagement (conform ISO 27005) en een normatief hoofdstuk over kwaliteitsmanagement (conform ISO 27001).

bron: NEN

Accreditation ISO/IEC 27001 Duijnborgh Certification

Utrecht, February 1, 2011 – The Accreditation Council has accredited Duijnborgh Certification for the ISO / IEC 27001.

On February 1, 2011 Mr Roelf Werkman (pictured right) of the Accreditation Council (RvA) officialy handed over the accreditation status to Mr Frank Kossen (pictured left), Managing Director of Duijnborgh Certification BV to certify Duijnborgh Certification against the ISO 27001 standard (Information Security management System).

With this Duijnborgh Certification is the fifth Certification Institute (CI) in the Netherlands that is entitled to certify organizations against the ISO/IEC 27001. With this accreditation, the Accreditation Council endorses the method and quality of certification activities implemented by Duijnborgh Certification BV. Due to the increasing demand of standardization of information from the market, organizations are looking for a party that pragmatic and focused organization the management of the organization can be certified. Many current and new customers in Duijnborgh therefore the value. Duijnborgh has been more than 7 years succesfull in IT audits and operational audit services to small and medium-sized organizations within the financial sector (ISAE3402), government and healthcare (NEN7510, GBZ, ZSP). Extension towards certification services is a logical next step which meets the market demand and the vision of Duijnborgh. Where major certification bodies often choose a foreign accreditation as UKAS has Duijnborgh Certification BV chosen the Dutch Accreditation Council because of the high quality level and the reputation of that public body within the Dutch market. Read more about the certification activities Duijnborgh on www.dbcert.nl

Accreditatie ISO 27001 Duijnborgh Certification

Utrecht, 1 februari 2011 – De RvA heeft Duijnborgh Certification de accreditatiestatus uitgereikt voor de ISO/IEC 27001.

Op 1 februari 2011 reikte de heer Roelf Werkman (foto rechts) van de Raad voor Accreditatie (RvA) de accreditatie status uit aan Frank Kossen (foto links), algemeen directeur van Duijnborgh Certification BV voor het certificeren van organisaties tegen de ISO-27001 norm (Informatiebeveiliging management systeem).

Hiermee is Duijnborgh Certification de vijfde instelling in Nederland die hiervoor is geaccrediteerd. Door deze accreditatie onderschrijft de RvA de werkwijze en kwaliteit van certificeringactiviteiten door Duijnborgh Certificatie BV. Vanwege de toenemende vraag van standaardisatie van informatiebeveiliging vanuit de markt zijn organisaties op zoek naar een partij die pragmatisch en organisatiegericht het managementsysteem van de organisatie kan certificeren.

Veel nieuwe en huidige klanten zien in Duijnborgh dan ook de meerwaarde. Duijnborgh is namelijk al meer dan 7 jaar succesvol in IT-audits en operationele auditdiensten bij kleine en middelgrote organisaties binnen o.m. de financiële sector (SAS70), overheid en zorg (NEN7510, GBZ, ZSP). Uitbreiding richting certificatie diensten is dan ook een logische volgende stap welke aansluit op de marktvraag en de visie van Duijnborgh.

Waar grote certificerende instellingen vaak kiezen voor een buitenlandse accreditatie als UKAS heeft Duijnborgh Certification BV gekozen voor de Nederlands Raad voor Accreditatie vanwege het hoge kwaliteitniveau van een RvA accreditatie en de bekendheid van dit overheidsorgaan binnen de Nederlandse markt.

Lees meer over de certificerende activiteiten van Duijnborgh op www.dbcert.nl

Duijnborgh Audit offers accountants Full-Service IT-audit

Nieuwegein, November 12th, 2009 – For Financial accountants Duijnborgh Audit has developed a full-service concept IT-audit.

 

 

 

Nowadays ICT is a integral part of the audit work of auditors. The extent to which the process leans at the ICT-supporting environment, determines the deployment of the IT auditor. For firms that do not employ full time IT auditors Duijnborgh Audit provides a good alternative: the Full-Service IT-audit concept. Review the ICT-related risks to be assessed correctly. We can offer these services at very low, competitive rates.

Our services for accounting firms is a proper interpretation of IT audit controls for financial statements, due diligence and risk management. We can support your audit practice with data analysis using the ACL tool for example. Our organization is a member of the professional organization of EDP auditors (NOREA) which has close links with the unions of financial accountants NIVRA and NOvAA. Our auditors are certified and qualified (RE).

Read more about our Full-service concept IT-audit for accountants