De spelregels rondom informatiebeveiliging veranderen voortdurend. Gelukkig is de notaris zich bewust van de gevoeligheid en de waarde van informatie waarmee hij werkt. Mede hierdoor ziet hij als een berg op tegen de Gedragscode Informatiebeveiliging. ‘Niet nodig,’ vertellen Joop de Rooij (CISO ICT Concept) en Alain Derkse (Inside Sales ICT Concept) in dit artikel. ‘Deze gedragscode schept juist duidelijke kaders voor iets dat het notariaat al in gang heeft gezet.’
‘Notarissen zijn goed in notarissen,’ aldus Joop. ‘Hiermee bedoel ik dat zij zich van nature bewust zijn van de informatie waarmee zij werken. Ook bedoel ik hiermee dat zij complexe zaken, zoals het voldoen aan de security richtlijnen, met een gerust hart bij een specialist kunnen neerleggen, zodat zij zich kunnen focussen op hun cruciale rol als notaris.’
Een check
Notarissen kunnen niet voortdurend op de hoogte blijven van alle richtlijnen buiten het notariële vakgebied om, zoals deze gedragscode. Joop: ‘Dit zorgt voor onzekerheid. ‘Doe ik de juiste dingen of doe ik te veel?’ Zeker als er vervolgens weer een hackpoging in het nieuws komt. Zie daarom deze gedragscode als een soort check, waarmee u precies weet wat er aangescherpt moet worden. Het geeft duiding en richting.’
Kijkt u hier met een specialist naar, zo stelt Joop, dan valt zo’n maatregel vaak mee. Denk aan de bezoekersregistratie, waarbij u mensen dient in te schrijven, te voorzien van een pasje en nooit alleen laat.
Joop: ‘However, er zijn situaties denkbaar dat het over de top is. Bijvoorbeeld wanneer u met twee man werkzaam bent in een kantoor dat slechts uit één ruimte bestaat. Een bezoeker kan dan nergens heen en dus kunt u deze maatregel anders vormgeven.’
Op iedere richtlijn is een nuance te bedenken die een notaris zelf misschien niet ziet. Joop: ‘Er is ruimte voor interpretatie. Betrek daarom een specialist en doe het samen. Ga niet zelf zitten ‘You-Tuben’.’
Comply or explain
Het betrekken van een expert voorkomt stress en onnodige kosten. Ja, de omgeving moet veilig zijn en een beleid rondom de gedragscode duidelijk, maar dat hoeft de notaris niet allemaal zelf te doen. Joop: ‘Net zoals ik niet zelf een testament opstel. Leg de verantwoordelijkheid rondom informatiebeveiliging waar deze – gedeeltelijk – hoort, namelijk bij uw ICT-leverancier. En leg alles vast, ook als u bepaalde dingen bewust niét doet. Zorg ervoor dat u altijd, bij een controle, kunt laten zien dat u in control bent en bewust over zaken nadenkt. Kortom, comply or explain.’
Van maatregel naar checklist
‘Leg ook verantwoordelijkheid bij de medewerkers zelf,’ zo haakt Alain in. Volgens hem is awareness de basis. ‘Het is belangrijk dat het hele team snapt wat er waarom wordt gedaan. Vaak hebben medewerkers geen idee wat de impact is van hun handelingen. Iedereen binnen het kantoor is verantwoordelijk, van receptie tot directie. Dat een kantoor een regievoerder aanstelt oké, alleen is daarmee de kous niet af. Met onze awareness trainingen helpen we teams bij dit inzicht.’
Alain heeft met zijn collega Kevin een checklist opgesteld om de gedragscode per kantoor te analyseren. Alain: ‘We hebben de hele regelgeving voor kantoren doorgenomen en vertaald naar een praktische lijst van de belangrijke punten, onderverdeeld in zaken waarvoor het kantoor of de ICT-leverancier verantwoordelijk is. Inclusief waar wij als leverancier al rekening mee hebben gehouden en wat nog openstaat om samen op te pakken. Dit wordt vertaald naar een document dat kantoren gebruiken bij een audit.’
Net als een testament
Denk als notaris na over wat er mis kan gaan als u niets met informatiebeveiliging doet. Net als met een testament, voelt u de consequenties pas als er iets gebeurt. Gaat er binnen informatiebeveiliging iets mis, denk aan een ransomware aanval waarbij u losgeld moet betalen, dan zijn de consequenties niet te overzien. Joop: ‘Laat uw ICT-leverancier uw zwembandjes zijn. Hij helpt u met advies rondom deze gedragscode en de implementatie ervan. Dan kunt u met een gerust hart ‘notarissen.’
Weten wat u allemaal moet regelen in het kader van de Gedragscode Informatiebeveiliging? Kijk het webinar van ICT Concept terug, of neem contact met ons op!