Cybersecurity en goede doelen: voldoen aan de normen

8 februari 2025

Wetgeving

Goede doelen met jaarlijkse inkomsten van boven de 200.000 euro moeten verplicht aandacht besteden aan hun informatiebeveiliging. De Commissie Normstelling benadrukt in de erkenningsregeling, waarvan de categorieën per 1 januari 2025 zijn herzien, dat informatiebeveiliging en privacy cruciale elementen zijn van goed bestuur. Het CBF ziet toe op naleving van de normen. Patrick Jordens van TT3P ging hierover in gesprek met Joost Veeken, auditor bij het CBF. Dit artikel biedt praktische inzichten voor goede doelen om te voldoen aan de normen, specifiek gericht op cybersecurity.

De rol van informatiebeveiliging binnen goede doelen

De normen maken duidelijk dat informatiebeveiliging een integraal onderdeel moet zijn van het risicomanagement en governance van goede doelen. Vanaf categorie C (baten vanaf € 200.000) wordt verwacht dat organisaties beschikken over een actueel beleid op het gebied van privacy en informatiebeveiliging (artikel 3.5). Dit betekent dat goede doelen niet alleen beleid moeten formuleren, maar dit ook moeten implementeren, controleren en periodiek actualiseren.

Wat is actueel beleid?

De normen specificeren geen inhoudelijke criteria of vormvereiste voor het begrip ‘actueel informatiebeveiligingsbeleid’. Onder informatiebeveiliging wordt in het algemeen verstaan het treffen en onderhouden van een samenhangend pakket aan maatregelen om de beschikbaarheid, integriteit en vertrouwelijkheid van de informatievoorziening en de werking van systemen te garanderen. Patrick Jordens: “Hierbij gaat het ook om de controleerbaarheid van de maatregelen die genomen zijn om deze kwaliteitsaspecten te borgen". Vanuit de diverse informatiebeveiligingsnormen, zoals ISO 27001, NEN 7510 kan worden afgeleid dat bij de opzet van informatiebeveiligingsbeleid en het bijbehorend managementsysteem met de volgende factoren rekening gehouden dient te worden:

  • Volledig: Het beleid moet alle relevante aspecten van informatiebeveiliging dekken, van technische maatregelen tot procedures binnen de organisatie en bewustwording onder medewerkers.
  • Gedocumenteerd: Het beleid moet schriftelijk vastgelegd zijn en eenvoudig toegankelijk zijn voor relevante partijen binnen de organisatie.
  • Geïmplementeerd: Beleidsrichtlijnen en beheersmaatregelen moeten daadwerkelijk worden geïmplementeerd en toegepast in de dagelijkse praktijk.
  • Gecontroleerd: Regelmatige interne audits of controles moeten nagaan of het beleid effectief is en wordt nageleefd.
  • Jaarlijks gereviewed: Het beleid moet minimaal één keer per jaar worden herzien om ervoor te zorgen dat het up-to-date blijft met veranderende wet- en regelgeving en technologische ontwikkelingen.

Cybersecurity als onderdeel van risicobeheersing

Naast artikel 3.5 verwijst artikel 3.4 van de normen naar risicobeheersing. Volgens de normen moeten organisaties vastleggen welke risico’s het voortbestaan of de impact van de organisatie bedreigen en hoe deze worden beheerst. Voor categorie C geldt dit als een ontwikkelpunt, vanaf categorie D geldt dit als een verplichting. TT3P acht het wenselijk om cybersecurityrisico’s zoals datalekken, phishingaanvallen en ransomware expliciet op te nemen in deze risico-inventarisatie. Joost Veeken: “Het CBF moedigt dit van harte aan, vooral wanneer een goed doel werkt met persoons- of bijzondere gegevens. Dit zorgt ervoor dat cybersecurity niet alleen een IT-kwestie blijft, maar een strategisch onderwerp wordt binnen het bestuur.”

Verbinding met andere normen: werving en belanghebbenden

Het belang van cybersecurity reikt verder dan alleen risicobeheersing:

  • Werving (hoofdstuk 2.3): Vertrouwen van donateurs hangt samen met hoe zorgvuldig goede doelen omgaan met persoonsgegevens. Een datalek kan dit vertrouwen ernstig schaden.
  • Omgang met belanghebbenden (hoofdstuk 7.2): Transparantie en respectvolle omgang met belanghebbenden vereisen dat gevoelige informatie beschermd wordt tegen ongeoorloofde toegang of verlies.

Welke stappen kunt u als goed doel doorlopen?

Goede doelen kunnen stappen ondernemen om te voldoen informatiebeveiligings-normen:

  1. Laat een risico-inventarisatie uitvoeren: Identificeer de specifieke cybersecurityrisico’s voor uw organisatie.
  2. Stel een informatiebeveiligingsbeleid op: Zorg dat dit beleid voldoet aan hierboven genoemde criteria (volledig, gedocumenteerd, geïmplementeerd, gecontroleerd en (minstens) jaarlijks geactualiseerd.
  3. Implementeer beveiligingsmaatregelen: Denk hierbij aan technische oplossingen zoals firewalls en encryptie, maar ook aan bewustwordingstrainingen voor medewerkers.
  4. Voer controles en audits uit: Verifieer regelmatig of uw organisatie voldoet aan het beleid en de gestelde normen. Leg deze controles vast in een overzicht (in control statement) en maak ze aantoonbaar.

Blijf leren en aanpassen: Cyberdreigingen veranderen constant. Zorg ervoor dat uw beleid en maatregelen meegroeien.

Maak cybersecurity een strategische prioriteit

De normen onderstrepen het belang van een solide aanpak voor cybersecurity. Jordens: Goede doelen die voldoen aan deze normen beschermen niet alleen hun eigen organisatie, maar versterken ook het vertrouwen van donateurs en andere belanghebbenden. Jordens: “Begin vandaag nog met het ontwikkelen van een actueel, volledig en effectief informatiebeveiligingsbeleid. Uw reputatie staat op het spel."
 

Wilt u een standaard ontvangen van solide informatiebeveiligingsbeleid? Stuur dan een e-mail naar patrick@tt3p.nl. Voor leden van Goede Doelen Nederland is onze documentatie kosteloos te ontvangen.
Vorige bericht