Het zal je niet ontgaan zijn dat de Koninklijke Notariële Beroepsorganisatie (KNB) de Gedragscode Informatiebeveiliging Notariaat heeft gelanceerd: een pakket van 95 maatregelen dat een stevig basisniveau van informatiebeveiliging binnen het notariaat moet bewerkstelligen. Wie binnen het notariaat denkt dit met een gerust hart over te kunnen laten aan de partij die de techniek verzorgt, komt bedrogen uit. Om informatie en -systemen goed te beveiligen kan niet alleen op techniek worden geleund. Uiteindelijk speelt de mens hierbij een rol van doorslaggevende betekenis. Heeft jouw praktijk hier al voldoende aandacht aan besteed?
Tot een paar jaar terug kon informatiebeveiliging nog als een ‘regulier bedrijfsrisico’ voor individuele notariskantoren worden gezien. De recente geschiedenis heeft ons echter geleerd dat bij grote incidenten het vertrouwen in het notariaat als geheel op de tocht kan komen te staan. Herinner je je bijvoorbeeld de hack uit 2021 nog, waardoor 96 notariskantoren geen akten konden passeren? Tegen deze achtergrond heeft de KNB de Gedragscode Informatiebeveiliging Notariaat uitgevaardigd. Om notarissen tijd te gunnen de Gedragscode stapsgewijs te implementeren, treedt de Gedragscode gefaseerd in werking. Op het moment van publiceren (januari 2024) zitten we middenin fase 2 van in totaal 4 fasen. Eind 2024 dient elk notariskantoor de volledige Gedragscode te hebben geïmplementeerd.
De Gedragscode is gebaseerd op internationale normen en standaarden en bevat een basisset aan beveiligingsmaatregelen, die zijn toegespitst op de risico’s die gelden binnen het notariaat. Aangezien notarissen toegang hebben tot gevoelige en waardevolle informatie en bovendien een belangrijke maatschappelijke functie vervullen waarbij vertrouwen hoog in het vaandel staat, is het van groot belang informatie adequaat te beschermen. Daarbij is bescherming van de vertrouwelijkheid slechts één aspect. Informatiebeveiliging ziet namelijk ook op het beschermen van de beschikbaarheid en integriteit van informatie. Oftewel: ervoor zorgen dat informatie toegankelijk is op het moment dat je erbij moet kunnen, en ervoor zorgen dat informatie juist en accuraat is en bijvoorbeeld niet wordt aangetast. Belangrijke aspecten bij het werk van de notaris.
De beschikbaarheid, integriteit en vertrouwelijkheid van informatie kunnen in het geding komen door een veelheid aan oorzaken. Gedacht kan worden aan hackers die binnendringen in systemen, maar er zijn ook onschuldigere oorzaken te vinden, zoals technische storingen, menselijke fouten, of faillissementen van leveranciers die informatie beheren. Informatiebeveiliging richt zich daarom niet alleen op techniek, maar ook op processen en op mensen. Daarbij neemt de mens een cruciale positie in, omdat zij ook een belangrijke rol heeft in de technisch- en procesgeoriënteerde beveiligingsmaatregelen. Bovendien is in de praktijk de mens dikwijls de zwakste schakel gebleken, tal van technische maatregelen ten spijt.
Maatregelen om informatie te beschermen kunnen gericht zijn op techniek, maar ook op processen en op mensen. Deze maatregelen grijpen bovendien op elkaar in.
Voorbeelden van technische maatregelen zijn o.a. het scheiden van netwerken, toepassen van multifactorauthenticatie, virusscanners, versleutelen van opgeslagen of verzonden informatie en het maken van back-ups.
Bij procesgerichte maatregelen kan worden gedacht aan het inrichten van procedures voor het melden, beoordelen en oplossen van beveiligingsincidenten, een procedure voor het toekennen, wijzigen en intrekken van toegangsrechten en een proces voor het selecteren en managen van leveranciers.
Hét voorbeeld van een mensgerichte maatregel is het organiseren van periodieke bewustwordingstrainingen om mensen te wijzen op de risico’s die zich in de praktijk voordoen en om hen te doordrenken van het belang van informatiebeveiliging. Hier houdt het echter niet bij op. Minstens zo belangrijk is om mensen te trainen in het toepassen van beleid en procedures en om hen de kennis en competenties te geven die nodig zijn om hun taken en verantwoordelijkheden in het geheel te kunnen laten uitoefenen.
Het onderscheid tussen technische, procesgerichte en mensgerichte maatregelen helpt ons de diverse aard van de onderscheidenlijke maatregelen te duiden. Uiteindelijk grijpen dit soort maatregelen echter ook op elkaar in. Zo zijn er processen die erop gericht zijn om technische maatregelen effectief te laten zijn, zijn er technische maatregelen om menselijke fouten te voorkomen en zijn er mensgerichte maatregelen om procedures goed te kunnen laten verlopen. Kortom: informatiebeveiliging is een samenspel waarin mens, proces en techniek samenkomen en interacteren, en niet zonder elkaar kunnen.
Zorg er dus voor dat iedereen binnen het kantoor (en vergeet daarbij externen niet!) zich bewust is van hun rol en verantwoordelijkheid in het geheel, dat ze kennis hebben van dreigingen die in de praktijk voorkomen, en dat ze bekend zijn met het beleid en de procedures die binnen jouw kantoor gelden.
Bekijk onze diensten, speciaal ontwikkeld voor de notaris.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.