Informatiebeveiliging en privacy

Managementaanpak

Privacy en informatiebeveiliging zijn prominente onderwerpen bij Nederlandse Loterij. Voor beide aandachtsgebieden zijn toegewijde medewerkers aangesteld. In 2023 werd het privacyteam structureel met één fte uitgebreid. Deze versterking hangt samen met de verdere professionaliseringsslag die Nederlandse Loterij maakt op privacygebied, de hoeveelheid strategische projecten met een privacy-aspect en het aantal persoonsgegevens dat we verwerken door toenemende wettelijke verplichtingen voor deelname aan online kansspelen.

Het securityteam heeft in 2023 samen met onze security-businesspartners en een aantal strategische leveranciers gewerkt aan het verder verbeteren van de beveiliging van ons landschap. Door de komst van nieuwe producten, nieuwe activiteiten, nieuwe systemen, nieuwe medewerkers en nieuwe leveranciers verandert er veel tegelijkertijd. Dit vraagt om nieuwe of aangescherpte maatregelen, processen en procedures voor informatiebeveiliging.

De prestaties van het Information Security Management System en de resultaten van de genomen securitymaatregelen, -processen en -procedures worden periodiek gemeten. De resultaten hiervan bespreken wij op operationeel, tactisch en strategisch niveau in verschillende overlegorganen die op vaste momenten bij elkaar komen met voldoende betrokkenheid van de verschillende stakeholders waaronder het management.

Ook het beleid en de procedures, die onder andere voortkomen uit de op Nederlandse Loterij van toepassing zijnde wet- en regelgeving, zoals de nadere toelichting op de Algemene Verordening Gegevensbescherming door Europese toezichthouders, wordt geregeld besproken in de verschillende overlegorganen.

Voortgang in 2023

Binnen de thema’s informatiebeveiliging en privacy heeft Nederlandse Loterij zich in 2023 onder andere beziggehouden met deze onderwerpen:

Artificiële Intelligentie

Hoewel privacy en security altijd belangrijke onderwerpen blijven, was 2023 ook het jaar van generatieve Artificiële Intelligentie (AI). AI biedt mooie kansen, maar tegelijkertijd is Nederlandse Loterij zich ook bewust van de risico’s en de uitdagingen die het met zich meebrengt. Dat gaat verder dan alleen privacy en security. Ook bij de politiek en de toezichthouders leeft het onderwerp. Om AI op een zorgvuldige manier te kunnen inzetten en in voorbereiding op AI-wetgeving, heeft Nederlandse Loterij in 2023 een AI-beleid ontwikkeld.

Security-learningplatform

In 2023 hebben we een security-learningplatform gelanceerd. Voor alle medewerkers is het verplicht om een aantal leermodules te volgen en met succes af te ronden. Hiermee borgen we de noodzakelijke basiskennis en bewustzijn bij onze medewerkers.

Phishingcampagnes

In 2023 is veel aandacht besteed aan het gevaar van phishing. Onder andere via het security- learningplatform, maar vooral via phishingcampagnes trainen wij onze medewerkers op de gevaren, de mogelijkheden om het te herkennen en ook geven we tips om het te voorkomen. En mocht een medewerker gephisht worden, dan wijzen we op de noodzakelijke acties.

Multi-Factor Authenticatie voor spelersaccounts

Voor onze spelers is het belangrijk dat zij hun account (online wallet) adequaat kunnen beveiligen tegen criminelen. Daarom heeft Nederlandse Loterij in 2023 Multi-Factor Authenticatie (MFA) geïmplementeerd op de portals. We adviseren spelers om gebruik te maken van MFA.

Secure Development

In 2023 is de Secure Development-standaard in samenwerking met de lead developers geactualiseerd. Nederlandse Loterij verwacht dat haar applicaties, zoals websites, webapplicaties en businessapplicaties, voldoen aan gangbare beveiligingsrichtlijnen en bestand zijn tegen voorspelbare kwetsbaarheden. De interne developmentteams zijn goed op de hoogte van de Secure Development-richtlijnen.

Reactie op cyberaanval

We hebben in 2023 hard gewerkt aan het verbeteren van ons vermogen om adequaat te reageren op een cyberaanval. Als we een inbreuk constateren, moet het team daar snel op reageren. Want hoe langer een cyberaanval duurt, hoe meer schade kritieke functies kunnen oplopen.

Personalisatie

Afgelopen jaar heeft Nederlandse Loterij vanuit verschillende expertises in onze organisatie nieuwe mogelijkheden voor gepersonaliseerde aanbiedingen en advertenties verkend. Dit heeft geleid tot een mooi personalisatieproject, waarbij privacy- en gegevensbescherming centraal stonden. Door al bij de ontwikkeling van producten en diensten met privacy rekening te houden, ook wel privacy by design genoemd, worden de doelen van Nederlandse Loterij nagestreefd en tegelijkertijd de privacy van de spelers beschermd.

Digitalisering binnen het privacydomein

Nederlandse Loterij wil de privacy en persoonsgegevens van onze spelers, winnaars, medewerkers en andere relaties respecteren en beschermen. Daarom werkten wij in 2023 aan het optimaliseren en digitaliseren van onze privacyprocessen. Zo hebben we ons Privacy Control Framework gedigitaliseerd en geautomatiseerd. Hierdoor kunnen we onderwerpen uit het Privacy Control Framework makkelijker monitoren, bijsturen waar nodig en risico’s identificeren en verkleinen. Digitalisering van het Privacy Control Framework geeft meer inzicht en overzicht voor Nederlandse Loterij bij het voldoen aan de privacywetgeving. In 2024 gaan we daarom verder met deze digitaliseringsslag.

Klantonderzoek naar ons privacy statement

In 2023 voerden we een kwalitatief onderzoek uit onder onze spelers naar het thema privacy. Tijdens het onderzoek stond het privacy statement centraal en was er speciale aandacht voor de vindbaarheid van en binnen het document en begrip van de inhoud. Daarnaast hebben we getoetst in hoeverre onze spelers op de hoogte zijn van eventuele datadeling met derde partijen, zoals leveranciers, toezichthouders, opsporingsinstanties en de fiscale autoriteit. Een onderdeel van de conclusie is dat het begrip van de inhoud van het privacy statement hoog is en de boodschapoverdracht goed verloopt. Er is daardoor geen directe noodzaak om de teksten aan te passen. Er worden echter wel inhoudelijke aanpassingen voorgesteld die wij zo veel mogelijk willen overnemen en die in 2024 geïmplementeerd gaan worden.

Incidenten

Ondanks alle zorgvuldigheid kan het voorkomen dat processen in de organisatie niet verlopen volgens de beschreven procedures. Het is van groot belang om incidenten die inbreuk maken op onze informatiebeveiliging op tijd te ontdekken. Alle privacy- en security-incidenten worden via het incidentmanagementproces gerapporteerd en opgevolgd door het privacy- en securityteam.

Wij rapporteren informatiebeveiligingsincidenten en bespreken deze in het Security-overleg. Incidenten met een hoge prioriteit bespreken we ook in het Risk Management Committee. Waar nodig nemen we maatregelen om de impact van incidenten te minimaliseren en de kans op herhaling zo klein mogelijk te maken.

Nederlandse Loterij is op basis van haar vergunningen verplicht om incidenten die het vertrouwen van de consument in de vergunde kansspelen kunnen schaden, binnen 72 uur aan de Kansspelautoriteit te melden. Een datalek dat een risico is voor de rechten en vrijheden van betrokkenen moeten we binnen 72 uur na kennisname melden aan de Autoriteit Persoonsgegevens.

Privacy en security: feiten en cijfers

• Bijna 100 procent van de nieuwe medewerkers volgt in de eerste maand na indiensttreding een onboardingsdag, voor de benodigde basiskennis over privacy- en securitythema’s en -richtlijnen.

• Bijna 100 procent van alle medewerkers heeft de verplichte leermodules van het security-learningplatform succesvol afgerond.

• Er was in 2023 1 melding van een privacy-incident aan de Autoriteit Persoonsgegevens. De betrokkenen zijn door ons op de hoogte gesteld.

• Er waren 987 verzoeken over privacyrechten van spelers en medewerkers.

• Wij bieden een aanvullende training op afdelings- en teamniveau.

Vooruitblik 2024

Naast de doorlopende processen zetten we in 2024 meer in op personalisatie om onze spelers beter te kunnen bedienen, binnen de wettelijke kaders en technische mogelijkheden. Privacy staat hierbij centraal. Verder gaan wij de aanbevelingen uit het eerder genoemde klantonderzoek naar ons huidige privacy statement in ons beleid verwerken.

Op het gebied van informatiebeveiliging willen we in 2024 onze responsecapaciteiten inzake cyberincidenten verder ontwikkelen. Dit kan onder andere met maatregelen gericht op het gedrag en het bewustzijn van onze eigen medewerkers. Maar we kijken ook naar het aanscherpen van technische beveiligingsmaatregelen. Een laatste aandachtspunt betreft het consequent uitvoeren van een periodieke controle op de toegang van medewerkers tot bepaalde applicaties. In 2024 wordt deze controle voor een aantal applicaties verder aangescherpt.

Ten slotte blijven wij zowel de richtlijnen van de Autoriteit Persoonsgegevens en de Europese koepel van toezichthouders (EDPB) als de (Europese) wet- en regelgeving monitoren om wijzigingen tijdig en goed te kunnen vertalen in maatregelen en acties.