Cybersecurity & Privacy

Managementaanpak

Nederlandse Loterij wil met de implementatie van een Information Security Management Systeem (ISMS) de beveiliging van haar informatie waarborgen. Het ISMS stelt Nederlandse Loterij in staat de informatiebeveiliging naar eigen inzicht op een procesmatige manier te besturen en aantoonbaar te maken.

De norm ISO 27001 Informatiebeveiliging is de standaard die wordt gevolgd voor het opzetten en implementeren van het ISMS. Daarnaast opereert Nederlandse Loterij in de zogenoemde kansspelsector, waarin certificatie tegen World Lottery Association Security Control Standard extra kader geeft bij de beveiliging van informatie. Nederlandse Loterij is gecertificeerd tegen ISO 27001 en de World Lottery Association Security Control Standard.

Op het gebied van security en privacy streeft Nederlandse Loterij naar een steeds hoger niveau. Voor beide aandachtsgebieden zijn toegewijde medewerkers aangesteld. De versterking op het gebied van security en privacy hangt samen met de ambitie van Nederlandse Loterij om de meest betrouwbare aanbieder te zijn. Externe ontwikkelingen in de vorm van toenemende securitydreigingen en toenemende wettelijke verplichtingen voor deelname aan online kansspelen, maar ook de groeiende complexiteit van het IT landschap van Nederlandse Loterij leiden tot de noodzaak voor een steeds hoger niveau.

Het beleid en de procedures, die onder andere voortkomen uit de op Nederlandse Loterij van toepassing zijnde wet- en regelgeving, zoals de nadere toelichting op de Algemene Verordening Gegevensbescherming door Europese toezichthouders, wordt geregeld besproken in de verschillende overlegorganen.

Voortgang in 2024

Op het gebied van security en privacy heeft Nederlandse Loterij zich in 2024 onder andere beziggehouden met de volgende onderwerpen:

Transitie naar ISO27001:2022

De afgelopen periode stond in het teken van de transitie van het managementsysteem naar de geactualiseerde ISO-standaard voor informatiebeveiliging. Deze actualisatie was noodzakelijk vanwege de voortdurend toenemende digitalisering, de hiermee samenhangende stijgende waarde van informatie en de ontwikkelingen op het gebied van cyberaanvallen en het toenemende dreigingsbeeld.

Artificial Intelligence (AI)

De investeringen en ontwikkelingen met betrekking tot AI gaan razendsnel. Naast alle kansen die AI biedt, kleven er ook risico’s aan het gebruik van AI. Mede vanuit de afdeling Privacy & Security zijn aanvullende en praktische richtlijnen opgesteld op het gebied van privacy en security, waar onze AI-activiteiten aan moeten voldoen. Via ons security e-learningplatform hebben de medewerkers van Nederlandse Loterij AI-leermodules gevolgd.

Security & Privacy awareness

In 2024 is het learning platform verder geïmplementeerd en zijn op drie verschillende momenten verplichte leermodules aangeboden. In deze leermodules is ook aandacht besteed aan de continu veranderende dreiging van phishing. Aanvullend zijn er ieder kwartaal phishing campagnes georganiseerd met als doel medewerkers alert te houden en is via verschillende kanalen veel aandacht besteed aan de resultaten en eventuele te nemen verbeterpunten. Speciaal voor developers is er, in samenwerking met Computest, een training opgezet. Zij spelen een cruciale rol in het versterken van onze digitale weerbaarheid en het beschermen van systemen en gegevens tegen steeds geavanceerdere cyberdreigingen.

Verificatie autorisaties

Net zoals in voorgaande jaren heeft toegang tot onze data ook in 2024 de noodzakelijke aandacht gekregen. Er is vooral ingezet op de inrichting van de periodieke controle van de inhoud van toegekende rollen op onze kritieke applicaties. Deze controle wordt uitgevoerd door de applicatie-eigenaar.

DDoS bescherming

Afgelopen jaar is DDoS-bescherming geïmplementeerd. Hiermee zijn onze omgevingen beschermd tegen DDoS-aanvallen. Ook hebben we interne teams opgeleid om DDoS-aanvallen te herkennen en te analyseren zodat zij in het geval van een aanval de juiste maatregelen kunnen nemen.

Crisismanagementorganisatie

De crisismanagementorganisatie is onder andere door training en een oefening geprofessionaliseerd. Voorafgaand aan de Olympische en Paralympische Spelen is op basis van het crisisprotocol een veiligheidsplan opgesteld. Gedurende de Spelen heeft het crisisteam 24/7 paraat gestaan. Er hebben zich geen calamiteiten voorgedaan.

Audits

Er hebben verschillende audits plaatsgevonden. Onder andere de auditobjecten privacy, logische toegangsbeveiliging, ISMS, fysieke security, ISO WLA (certificering) zijn getoetst. Het beeld dat volgt uit de audits is overwegend positief. Uiteraard zijn er altijd verbetermogelijkheden die actief worden opgevolgd en de beheersing nog beter maken.

Naast audits op de eigen Nederlandse Loterij omgeving, toetsen wij of laten wij toetsen of kritieke leveranciers de securityrisico’s voldoende beheersen. Daarnaast is er de continue dialoog met de kritieke leveranciers, bijvoorbeeld over incidenten, changes en pentestbevindingen.

Verwerking persoonsgegevens

Mede op basis van het klantonderzoek uit 2023 is het Privacy Statement in 2024 herschreven. Voor de lezer is inzicht in de manier waarop Nederlandse Loterij persoonsgegevens verwerkt overzichtelijker en transparanter geworden. Ook waren er aanpassingen noodzakelijk vanwege de ingevoerde beleidsregels omtrent stortingslimieten.

In 2024 ontvingen wij 52.353 verzoeken over privacyrechten van spelers en medewerkers, zoals wijzigingen van accountgegevens, inzageverzoeken en uitschrijvingen.

Incidenten

Ondanks alle zorgvuldigheid kan het voorkomen dat processen in de organisatie niet verlopen volgens de beschreven procedures. Alle privacy- en security-incidenten worden via het incidentmanagementproces gerapporteerd en opgevolgd door het privacy- en securityteam. Waar nodig nemen we maatregelen om de impact van incidenten te minimaliseren en de kans op herhaling zo klein mogelijk te maken.

Wij rapporteren informatiebeveiligingsincidenten en bespreken deze met het management.

Nederlandse Loterij is op basis van haar vergunningen verplicht om incidenten die het vertrouwen van de consument in de vergunde kansspelen kunnen schaden, binnen 72 uur aan de Kansspelautoriteit te melden. Een datalek dat een risico is voor de rechten en vrijheden van betrokkenen moeten we binnen 72 uur na kennisname melden aan de Autoriteit Persoonsgegevens.

Er was in 2024 één melding van een privacy-incident aan de Autoriteit Persoonsgegevens; de betrokkenen zijn door ons op de hoogte gesteld.

Vooruitblik 2025

In 2025 willen we vooral inzetten op de verdere ontwikkeling van informatiebeveiliging en responsecapaciteit.

Op het gebied van informatiebeveiliging pakken we ook in 2025 het gevaar van phishingaanvallen verder aan. Naast de terugkerende campagnes en het verbeteren van het bewustzijn wordt ingezet op aanvullende technische maatregelen die de kans op succesvolle phishing nog verder verkleinen.

Daarnaast zetten we extra in op het verder ontwikkelen van onze responsecapaciteiten bij cyberincidenten. Dit is een blijvend punt van aandacht. Het nieuwe bestuur wordt getraind in de crisismanagementprocedures en vervolgens wordt er een oefening georganiseerd.

In aanvulling hierop gaan we onze richtlijnen voor het gebruik van AI verder verfijnen en uitbreiden. We werven hiervoor gespecialiseerd personeel om deze ontwikkelingen te versterken. Tegelijkertijd werken we aan het optimaliseren van ons zicht op het gebruik van AI om de effectiviteit en compliance te waarborgen.

Ten slotte blijven wij zowel de richtlijnen van de Autoriteit Persoonsgegevens en de Europese koepel van toezichthouders (European Data Protection Board, EDPB) als de (Europese) wet- en regelgeving monitoren om wijzigingen tijdig en goed te kunnen vertalen naar maatregelen en acties.