Log in
Plan je demo

ISO27001? Geen luxe, maar een minimale vereiste voor rittenregistratiesystemen.

  • ISO
ISO27001? Geen luxe, maar een minimale vereiste voor rittenregistratiesystemen.

Het is 2026. Cyberaanvallen zijn niet langer een uitzondering, maar een dagelijkse realiteit. Onlangs waren het Openbaar Ministerie, het Bevolkingsonderzoek, ODIDO en de Dienst Justitiële Inrichtingen het doelwit. Overheidsinstanties en de zorgsector worden systematisch aangevallen, leveranciers worden misbruikt als achterdeur en datalekken halen regelmatig het nieuws. In die context is het ronduit zorgwekkend, en eerlijk gezegd een schande, wanneer een leverancier van een rittenregistratiesysteem zelf niet ISO27001-gecertificeerd is voor de eigen oplossing.

Zeker bij software die privacygevoelige en fiscale gegevens verwerkt, mag informatiebeveiliging geen bijzaak zijn.

Rittenregistratie: gevoelige gegevens in handen van derden

Een rittenregistratiesysteem verwerkt:

  • Locatiegegevens
  • Bewegingspatronen
  • Kentekens
  • Werktijden
  • Privé- en zakelijke ritten
  • Fiscale onderbouwing voor de Belastingdienst

Dit is geen ‘gewone’ applicatie. Dit zijn gegevens die direct raken aan privacy (AVG), fiscale controleerbaarheid en, in het geval van overheidsinstanties, publieke verantwoording.

Helaas komen we in de markt nog te vaak situaties tegen waarin de ISO27001-certificering van het datacenter waar de servers staan, als schild wordt opgevoerd. Dit zegt niets over de oplossing zelf of de zwakheden daarin. Bovendien zien we bij Europese aanbestedingen dat de eis voor data- en informatiebeveiliging wel erg makkelijk wordt gepasseerd. Het staat als eis in de tender, maar de controle op naleving wordt vervolgens niet of niet goed uitgevoerd. Of men laat zich simpelweg verleiden door een mooi document.

In de huidige context van toenemende cyberdreigingen en strengere wet- en regelgeving, zoals de Zorgplicht en de Cyberbeveiligingswet, is het dan ook relevant om de informatiebeveiliging van deze oplossingen kritisch tegen het licht te houden. Een belangrijke vraag daarbij is: in hoeverre is de leverancier aantoonbaar ‘in control’?

Het Keurmerk Ritregistratiesystemen: wat dekt het wel en wat niet?

Veel rittenregistratiesystemen beschikken over het Keurmerk Ritregistratiesystemen. Dit keurmerk richt zich primair op de fiscale betrouwbaarheid van de registratie en het correct vastleggen van ritgegevens conform de eisen van de Belastingdienst.

Dat is waardevol.

Tegelijkertijd richt het keurmerk zich niet op het volledige spectrum van informatiebeveiliging. Fiscale compliance en informatiebeveiliging zijn twee verschillende disciplines. Beiden zijn belangrijk, maar ze garanderen niet automatisch hetzelfde.

De BIO en de verantwoordelijkheid van overheden

Voor overheidsorganisaties geldt de Baseline Informatiebeveiliging Overheid (BIO). Deze stelt eisen aan de manier waarop informatie wordt beveiligd, risico’s worden beheerst en leveranciers worden gemanaged.

Wanneer een rittenregistratiesysteem wordt ingezet binnen een overheidsorganisatie, valt deze verwerking onder de BIO. Dit betekent dat niet alleen de eigen organisatie, maar ook de leverancier moet kunnen aantonen dat er passende beveiligingsmaatregelen zijn getroffen.

De nieuwe BIO2 is verankerd in de komende Cyberbeveiligingswet en is daarmee verplicht voor alle informatiesystemen die actief zijn binnen een overheidsorganisatie. BIO-compliance wordt aangetoond door elementen uit de ISO27001, ISO27002 en de Verklaring van Toepasselijkheid.

In de praktijk is ISO27001 de meest gebruikelijke manier om dit aan te tonen.

Geen ISO27001-certificering op de eigen oplossing betekent:

  • Geen onafhankelijke toetsing van het ISMS
  • Geen periodieke externe audit
  • Geen aantoonbare structurele verbetering
  • Geen formele borging van risicomanagement

In een tijd waarin cyberaanvallen exponentieel toenemen, is dat een reëel risico.

Cybercriminelen richten zich allang niet meer alleen op eindorganisaties. Zij zoeken de zwakste schakel in de keten. Softwareleveranciers zijn aantrekkelijke doelwitten. Een rittenregistratiesysteem zonder aantoonbaar volwassen informatiebeveiliging is geen detail. Het is een aanvalsvector.

De vraag is niet óf leveranciers doelwit zijn. De vraag is wanneer.

Waar moet u als organisatie op letten?

De volgende vragen kunnen helpen bij de selectie of evaluatie van een rittenregistratiesysteem:

1. Is de leverancier ISO27001-gecertificeerd?

2. Wat is de exacte scope van de certificering?

3. Worden er periodiek penetratietesten uitgevoerd?

4. Hoe wordt er voldaan aan de BIO-eisen (indien van toepassing)?

5. Hoe is het incidentmanagement ingericht?

6. Hoe wordt er omgegaan met datalekken en de meldplicht?

Het stellen van deze vragen helpt om informatiebeveiliging een expliciet onderdeel van de besluitvorming te maken, in plaats van een impliciete aanname.

Advies: maak aantoonbaarheid het leidende principe

In een tijd waarin cyberaanvallen een structureel onderdeel zijn van het dreigingslandschap, is aantoonbaarheid essentieel. Vertrouw niet alleen op toelichtingen, maar vraag om:

  • Een actueel certificaat
  • De scopeverklaring
  • Informatie over de auditfrequentie
  • Transparantie over beveiligingsmaatregelen

Bovendien is dit voor overheden direct gekoppeld aan de BIO-verantwoordelijkheid.

Twijfelt u of uw huidige leverancier voldoende veiligheid biedt?

  • Laat uw huidige situatie beoordelen.
  • Stel kritische vragen.
  • Vraag om aantoonbaar bewijs.

Bij MyFMS geloven wij dat mobiliteitsgegevens net zo serieus beschermd moeten worden als financiële of medische gegevens. Transparantie, aantoonbare naleving en onafhankelijke verificatie zijn voor ons geen optie, maar een uitgangspunt.

Wilt u sparren over hoe u de informatiebeveiliging van uw huidige rittenregistratiesysteem kunt beoordelen of verbeteren? MyFMS denkt graag mee over een toekomstbestendige, veilige en aantoonbaar conforme inrichting van het mobiliteitsbeheer.

Delen:

Link gekopieerd!

Categorieën

Alle berichtenAlgemeenBIOGRAFIEISORitregistratie

Probeer MyFMS Free

Bekijk hoe onze tools voor reisregistratie en vlootnaleving werken voor uw organisatie.

Verzoek demo
Blogs

Gerelateerde blogposts

Importance of ISO

Het belang van ISO 9001, ISO 27001 en BIO BBN 2 voor Micpoint en haar klanten

In een steeds competitievere zakelijke omgeving is het behalen van certificeringen een belangrijke stap voor Micpoint om onze geloofwaardigheid te vergroten.
Lees meer
BIO for Trip Registration Systems

Whitepaper: BIO voor Reisregistratiesystemen

In de afgelopen jaren zijn er verschillende hacks geweest bij overheidsorganisaties, met grote gevolgen voor burgers en het vertrouwen in de overheid.
Lees meer
Fleet Management Government Challenges

De 4 grootste uitdagingen in wagenparkbeheer voor overheidsinstellingen

Overheidsinstellingen staan vaak voor de uitdaging om het particuliere gebruik van bedrijfsvoertuigen door werknemers volledig te verbieden.
Lees meer
MyFMS & PetBase: one origin, two directions

MyFMS & PetBase: één oorsprong, twee richtingen

Wist je dat MyFMS een zusterbedrijf heeft? Die zus heet PetBase. Beide bedrijven zijn afkomstig uit hetzelfde familiebedrijf, Micpoint.
Lees meer
MyFMS proud sponsor of Hockey Club Alphen

MyFMS is trotse sponsor van Hockey Club Alphen

Bij MyFMS geloven we niet alleen in het opbouwen van sterke zakelijke relaties, maar hechten we ook veel waarde aan sociale betrokkenheid.
Lees meer
MyFMS indispensable during Navigate North

MyFMS is onmisbaar tijdens Navigate North

Navigate North is een ijzige tour. Acht dagen lang zijn de teams onderweg, maar waar precies naartoe? Dat blijft een verrassing.
Lees meer
Certificaten

Vertrouwde certificeringen

DigiTrust-certificering
DigiTrust-certificering
MyFMS BIO-conform
Keurmerk
SCM Certificering
Image gallery marquee
Image gallery marquee
Image gallery marquee
Image gallery marquee
Image gallery marquee