(Cyber)security

Een cyberincident kan significante gevolgen hebben voor de dienstverlening van LVNL. De bedreigingen op het gebied van cybersecurity worden groter en complexer. Naast cyber neemt LVNL ook fysieke en personele securitymaatregelen voor de beveiliging van haar medewerkers, objecten en systemen. Daarmee zorgen we voor de vliegveiligheid en continuïteit van onze dienstverlening.   

In 2024 hebben zich geen security-incidenten voorgedaan die de vliegveiligheid in gevaar hebben gebracht of die tot operationele verstoringen hebben geleid. 

Meer aandacht voor cyberrisico’s

LVNL heeft een gespecialiseerde cybersecurity-afdeling. In deze afdeling zijn het Security Operations Centre (SOC) en securityarchitecten en -officers samengebracht. De cybersecurity-afdeling draagt zorg voor het beschermen van de informatie, systemen en netwerken (informatietechnologie (IT) en operationele technologie (OT)) tegen ongeautoriseerde toegang, diefstal, vernietiging of manipulatie door cybercriminelen en kwaadwillende actoren.  

Naast het versterken van de weerbaarheid van de systemen, besteedt LVNL ook veel aandacht aan het weerbaar maken van haar medewerkers. Zo volgen alle nieuwe medewerkers een e-learning waarin cyber-, personele en fysieke security aan bod komen. Een belangrijk onderdeel hiervan is het herkennen van phishing e-mails. Wij hebben hier in 2024 specifiek aandacht aan besteed door het aanbieden van een verplichte e-learning en het met regelmaat testen hierop. Daarnaast hebben we een 'Report Spam and Phishing’-knop in Outlook waarmee medewerkers een vermeende spam of phishing kunnen melden. 

Naast het testen op cyberweerbaarheid, voert LVNL ook controles uit op het naleven van fysieke security maatregelen en procedures. De uitkomsten en verbeterpunten worden meegenomen in een nieuwe, LVNL-brede campagne in 2025 om de bewustwording verder te verhogen.  

De geopolitieke situatie noopt ook LVNL om extra maatregelen te nemen. In 2024 berichtten de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en het Nationaal Cyber Security Centrum (NCSC) meermaals over activiteiten van zogenaamde statelijke actoren. Deze statelijke actoren misbruiken bekende en onbekende kwetsbaarheden om zich toegang te verschaffen tot systemen en netwerken. Verder blijkt dat met name statelijke hackersgroepen hun operaties richten op westerse overheden en vitale infrastructuur. 

De adviezen die AIVD, MIVD en NCSC geven worden door LVNL ter harte genomen en opgevolgd. Hier wordt op gestuurd in de diverse security boards binnen LVNL. 

Bescherming persoonsgegevens 

LVNL heeft de processen rondom dataprivacy beschreven en opgenomen in het managementsysteem. 

In 2024 zijn zestien meldingen geweest van een mogelijk datalek. De functionaris gegevensbescherming maakt van alle datalek-meldingen een inschatting of het datalek een risico oplevert voor ‘de rechten en vrijheden van betrokkenen’. In elf gevallen betrof dit een verloren of gestolen iPhone of laptop. Aangezien de LVNL-laptops en iPhones goed zijn beveiligd, is de kans op in onbevoegde handen komen van persoonsgegevens nihil. Ook voor de overige vijf meldingen was het risico voor betrokken personen beperkt, waardoor we geen datalek hebben gemeld aan de Autoriteit Persoonsgegevens (AP). 

Alle meldingen zijn afgehandeld. 

Burgers hebben verschillende rechten om controle te houden over hun persoonsgegevens. Het meest voorkomende recht waarvan bij LVNL gebruik wordt gemaakt is het recht om gegevens te laten verwijderen (recht om vergeten te worden). In 2024 hebben we drie van zulke verwijderverzoeken ontvangen. Daarnaast hebben we drie inzageverzoeken ontvangen. Deze verzoeken zijn binnen de gestelde termijnen afgehandeld.