Het is 2026. Cyberaanvallen zijn geen uitzondering meer, maar dagelijkse realiteit. Onlangs het Openbaar Ministerie, Het Bevolkingsonderzoek, ODIDO en Dienst Justitiële Inrichtingen. Overheden en de Zorgbranche worden structureel aangevallen, leveranciers worden misbruikt als achterdeur en datalekken halen met regelmaat het nieuws. In die context is het ronduit zorgwekkend, en eerlijk gezegd een schande, wanneer een leverancier van een ritregistratiesysteem zélf niet ISO27001-gecertificeerd is op de eigen oplossing.
Juist bij software die privacygevoelige en fiscale data verwerkt, mag informatiebeveiliging geen bijzaak zijn.
Ritregistratie: gevoelige data in handen van derden
Een ritregistratiesysteem verwerkt:
• Locatiegegevens
• Bewegingspatronen
• Kentekens
• Werktijden
• Privé- en zakelijke ritten
• Fiscale onderbouwing richting de Belastingdienst
Dit is geen “gewone” applicatie. Dit is data die direct raakt aan privacy (AVG), fiscale controleerbaarheid en, in het geval van overheden, publieke verantwoordelijkheid.
Helaas komen we in de markt nog te vaak tegen dat er geschermd wordt met een ISO27001-certificering van het datacenter waar de servers staan. Dit vertelt niets over de oplossing zelf en welke zwaktes het heeft. Maar ook in Europese aanbestedingen zien we dat er heel makkelijk over de eis van data- en informatiebeveiliging heen gestapt wordt. Als eis is het benoemd in de aanbesteding maar de controle erop wordt vervolgens niet of niet goed gedaan. Of men wordt met een mooi document om de tijd geleid.
In de huidige context van toenemende cyberdreiging en strengere wet- en regelgeving zoals de Zorgplicht en de Cyberbeveiligingswet is het daarom relevant om kritisch te kijken naar de informatiebeveiliging van deze oplossingen. Een belangrijke vraag daarbij is: in hoeverre is de leverancier aantoonbaar in control?
Het Keurmerk RitRegistratieSystemen: wat dekt het wel en niet?
Veel ritregistratiesystemen beschikken over het Keurmerk RitRegistratieSystemen. Dit keurmerk richt zich primair op de fiscale betrouwbaarheid van de registratie en de correcte vastlegging van ritgegevens conform de eisen van de Belastingdienst.
Dat is waardevol.
Tegelijkertijd richt het keurmerk zich niet op het volledige spectrum van informatiebeveiliging. Fiscale correctheid en informatiebeveiliging zijn twee verschillende disciplines. Beide zijn belangrijk, maar ze borgen niet automatisch hetzelfde.
De BIO en de verantwoordelijkheid van overheden
Voor overheidsorganisaties geldt de Baseline Informatiebeveiliging Overheden (BIO). Deze stelt eisen aan de manier waarop informatie wordt beschermd, risico’s worden beheerst en leveranciers worden aangestuurd.
Wanneer een ritregistratiesysteem wordt ingezet binnen een overheidsorganisatie, valt deze verwerking onder de BIO. Dat betekent dat niet alleen de interne organisatie, maar ook de leverancier moet kunnen aantonen dat passende beveiligingsmaatregelen zijn ingericht.
De nieuwe BIO2 is verankerd in de aankomende Cyberbeveiligingswet en is daarmee een verplichting voor alle informatiesystemen die actief zijn binnen een overheidsorganisatie. BIO compliance wordt aangetoond door delen uit ISO27001, ISO27002 en de Verklaring van Toepasselijkheid.
ISO27001 is in de praktijk de meest gangbare manier om dat aantoonbaar te maken.
Geen ISO27001-certificering op de eigen oplossing betekent:
• Geen onafhankelijke toets op het ISMS
• Geen periodieke externe audit
• Geen aantoonbare structurele verbetering
• Geen formele borging van risicobeheersing
In een tijd waarin cyberaanvallen exponentieel toenemen, is dat een reëel risico.
Cybercriminelen richten zich allang niet meer alleen op eindorganisaties. Ze zoeken de zwakste schakel in de keten. Leveranciers van software zijn aantrekkelijk. Een ritregistratiesysteem zonder aantoonbaar volwassen informatiebeveiliging is geen detail. Het is een aanvalsvector.
De vraag is niet óf leveranciers doelwit zijn. De vraag is wanneer.
Waar kun je als organisatie op letten?
Bij selectie of evaluatie van een ritregistratiesysteem kunnen de volgende vragen helpen:
1. Is de leverancier ISO27001-gecertificeerd?
2. Wat is de exacte scope van de certificering?
3. Worden periodiek penetratietesten uitgevoerd?
4. Hoe wordt invulling gegeven aan BIO-vereisten (indien van toepassing)?
5. Hoe is incidentmanagement ingericht?
6. Hoe wordt omgegaan met datalekken en meldplicht?
Het stellen van deze vragen helpt om informatiebeveiliging expliciet onderdeel te maken van de besluitvorming, in plaats van een impliciete aanname.
Advies: maak aantoonbaarheid leidend
In een tijd waarin cyberaanvallen structureel onderdeel zijn van het dreigingsbeeld, is aantoonbaarheid essentieel. Niet alleen vertrouwen op verklaringen, maar vragen om:
• Een actueel certificaat
• De scopeverklaring
• Informatie over auditfrequentie
• Transparantie over beveiligingsmaatregelen
Voor overheden is dit bovendien direct gekoppeld aan BIO-verantwoordelijkheid.
Twijfel je of jouw huidige leverancier voldoende zekerheid biedt?
• Laat je huidige situatie toetsen.
• Stel kritische vragen.
• Vraag om aantoonbaar bewijs.
Bij MyFMS geloven we dat mobiliteitsdata net zo serieus moet worden beschermd als financiële of medische data. Transparantie, aantoonbare compliance en onafhankelijke toetsing zijn voor ons geen optie, maar uitgangspunt.
Wil je sparren over hoe je de informatiebeveiliging van jouw huidige ritregistratiesysteem kunt beoordelen of verbeteren? MyFMS denkt graag mee over een toekomstbestendige, veilige en aantoonbaar compliant inrichting van mobiliteitsbeheer.
Meer MyFMS nieuws
Lees hieronder nog meer nieuws van MyFMS.
Volg ons
MyFMS is een cloudproduct van Micpoint B.V. © 1989 - 2026