Het verkokerde toezicht op informatieveiligheid en de inefficiënte verantwoordingswijze op dat gebied zijn niet meer van deze tijd. Met het project ENSIA willen drie ministeries en de VNG er samen verbetering in brengen.
“Burgers geven veel persoonlijke informatie aan overheden. Het is van het grootste belang dat overheden daar veilig en verantwoord mee omgaan. Bovendien moeten gegevens betrouwbaar zijn.” Paulien van der Hoeven, projectleider ENSIA van het ministerie van BKZ, is duidelijk over waar de prioriteit ligt als het gaat om informatieveiligheid. “Dat bewustzijn is er bij gemeenten, maar het huidige toezicht op informatieveiligheid is nog verkokerd. Met ENSIA willen we een effectievere en efficiëntere verantwoordingssystematiek voor gemeenten realiseren. En zo informatieveiligheid in de toekomst beter waarborgen.”
Paulien van der Hoeven, projectleider ENSIA van het ministerie van BKZ
Eén vragenlijst, meer overzicht
ENSIA (wat staat voor Eenduidige Normatiek Single Information Audit) is een gezamenlijk project van het ministerie van BZK, het ministerie van SZW, het ministerie van I&M en de VNG. “Samen willen we informatieveiligheid integraal benaderen. Het deel van onze naamgeving Eenduidige Normatiek verwijst naar het feit dat de basis van het toezicht de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is. Single Information Audit is opgenomen in onze naamgeving omdat ministeries vanuit hun toezichthoudende rol gebruik maken van de informatie die bij gemeenten beschikbaar is. De verantwoording die het college van B&W aflegt aan de gemeenteraad vormt de basis. Dit is ook logisch omdat gemeenten in eerste plaats zelf verantwoordelijk zijn voor informatieveiligheid. De voor de ministeries relevante gegevens die door deze verantwoording beschikbaar komen, worden door ministeries gebruikt voor hun wettelijke toezichtstaak.”
Er zitten veel dubbelingen in de vragen die nu aan gemeenten worden gesteld
Van der Hoeven: “Binnen ENSIA richten we ons op de Basisregistraties voor persoonsgegevens, Paspoorten, adressen en gebouwen, topografische gegevens en op DigiD en SuwiNet. We hebben het toezicht op deze informatiesystemen gebundeld. Nu zijn het verschillende eilandjes met elk hun eigen toezichtsvorm die inzoomen op deelaspecten. ENSIA zorgt voor één vragenlijst, die is gebaseerd op de BIG, en voor een verantwoordingsproces dat aansluit op de gemeentelijke Planning&Control-cyclus. Daardoor hebben gemeentebesturen meer overzicht over de stand van zaken van de informatieveiligheid en kunnen ze hier beter op sturen. ENSIA is een uitwerking van de afspraak die gemeenten in 2013 hebben gemaakt. Toen is afgesproken dat ze BIG gaan implementeren en dat de rijksoverheid zou werken aan het harmoniseren van haar toezicht.”
Efficiënter en effectiever werken
ENSIA startte met een inventarisatie van hoe het huidige toezicht in elkaar steekt. “We hebben gekeken welke vragen er nu aan gemeenten worden gesteld en we kwamen er achter dat daar veel dubbelingen in zaten. We hebben nu een vragenlijst die de volle breedte van de BIG bestrijkt en die ook circa vijftien procent minder vragen heeft dan de afzonderlijke vragenlijsten die nu worden gebruikt, tezamen hebben. Dat is een mooi succes! We hebben toelichtingen bij de vragen geschreven en aangegeven welke documentatie nodig is om de antwoorden op vragen te onderbouwen. Op dit moment werken we aan een ICT-tool, zodat gemeenten de antwoorden op een dashboard kunnen invullen. Aan gemeenten worden nu twee IT-audits gevraagd, één voor SuwiNet en één voor DigiD. In de ENSIA-situatie is er nog maar één IT-audit. Het beeld dat uit de ingevulde vragenlijsten komt wordt gebruikt om acties te identificeren om gemeenten te helpen om te leren hoe het nog beter kan.”
Grote stap vooruit
De implementatie van ENSIA staat gepland voor 2017. “Na de zomer start een pilot bij zeven gemeenten. Daarin kijken we of de tool werkt, of de vragen begrijpelijk zijn, of er de juiste rapportages uit voortkomen en of er voldoende zekerheidswaarborging in zit. KING, de Informatiebeveiligingsdienst voor gemeenten, ICTU, VNG en de Auditdienst Rijk helpen bij die pilots. We leren daarin ook hoe we gemeenten kunnen helpen om ENSIA goed te kunnen implementeren. Natuurlijk: het zal in het begin inspanning kosten, het is nieuw en dat voelt wellicht tijdelijk als een toename van de administratieve lasten. Maar we maken met de harmonisatie een grote stap. Het geeft gemeenten snel een duidelijk beeld van hoe ver ze zelf staan met de BIG. Bovendien is informatieveiligheid geen stilstaand proces; elke keer ontstaan er nieuwe bedreigingen. De vragenlijst zal continu aangepast moeten worden. Werken aan informatieveiligheid is nooit klaar. En ook het ENSIA-toezichtssysteem zal blijven doorontwikkelen. Maar in 2017 hebben we zeker wel een grote stap gezet.”
Informatieveiligheid boven alles
In haar laatste verslag benadrukte de Visitatiecommissie Informatieveiligheid onlangs nog eens het belang van ENSIA. De Visitatiecommissie adviseert ENSIA ambtelijk en bestuurlijk te steunen. “Op één moment verantwoording afleggen over informatieveiligheid brengt gemeenten veel voordelen”, zegt Paulien van der Hoeven. Tegelijkertijd blijft het wel een uitgebreide vragenlijst, die als belastend ervaren kan worden. Maar wat mij betreft staat de informatieveiligheid boven alles. Slim toezicht is en blijft daarom onmisbaar”.
Dit verhaal is onderdeel van een reeks artikelen over informatiebewustzijn.
Over iBewustzijn Overheid
iBewustzijn Overheid is een ondersteuningsprogramma van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en is voortgekomen uit de Taskforce Bestuur & Informatieveiligheid Dienstverlening (BID). Het digitale platform ibewustzijnoverheid.nl is een plek waar alle medewerkers van het rijk, gemeenten, provincies, waterschappen en uitvoerende overheden terecht kunnen voor informatie over actuele iBewustzijn onderwerpen en leer- en campagnemateriaal om het iBewustzijn te vergroten. Het platform stimuleert de beweging van onbewust onbekwaam naar bewust bekwaam.
Een paar opmerkingen :
“Burgers geven veel persoonlijke informatie aan overheden. Het is van het grootste belang dat overheden daar veilig en verantwoord mee omgaan.”
Dat is de zaken omdraaien. Het is niet ‘van belang’, het is verplicht op grond van diverse wet— en regelgeving en overheidsnormen. Al 30 jaar.
“Bovendien moeten gegevens betrouwbaar zijn.”
Dat is de essentie van de ‘Basisregistraties’. Al 30 jaar.
Dat er nu aanvullend toezicht komt is de consequentie van een achterblijvend beveiligingsbesef bij verantwoordelijken.
30 jaar ‘werken aan beveilgiingsbewustzijn’ heeft ertoe geleid dat er een nieuwe managementgeneratie is verschenen die aan het eigen beveilgiingsbewustzijn gaat werken.
Klachten bij organisaties over ‘het vele werk’ en de ‘flinke klus’ tengevolge van de Europese Privacy Verordening zijn aldus doodgewone faalsymptomen.
Is de vragenlijst al te raadplegen of zal deze in 2017 openbaar gemaakt worden?