Podium

Lek zet SVHW op spoor Informatiebeveligingsdienst

Sinds begin dit jaar heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) haar werkterrein verbreed. De organisatie, die als kerntaak heeft het bieden van (incident)ondersteuning op het gebied van informatiebeveiliging, staat nu ook open voor enkele specifieke gemeentelijke samenwerkingsverbanden. De primeur was voor SVHW. “Bij de afhandeling van een datalek stuitten wij bij toeval op de IBD.”

SVHW (Samenwerkingsverband Vastgoedinformatie Heffing en Waardebepaling) in Klaaswaal is het belastingkantoor van een twintigtal gemeenten – van Hellevoetsluis tot Zederik -, een grote afvalstoffendienst en het waterschap Hollandse Delta. “We werken voor ruim een miljoen inwoners en hebben ruim 750.000 belastingobjecten”, vertelt directeur Robin Heij. “Dat is een grote verantwoordelijkheid en daar handelen we ook naar; vanuit de intrinsieke drive om onze inwoners en deelnemers de beste service te leveren. Zowel wettelijk als moreel zijn we verplicht om bewust om te gaan met informatie. Dat betekent altijd blijven bewegen en doorontwikkelen.”

Sinds de oprichting in 2001 is SVHW snel gegroeid. Informatiebeveiliging is een belangrijk aandachtspunt voor SVHW en door verschillende zaken kwam de ontwikkeling hiervan vanaf 2015 in een stroomversnelling. CISO Bram Verwijs: “We waren toe aan een nieuw informatiebeveiligingsplan. Er kwam zoveel op ons af. Denk aan de meldplicht datalekken en de Europese Algemene Verordening Gegevensbescherming (mei 2018). Daar wilden we in onze organisatie op voorsorteren.”

Dezelfde taal

Inmiddels was de organisatie ook in contact gekomen met de IBD. De directe aanleiding voor de kennismaking was niet zo prettig. Eind 2016 kreeg SVHW te maken met een datalek, net als een aantal andere belastingkantoren en gemeenten. Terwijl SVHW druk bezig was om namens de gemeenten de acties in verband met het datalek af te handelen en de regie te voeren in de communicatie, bleek de IBD dat ook te doen. Los van elkaar. Heij: “Eigenlijk een vreemde situatie, waardoor we graag met de IBD in gesprek wilden. Bovendien is het is een logische alliantie: onze deelnemende gemeenten zijn ook bij de IBD aangesloten. Hoe handig is het dan als we op het gebied van de informatiebeveiliging dezelfde taal spreken en over dezelfde informatie beschikken. Onze organisatie heeft veel overeenkomsten met gemeenten, ook wij schakelen heel direct met burgers. We werken binnen dezelfde context. En vooral vindt SVHW dat we onze verantwoordelijkheid waar moeten maken richting de mensen en organisaties waarvoor we werken.”

Houding en gedrag

In april van dit jaar was SVHW het eerste belastingkantoor dat zich aansloot bij de IBD. Wat betekent dat voor de organisatie? Verwijs: “Op plaats één staat dat we met de IBD de middelen en de tools hebben om incidenten op te lossen mochten die zich voordoen. En we zijn hier ook de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten) aan het implementeren. Daarmee richten we onze informatiebeveiliging op dezelfde manier in als onze gemeentelijke deelnemers. Bovendien heeft de BIG grote overeenkomsten met de BIWA (Baseline Informatiebeveiliging Waterschappen), waardoor we ook met het waterschap Hollandse Delta een gemeenschappelijk referentiekader creëren. Bijkomend voordeel is dat dit ons ‘dwingt’ om onze eigen processen heel precies te beschrijven.”

Een en ander betekent wel wat voor de negentig medewerkers van het Klaaswaals belastingkantoor. “Vooral in houding en gedrag”, aldus Heij. “Klantgerichtheid heeft bij ons altijd een prominente plek gehad. Daardoor verstrekten we in het verleden soms te goeder trouw gegevens aan onze deelnemers en burgers. Dat is afgelopen: we houden ons nu strikt aan de protocollen. Zo’n omslag moet je wel uit kunnen leggen, want in onze ‘oude’ cultuur druiste dat in tegen ons gevoel van servicegerichtheid. We organiseren daarom geregeld risicocafés, waarin we op een laagdrempelig manier praten over risicomanagement. Dat doen we onder andere aan de hand van de iBewustzijnscampagne van de IBD.”

Kennisplatform

Bram Verwijs ervaart dat als een van de grote voordelen van de aansluiting bij de IBD. “De organisatie biedt ons allerlei praktische handvatten en kennisproducten. Daarnaast delen ze kwetsbaarheden en bedreigingen. Zoals laatst, tijdens die heftige ransomware aanvallen. Dan krijg je midden in de nacht een bericht dat er gevaar dreigt. Het is geweldig om te weten dat er goede ondersteuning is als dat nodig is. Dat geldt ook voor de advisering bij woordvoering. Voor mij is de IBD één groot kennisplatform. De CISO’s van de leden komen geregeld bij elkaar. We delen kennis en signalen. We praten over de ervaringen in onze eigen organisaties rond dat iBewustzijn, een belangrijk thema waar iedereen mee worstelt. We pakken waar mogelijk samen zaken op. Ook de communicatie met de IBD is prima, heel laagdrempelig. Een klein verbeterpuntje: de producten, vooral in de communicatie, zijn helemaal gericht op gemeenten. Dan staat er bijvoorbeeld ‘college van B&W’, en die hebben wij niet. Dat moet je dan als het ware vertalen naar ons type organisatie. Logisch gezien de historie. Maar als er meer andere organisatie aansluiten, is het wellicht tijd om daar rekening mee te houden. En ik denk dat dat er wel aan zit te komen. Ik zit bijvoorbeeld in een geregeld overleg met acht collega belastingkantoren. Daar vertel ik uiteraard over onze samenwerking met de IBD. Zij zijn allemaal geïnteresseerd in aansluiting!”

Meer informatie?

Website SVHW
Website IBD

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren