’ENSIA helpt bij verantwoording informatieveiligheid’
Medio 2017 gaan alle gemeenten werken met één zelfevaluatietool voor informatieveiligheid: ENSIA. “Dat vermindert de werkdruk en het helpt gemeenten om ‘in control’ te zijn”, stelt Franc Weerwind, burgemeester van Almere en voorzitter van de commissie Dienstverlening en Informatiebeleid VNG.
Franc Weerwind, burgemeester van Almere en voorzitter van de commissie Dienstverlening en Informatiebeleid VNG: “Nu leggen gemeenten nog versnipperd verantwoording af en doen ze dingen dubbel. ENSIA zorgt ervoor dat het aantal vragen met 15 procent afneemt”.
“In 2013 hebben gemeenten een VNG-resolutie aangenomen waarin staat dat informatieveiligheid een randvoorwaarde is voor de professionele gemeente. Daar moet het natuurlijk niet bij blijven”, zegt VNG-bestuurder Weerwind. “Gemeenten moeten hun informatieveiligheid effectief en efficiënt blijven inrichten en zorgen dat dit onderwerp hoog op de bestuurlijke en ambtelijke agenda staat.” Hij wijst erop dat niet de departementen de toezichthoudende rol vervullen, maar de gemeenteraad. In de resolutie hebben gemeenten afgesproken de gemeenteraad in het jaarverslag te informeren over informatieveiligheid. “Met ENSIA wordt het eenvoudiger hier invulling aan te geven. Dat versterkt de toezichthoudende rol van de raad ook op dit dossier.”
Auditlast verminderen
Met de resolutie namen gemeenten de BIG (Baseline Informatieveiligheid Nederlandse Gemeenten) aan als het gemeentelijke basisnormenkader voor informatieveiligheid. “Ze hebben zich gecommitteerd aan de implementatie van de BIG”, aldus Weerwind. “Daarnaast vroegen ze de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de audit- en monitorlast van gemeenten te verminderen. Dat gebeurt met het ENSIA-principe.”
ENSIA staat voor Eenduidige Normatiek Single Information Audit. De afzonderlijke audits en verantwoording voor de Basisregistratie Personen, de Paspoortenuitvoeringsregeling, DigiD, de Basisregistratie Adressen en Gebouwen, de Basisregistratie Grootschalige Topografie en Suwi (Werk en Inkomen) zijn opgenomen in één verantwoordingssystematiek die uitgaat van de BIG en aansluit bij de planning- en controlcyclus van gemeenten. De Informatiebeveiligingsdienst speelde een belangrijke rol bij de totstandkoming van de ENSIA-systematiek. Weerwind: “Het is een fantastisch samenspel van VNG, gemeenten en drie departementen, namelijk BZK, Sociale Zaken en Werkgelegenheid en Infrastructuur en Milieu.”
Bewustwording
ENSIA houdt in dat gemeenten één vragenlijst invullen voor een zelfevaluatie. De CISO of de functionaris informatieveiligheid is er verantwoordelijk voor dat de vragenlijst intern wordt uitgezet en tijdig wordt ingeleverd. De zelfevaluatie is de basis voor verantwoording aan de raad en aan de toezichthouders. “Nu leggen gemeenten nog versnipperd verantwoording af en doen ze dingen dubbel. ENSIA zorgt ervoor dat het aantal vragen met 15 procent afneemt”, aldus Weerwind. “Het maakt het naar mijn mening doelmatiger en doeltreffender.”
Gemeenten ontvangen in juli 2017 de uitnodiging voor de zelfevaluatie. Zijn ze er klaar voor? “Het is een proces”, zegt Weerwind. “Er is nu een pilot bij zeven gemeenten. Functioneert het? Wat leren we ervan? KING heeft een impactanalyse uitgevoerd om te kijken of het goed werkt. Ik vind dit een wijze manier om deze systematiek in te voeren. Je begint klein en maakt het groter. Maar we moeten straks niet meteen hiep hiep hoera roepen. We moeten blijven kijken of het werkt en of we nog verbeterslagen kunnen maken.” Aansluiting bij de Informatiebeveiligingsdienst is hierbij ook belangrijk, vindt Weerwind. “Het maakt mij gelukkig dat alle gemeenten zijn aangesloten. Informatieveiligheid wordt steeds meer bestuurlijk gedragen. Dat bewustwordingsproces is het allerbelangrijkste.”
Bedrijfsvoering
Wat levert ENSIA gemeenten op? “Als ik puur kijk naar de verantwoordingssystematiek betekent het dat gemeenten de horizontale en verticale verantwoording over informatieveiligheid effectiever kunnen oppakken. De werkdruk vermindert”, zegt Weerwind. Maar belangrijker is dat het gemeente helpt ‘in control’ te zijn, vindt hij. “Het levert een gemeente op dat ze in haar bedrijfsvoeringsproces – waarin ze zo afhankelijk is van data – continuïteit en betrouwbaarheid garandeert op een steeds hoger niveau.” Hij stelt dat er veel op gemeenten af komt. “Het digitale landschap is in beweging. Als gemeente heb je overzicht nodig. Daar draagt ENSIA aan bij. Dat is niet alleen goed voor gemeenten, gemeenteraden en de departementen, maar ook voor onze inwoners. Daar werken we tenslotte voor.”
Kijk voor meer informatie over ENSIA op www.kinggemeenten.nl
Zaanstad: “Alleen maar voordelen”
Zaanstad is een van de pilotgemeenten. Wat zijn de ervaringen van CISO Linda Goedhart? “De vragenlijst is goed in te vullen als je enige voorkennis hebt van de BIG en van eerdere zelfevaluaties. Ik merkte wel dat collega’s die de vragenset voor het eerst zagen moeite hadden om de scope te bepalen. Ik heb samen met hen de vragenlijst ingevuld, zodat ik af en toe wat kon bijsturen. Het is een kwestie van wennen. De vragenlijst komt jaarlijks terug, dus het wordt vanzelf gemakkelijker.”
Wat levert het jullie op? Goedhart: “Voorheen hadden we te maken met aparte normenkaders voor verschillende toepassingen. In ENSIA zijn de normenkaders op elkaar afgestemd. Je legt in één keer verantwoording af. Als je de vragenlijst hebt ingevuld heb je een goed beeld van de informatieveiligheid gemeentebreed, over afdelingen, systeemgrenzen en domeinen heen. Dit draagt bij aan de bewustwording over informatieveiligheid. Die is bij sommige beleidsvelden goed aanwezig en bij andere wat minder. Ik zie alleen maar voordelen.”
Tips voor andere gemeenten? “Zorg voor een contactpersoon die het coördineert en die weet bij welke collega’s hij of zij moet zijn. De CISO (Chief Information Security Officer, nvdr) ligt voor de hand. Het kan handig zijn om voor alle betrokkenen een startbijeenkomst te organiseren. Zorg ook dat het gemeentebestuur geïnformeerd is, zodat de introductie straks geen verrassing is.”
Het Bildt: “Nu gaan we gas geven”
Het Bildt is een van de pilotgemeenten. Wat zijn de ervaringen van Aart van Tuijl, verantwoordelijk voor informatiebeveiliging? “Eigenlijk moet een CISO ENSIA coördineren, daar hoort dit thuis. Ik ben geen CISO. Dat het bij ons anders gaat, heeft te maken met bijzondere omstandigheden. Per 1 januari 2018 maakt het Bildt deel uit van de nieuwe gemeente Waadhoeke.”
Hoe pakte hij het aan? “Wij zijn een kleine organisatie, dus de lijnen zijn kort. Ik kon snel schakelen met degenen die over expertise op de verschillende onderdelen beschikken. Ook sprak ik met onze samenwerkingspartners. We hebben een regionale sociale dienst Noardwest Fryslân en een Shared Servicecentrum Leeuwarden. Maar je blijft als gemeente natuurlijk zelf verantwoordelijk.”
Wat levert het jullie op? “We zijn een nieuwe organisatie aan het bouwen en ENSIA staat hoog op de agenda, zowel bestuurlijk als ambtelijk. We zijn nog niet klaar met de implementatie van de BIG-maatregelen, maar ENSIA heeft ons een boost gegeven. Nu gaan we gas geven, met veel capaciteit, middelen, knowhow en betrokkenheid.”
Tips voor andere gemeenten? “Het is belangrijk dat het bestuur hier prioriteit aan geeft, dat het op de agenda komt en dat er tijd en geld voor gereserveerd wordt. Maak mensen enthousiast, zodat ENSIA breed landt in de organisatie. Ik zou de start markeren met een kickoff.”
Den Bosch: “Zaken worden meetbaar gemaakt”
’s-Hertogenbosch is een van de pilotgemeenten. Wat zijn de ervaringen van CISO Arjan Kieboom? “Voor ons was het allemaal redelijk bekend. Ons beveiligingsbeleid is al jaren gebaseerd op de code informatiebeveiliging en de BIG is daarop weer gebaseerd. ENSIA bouwt daarop voort. Dus voor ons is de impact niet zo groot.”
Hoe pakte hij het aan? “Ik heb het met het management besproken en met verantwoordelijken op andere afdelingen. Maar voor ons was het niet zo nieuw, eigenlijk is het een lopend proces.”
Wat levert het jullie op? “ENSIA is de audit van de huidige werkwijze en in het verleden had je geen audits. Sommige zaken worden nu meer meetbaar gemaakt en andere zaken worden aangescherpt. Wat er verwacht wordt van een norm is bij ENSIA duidelijker dan wanneer je alleen naar de BIG kijkt. Dat biedt voordelen. Zo hebben we gezien dat we bij sommige normen de puntjes nog op de i moeten zetten. Dat gaan we dus doen.”
Tips voor andere gemeenten? “De CISO is de aangewezen persoon om dit te coördineren. Die moet met belangrijke stakeholders de maatregelen bespreken waarvoor zij verantwoordelijk zijn.”