Digitale weerbaarheid
Artikel

Extra capaciteit voor AVG en Informatieveiligheid in Helmond

Naast een fysiek gemeentehuis kent elke gemeente ook een digitaal gemeentehuis. Helmond wil voor inwoners en bedrijven een betrouwbare partner zijn en zorgvuldig omgaan met hun gegevens. Dankzij de nauwe samenwerking van de Functionaris Gegevensbescherming (FG) en de Chief Information Security Officer (CISO) is een nieuw team van specialisten gestart om daar versnelling in te brengen.

“Als we ons werk goed doen zijn we niet altijd de leuke collega’s. Maar alleen door samenwerken komen we er.” | Beeld: Shutterstock

De gemeente Helmond heeft de ambitie om in 2024 te voldoen aan volwassenheidsniveau 4 (op een schaal van 5) op het gebied van privacy en informatieveiligheid. Het eerste doel dat de gemeente nu voor ogen heeft is om niveau 3 te halen, het niveau waarop je kunt aantonen dat je veilig werkt. Recente compliance metingen laten weliswaar een stijgende lijn zien in de mate waarop Helmond voldoet aan de AVG en BIO, maar het gaat veel te langzaam om die ambitie te halen. Vorig jaar bleek dan ook uit ENSIA verantwoording en het jaarverslag van de FG over de thema’s privacy en informatieveiligheid dat de gemeente nog een hoop werk te doen heeft voordat ze echt richting inwoners kan aantonen dat ze veilig omgaat met alle gegevens.

Samenwerking is niet vanzelfsprekend

Een tijdelijke projectorganisatie is nu aangesteld om dit te versnellen. Dat is een luxe, die weinig andere gemeenten kennen. Het geheim van dat succes van deze extra capaciteit zit hem in de nauwe samenwerking tussen de FG en CISO in Helmond, vertelt Helmi Martens, FG bij de gemeente Helmond, -en daarnaast ook werkzaam bij de Informatiebeveiligingsdienst (IBD) van de VNG. “Ook al hebben we andere rollen, we hebben afgesproken om de thema’s gezamenlijk onder de aandacht te brengen bij de directie en het college. Met de boodschap dat als we er op deze manier mee blijven doorgaan, het acht jaar duurt voordat we het op orde hebben.”

Helmi Martens: “Voor de veilige verwerking van persoonsgegevens is een stevig IT fundament nodig.”

Toen het verhaal van Martens en haar collega ook nog eens ondersteund werd door de concerncontroller, was de directie overtuigd. “De cyberdreiging wordt groter en je moet wel grote stappen nemen, anders loop je achter”, vertelt ze. “Je wilt niet het vertrouwen van je burgers verliezen maar juist laten zien dat je serieus met hun gegevens omgaat. Wat ook hielp is dat een van de partners van de gemeente, die uitkeringen verstrekt, vorig jaar gehackt werd. Gelukkig vielen de gevolgen mee, maar het maakte nog maar eens duidelijk hoe belangrijk het is om je zaakjes op orde te hebben.”
Om als organisatie verder te groeien en stappen hierin te nemen, is ook de rest van de organisatie nodig. Zoals met degenen die over de processen gaan, architecten en de beheerorganisatie. “Voor de veilige verwerking van persoonsgegevens is een stevig IT fundament nodig”, stelt Martens.

Onderdeel van je werk

Nu worden privacy en informatieveiligheid vaak nog binnen gemeenten neergelegd bij de FG en CISO. Beide thema’s moeten echter juist onderdeel van ieders werk vormen, stelt Martens. “Nu is het altijd iets wat erbij moet, wat lastig is. Het zou ingebakken moeten zijn bij iedereen, bij alles wat je doet. Welke gevolgen heeft het voor betrokkenen als je een applicatie aanschaft? Welke afspraken moet ik met de leverancier maken over beschikbaarheid, integriteit, vertrouwelijkheid? Welke maatregelen tref ik om te zorgen dat een hacker geen toegang heeft tot de gegevens? Dat zijn vragen die je elke keer moet stellen.”
Dat vraagt wel specifieke kennis. “Daarom hebben we het signaal afgegeven dat we binnen de lijn mensen nodig hebben die daar wat extra kennis in meebrengen en de managers helpen om in het dagelijkse werk aan deze thema’s voldoende aandacht te geven”, gaat Martens verder. “Dat bleek niet mee te vallen, omdat in de lijn de aandacht toch vooral uitgaat naar primaire taken, waardoor er onvoldoende werd versneld. Daarom hebben we gekozen voor een tijdelijke projectorganisatie.

Tijdelijke projectorganisatie

Dat tijdelijke team is afgelopen najaar van start gegaan. Het is ingericht met een tijdelijke implementatiemanager en 6,5 fte security en privacy officers in vaste dienst. De implementatiemanager heeft als opdracht om te onderzoeken hoe privacy en informatieveiligheid meer in de organisatie kunnen worden ingebed. “Dat risicobewust denken moet echt gemeengoed worden”, stelt implementatiemanager Sjon van Kemenade. “Het is één van de grondhoudingen die je moet bereiken bij de medewerkers en managers binnen de gemeente Helmond. En dat kost tijd. Wat helpt is vooral herhalen, en inzichtelijk maken wat de risico’s zijn, die je loopt als je zo doorgaat, namelijk dat je het vertrouwen verliest van de burger, of dat je te maken krijgt met een incident.

Een uitdaging is wel dat de projectorganisatie nu te veel als politieagent wordt gezien.

Van Kemenade houdt nauw contact met de FG en de CISO over de voortgang. “Waar willen we over twee jaar staan? Mijn rol is om die weg te vinden daarnaartoe.” In plaats van acht jaar denkt Van Kemenade al over twee jaar het zogeheten niveau 3 te halen. Daarmee kun je als gemeente aantonen dat je aan de AVG voldoet en dat je beveiligingsmaatregelen werken.

Een uitdaging is wel dat de projectorganisatie nu te veel als politieagent wordt gezien, die collega’s op de vingers tikt omdat ze niet genoeg nadenken over privacy en informatieveiligheid. Van Kemenade: “Als we ons werk goed doen zijn we niet altijd de leuke collega’s. Maar het uiteindelijke doel is dat we er met zijn allen beter van worden. We zijn er om deze organisatie naar een hoger veiligheidsniveau te komen. Daar zijn wij specialist in, en daar geven wij advies over. Alleen door samenwerken komen we er.”

Onderdeel van het directiebesluit was ook om een extern bedrijf in te huren om de ongeveer 700 ambtenaren in Helmond meer bewust te maken van hun eigen verantwoordelijkheden in hun werk als het gaat om veiligheid en privacy. “Daarvoor hebben we onder andere bijvoorbeeld een zogeheten schouw gehouden. Hoe doen we het? Hoe veilig is alles? We hebben vier klantcontactcentra, en die zijn allemaal gebeld door ethische hackers. Daar komt binnenkort een aftermovie van. Daarna krijgen alle medewerkers van deze klantcontactcentra een training hoe hackers werken. Om dit soort dingen te kunnen doen heb je budget nodig.” En dat is er, dankzij de inzet van Martens en haar collega.

Inspiratie

Aangezien veel gemeenten worstelen met implementatie van de AVG en BIO, hopen Martens en Van Kemenade hen te inspireren met hun verhaal. “Het is allemaal heel veel”, erkent Martens. “Je wordt al geleefd door de waan van de dag. Belangrijk is dat je inzichtelijk maakt wat nodig is. Daar heb je wel budget voor nodig. Zoek de samenwerking op met elkaar, met de CISO, de concerncontroller. Zo konden wij aansturen op en voorbereidingen treffen voor besluitvorming door onze directie en college.”
“Wil je veranderen, moet je het projectmatig aanvliegen”, vult Van Kemenade aan. “Stap voor stap. Uiteindelijk gaat het om de resultaten, de producten die je levert. Wat moeten wij doen om naar dat Niveau 3 te komen? Dat hebben we nu inzichtelijk gemaakt. Zo krijg je grip. Pel het af zodat het hapklare brokjes zijn.”

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren