Artikel

Gebruikersoverleg vertolkt stem van ENSIA-coördinatoren

Dorinie Edelaar is CISO van de gemeente Helmond en ENSIA-coördinator. Als zodanig neemt ze ook deel aan het Gebruikersoverleg ENSIA. Dat is dé plek waar de ENSIA-coördinatoren, of hun vertegenwoordigers, hun stem kunnen laten horen. En niet zonder succes.

Gemeenten hebben een maatschappelijke en wettelijke verantwoordelijkheid. Zij willen hierbij een betrouwbare partner zijn voor inwoners, medewerkers en zakelijke partners. Dit maakt dat het onderwerp informatieveiligheid prominent aanwezig moet zijn op de bestuurstafel. Vanwege het belang ervan is de toetsing op de implementatie van informatieveiligheid landelijk geregeld via de Baseline Informatiebeveiliging Overheid (BIO) en ENSIA (Eenduidige Normatiek Single Information Audit).
Met de BIO heb je een basisnormenkader om informatieveiligheid te borgen en kunnen overheden één basisniveau van informatiebeveiliging inregelen. ENSIA is een systematiek die ondersteunt en faciliteert bij het afleggen van verantwoording over informatieveiligheid aan de gemeenteraad. Diezelfde verantwoording gaat – op onderdelen voorzien van een assurance-rapportage – naar de stelselhouders. “Hiermee is een goede aanzet gedaan om informatieveiligheid onder de aandacht te brengen,” meent Dorinie Edelaar. “Het gemeentebestuur krijgt hiermee overzicht en inzicht in de stand van zaken van de informatieveiligheid. ENSIA draagt bij aan de transparantie naar raad en college. Het is nu zaak dat ENSIA verder wordt doorontwikkeld. Dat gaan we samen doen!”

Helderheid scheppen aan de voorkant en goede sturing, voorkomt dat gemeenten gedurende het verantwoordingstraject elk afzonderlijk tijdrovende discussies voeren met de externe auditors

Evalueren en verbeteren

Inmiddels is er landelijk in opdracht van de VNG en met het ministerie van Binnenlandse Zaken en Koninkrijksrelaties een evaluatie uitgevoerd op het ENSIA-stelsel. Doelstelling is om met de lessen van afgelopen jaren het ENSIA-stelsel efficiënter en effectiever te organiseren. Bij dit onderzoek heeft VNG de gemeenten betrokken. Zij ervaren de huidige ENSIA-systematiek als arbeidsintensief en duur. Ook geven gemeenten aan met de huidige systematiek onvoldoende aandacht te kunnen schenken (en onvoldoende resources beschikbaar te kunnen stellen), aan de risico’s van informatieveiligheid binnen en rondom andere processen, zoals de jeugdwet en het facturatieproces.
Risicomanagement is een belangrijk uitgangspunt binnen de BIO. Bij een efficiënter ENSIA-traject kunnen gemeenten groeien van verantwoorden aan de achterkant naar risico’s in beeld brengen en maatregelen treffen bij nieuwe ontwikkelingen aan de vóórkant. Door de toenemende cyberdreigingen wordt dat steeds belangrijker voor de gemeenten. En juist omdat het vraagstuk van informatieveiligheid voortdurend in beweging is, is het van belang dat er steeds scherp gekeken wordt naar het instrument ENSIA, de vragenlijsten, de rapportages en de audit. Edelaar: “De huidige aanpak en ontwikkelingen vragen meer specialistische kennis op het gebied van informatiebeveiliging binnen gemeenten. Gemeenten zijn zich nog onvoldoende bewust dat hiervoor uitbreiding in resources noodzakelijk is.”

ENSIA-coördinatoren

Om de capaciteit te bundelen en de wensen en behoeften vanuit de gemeenten in te brengen is er het Gebruikersoverleg ENSIA. Dorinie Edelaar is een van de CISO’s die daarin zitting hebben. Edelaar: “Als lid van het Gebruikersoverleg heb ik samen met collega-CISO’s van andere gemeenten die zitting hebben in het gebruikersoverleg en het partneroverleg input geleverd voor het evaluatierapport. Het geeft energie om in deze samenwerkingsvorm met elkaar het ENSIA-traject te verbeteren. Wij brengen de signalen van CISO’s in het overleg. Ikzelf ben bijvoorbeeld samen met nog een andere collega contactpersoon van de CISO’s van de regio Oost-Brabant en kan dus onderwerpen die hier spelen meenemen. Dan moet je denken aan ideeën en verbeteradviezen voor de tooling van ENSIA of onderwerpen die je tijdens het verantwoordingstraject bespreekbaar wilt maken. Wat vooral belangrijk is, is dat de leden van het Gebruikersoverleg alle ENSIA-coördinatoren vertegenwoordigen; dat zijn de collega’s die in de gemeenten de ENSIA-trajecten trekken. Wij zijn hun stem in het overleg.”
De voorstellen uit het Gebruikersoverleg gaan weer naar het Partneroverleg ENSIA. Een van de taken van dit Partneroverleg is namelijk het verwerken van signalen uit de uitvoering naar praktische oplossingen en voorstellen en het voorbereiden van besluitvorming in de Regiegroep ENSIA, daar waar de uiteindelijke besluiten worden genomen.

Discussie over scope

Zo’n governance bewijst pas z’n waarde als het werkt. Daar heeft Edelaar wel een mooi voorbeeld van. “ENSIA-coördinatoren van verschillende gemeenten gaven aan dat er onduidelijkheid was over de scope – de reikwijdte van de verantwoording – bij het gebruik van Suwinet. Suwinet is de digitale infrastructuur waarmee Suwipartijen (UWV, SVB en gemeenten) gegevens met elkaar kunnen uitwisselen voor de uitoefening van hun wettelijke taak. Toen we daar dieper indoken bleek dat er in eerste instantie onduidelijkheid was over welke handreiking leidend was. Dit bleek niet de NOREA handreiking te zijn maar de Suwinet Guidance. In samenwerking met collega’s van het partneroverleg is een tekstvoorstel geschreven voor de ENSIA nieuwsbrief om hierover duidelijkheid te geven aan gemeenten.”
Ook bleek dat er aanscherping van teksten in de Suwinet Guidance nodig was om interpretatieverschillen in de toekomst te voorkomen. “Die hebben we besproken met onze contactpersonen van VNG ENSIA. Zij nemen dit mee bij de eerstvolgende aanpassing van de guidance. Verder hebben we contact gezocht met de toezichthouder BKWI om de scope helder te krijgen.” BKWI heeft uiteindelijk aangegeven dat de scope van de ENSIA-Suwinet-audit eindigt bij de applicatie waarmee gegevens via DKD Inlezen worden opgevraagd.

“Dit is een van de voorbeelden waar ENSIA nog voor verbetering vatbaar is,” besluit Dorinie Edelaar. “Helderheid scheppen aan de voorkant en goede sturing, voorkomt dat gemeenten gedurende het verantwoordingstraject elk afzonderlijk tijdrovende discussies voeren met de externe auditors. Het gebruikersoverleg draagt eraan bij dat we met elkaar deze onderwerpen beetpakken en verbeteren naar de toekomst toe. Dat maakt de structuur met het Gebruikersoverleg meer dan waardevol!”

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren