Welke eisen mag je stellen aan de digitale veiligheid van leveranciers? En zijn die eisen realistisch, of zijn ze zodanig opgesteld dat alsnog een groot aantal (kleinere) leveranciers niet op het overheidsspeelveld terechtkomt? Deze en andere vragen kwamen aan de orde tijdens het vijfde iBestuur Thuisdebat.
Met de klok mee: Martin Vliem, Ad Reuijl, Wouter Welling en Ronald Verbeek
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid van kracht. De BIO moet overheden helpen bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging. Is het een slechte vraag als je van leveranciers vraagt of zij de BIO ook nakomen? De kijkers van het (vijfde) Thuisdebat vonden dat in overgrote meerderheid (72 procent) wel. Of zoals kijker Harro Kremer het in de chat omschreef: ‘De BIO als geheel is niet geschikt. Op punten is de BIO te gedetailleerd en op punten niet sterk genoeg.’ Ronald Verbeek, directeur CIO Platform NL, denkt dat in de relatie tussen overheidsorganisaties en leveranciers met name het vertrouwen de boventoon moet voeren. “Daar valt nog wel een wereld te winnen”, aldus Verbeek. “Over het algemeen zijn er best wel goede bedoelingen. Waar het misgaat is dat alles wordt vastgelegd in contracten. Dan krijg je een situatie dat mensen te veel kijken naar wat er in die contracten staat in plaats van dat zij kijken hoe in de praktijk een situatie geschapen kan worden die in beider belang is. Zeker op het gebied van veiligheid liggen die belangen dicht bij elkaar. Niemand wil in de krant komen met een beveiligingslek. Daar moeten we elkaar veel beter vasthouden, ook in de operationele kant. “
Martin Vliem, National Security Officer bij Microsoft, is in ieder geval wel blij dat de BIO (“een mooie Nederlandse ontwikkeling”) dicht tegen de ISO 27001 aan zit, een internationale standaard voor informatiebeveiliging die het voor leveranciers wat makkelijker maakt om zich daaraan te conformeren. Maar Vliem ziet ook dat de BIO relatief veel vraagt van overheidsorganisaties én van de leveranciers. “Hoewel het een baseline is, vraagt het wel bijna het hele kader van ISO 27001 en ISO 27002. Zeker kleinere partijen zouden daar best moeite mee kunnen hebben. Dus in hoeverre sluit je daarmee niet bepaalde partijen uit die juist heel veel waarde kunnen leveren? Als Microsoft vinden wij dat ook wel een zorg.”
Over de stelling of overheidsorganisaties eisen moeten kunnen stellen aan de digitale veiligheid van leveranciers, waren de deelnemers en de kijkers aan het Thuisdebat vrij eensgezind. “Bijna Noord-Koreaans”, aldus debatleider Wouter Welling, beleidsmedewerker bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Op de vraag of overheden eisen stellen die geen leverancier kan nakomen, gaf driekwart van de kijkers (72 procent) aan het daarmee eens te zijn. Ad Reuijl, directeur CIP, kent vanuit zijn praktijk ook de verhalen dat leveranciers niet meer inschrijven op klussen bij de overheid omdat de eisen te hoog zijn. Maar wat hem betreft is het stellen van eisen niet het einde van elk gesprek. “Veiligheid kost geld, dus je mag daar als leverancier ook een bedrag voor rekenen. Daarnaast kun je ook afspraken maken voor als het nu nog niet mogelijk is om aan bepaalde eisen te voldoen, maar misschien over een half jaar of over een jaar wel. Die ruimte moet er zijn.”
Kijk hier het debat terug (ruim 33 minuten)