In een brief aan de Tweede Kamer meldt staatssecretaris Alexandra van Huffelen dat ze de Baseline Informatiebeveiliging Overheid (BIO) wettelijk verplicht wil gaan maken voor overheden. Ministeries, gemeenten, provincies en waterschappen blijven wel zelf verantwoordelijk hun informatieveiligheid. Het toezicht op informatieveiligheid wordt geïntensiveerd.
Staatssecretaris van Huffelen van Digitale Zaken | Beeld: Rijksoverheid
Naar aanleiding van vragen van VVD-Kamerlid Queeny Rajkowski over de stand van zaken met betrekking tot een generiek kader voor vitale digitale overheidsvoorzieningen, schrijft Van Huffelen dat ze met een wettelijke verplichting, een zogenoemde zorgplicht, af wil van de vrijblijvendheid van de BIO. Hiermee hoopt ze meteen tot een vereenvoudiging van regels binnen de overheid te komen. “De focus komt meer te liggen op het feitelijk beveiligen in plaats van administratief beveiligen. Bij een dergelijke zorgplicht past ook aparte aandacht voor de belangrijkste processen.”
Proportioneel toezicht
In de brief schrijft de staatssecretaris dat er bij toezicht niet alleen zal worden gekeken naar de naleving van algemene regels zoals de BIO. Er wordt ook toezicht gehouden op specifieke regels die aanvullend worden gesteld door de verschillende ministeries. Dubbel werk moet worden voorkomen, het toezicht moet proportioneel zijn. Ze pleit voor “veel aandacht voor de zorgvuldigheid bij het beveiligen van vitale processen en andere ‘kroonjuwelen’.”
Interbestuurlijke verantwoording
Ministeries, gemeenten, provincies en waterschappen zullen zelf verantwoording af moeten leggen over hun informatiebeveiliging. Met een goede interbestuurlijke verantwoording hoopt Van Huffelen een goede basis te leggen voor meer veiligheid, maar ook minder administratieve lastendruk.
Menig jurist ziet de geheimhoudingsplicht uit het bestuursrecht als de grondslag voor informatiebeveiliging en de BIO als beleid. Eenvoudiger kan bijna niet en dat hebben we al.