Partnerpagina ICTU

- - - - -

‘Digibeet kan geen geuzennaam meer zijn’

Twee jaar Taskforce Bestuur en Informatieveiligheid Dienstverlening

door: Freek Blankena

artikelen, 29 april 2015

De Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) is na twee jaar volgens plan opgeheven. De meeste bestuurders zijn nu wel ‘informatieveiligheidsbewust’. Maar dat bewustzijn heeft wel blijvend aandacht nodig.

Van links naar rechts: Henk Wesseling, Douwe Leguit, Irene Coenen. (Foto: Studio Oostrom)


DDoS-aanvallen, malware, virussen; overheden hebben er inmiddels dagelijks mee te maken. “En de aanpak van dat soort incidenten moet ook geen probleem meer zijn”, zegt Irene Coenen. Zij was de afgelopen twee jaar vanuit het ministerie van BZK de opdrachtgever voor de Taskforce BID, een programma dat ‘informatieveiligheid’ vooral bij bestuurders en managers in alle overheidslagen blijvend hoog op de agenda moest krijgen. “We hebben een digitaal openbaar bestuur en digitale dienstverlening naar burgers. Daar hoort digitale veiligheid absoluut bij. Daarop sturen moet onderdeel zijn van het handelen van de bestuurder.” Er moest wat gebeuren na Diginotar, Lektober en het Dorifel-virus. Te veel bestuurders gingen de kwestie uit de weg, terwijl burgers en organisaties erop moeten kunnen vertrouwen dat de overheid veilig met hun gegevens omgaat.
Volgens Coenen is de Taskforce BID geslaagd. “Die is specifiek opgezet om meer bestuurlijke bewustwording te bewerkstelligen rond informatieveiligheid en voor de verankering hiervan. Ook heeft de Taskforce BID een kennis- en leerinfrastructuur opgebouwd, en zijn er met overheidsheidslagen binnen het openbaar bestuur afspraken gemaakt over hoe je informatieveiligheid laat landen. Uiteindelijk is iedere overheidsorganisatie zelf verantwoordelijk voor zijn eigen informatiebeleid en -veiligheid; dat noemen we de verplichtende zelfregulering. Alleen zat dat heel erg in de uitvoerende bedrijfsvoeringshoek en dat is te smal. De gehele organisatie moet zich informatieveiligheid eigen maken en bestuurders moeten daarin ook samenwerken met andere overheden.”

Convenanten

Die ‘verplichtende zelfregulering’ klinkt nogal Haags, maar dat is het juist niet, vindt Coenen. “De overheidslagen hebben dit omarmd. Er zijn afspraken gemaakt over het niveau van veiligheid, de termijn waarop doelen gehaald worden en de wijze waarop het politieke bestuur wordt geïnformeerd door informatieveiligheid in jaarstukken te verantwoorden. Dit is vastgelegd in convenanten, waarmee je ook jezelf oplegt dat je verantwoording aflegt naar je eigen bestuur, iets wat tot nu toe eigenlijk nog niet zo veel is gebeurd.” In iedere overheidslaag zijn inmiddels dergelijke afspraken gemaakt. Coenen: “De bewústwording is een feit.”
Henk Wesseling, bestuurlijk hoofd van de Taskforce BID, denkt dat dat geheel aan afspraken voldoende is om voort te kunnen, met een kanttekening: “Het is een veld met de nodige dynamiek, waarin je je voortdurend moet aanpassen aan nieuwe ontwikkelingen. Omdat je zelf verantwoordelijk bent en moet handhaven, moet je daar wel mee bezig blijven.”
Een andere vraag is of informatieveiligheid nu ook goed ‘tussen de oren’ zit. “Dat verschilt”, zegt Wesseling. “Het zit veel beter tussen de oren dan een aantal jaren terug. Een mooi voorbeeld is het gemeentelijk domein, waar snel voortgang is geboekt, maar waar we ongeveer een halfjaar geleden ook tegen elkaar zeiden: ‘er is toch een aantal gemeenten waarvan we niet weten of we ze wel bereikt hebben’. Die zijn we toen individueel langsgegaan en dat leverde twee beelden op. Eén: er was wel het een en ander bereikt, maar twee: nadat we waren langsgegaan, ging het wel veel sneller.” Het vuurtje moet bij gemeenten blijvend worden opgestookt, denkt hij. “Veiligheidsbewustzijn kun je best bevorderen, maar het gáát ook weer heel snel.”

Spanningsveld

Achteroverleunen is er dus niet bij. Veel bestuurders hebben de neiging deze problematiek bij de afdeling ICT neer te leggen, ziet ook Douwe Leguit, programmamanager van de Taskforce BID. “Daarom hebben we ook gekozen voor de term informatieveiligheid in plaats van ‘informatiebeveiliging’. Die bestuurders realiseren zich in de gesprekken die we voeren wel in welke mate informatieveiligheid eigenlijk hun primaire processen raakt. En dat er iemand in de buurt moet zijn om te souffleren. Maar het blijft een spanningsveld. En mij viel van enige afstand op dat de communicatie aan twee kanten kan mislopen. Aan de kant van de bestuurder, die niet begrijpt wat de IT’er zegt, maar ook aan de kant van die IT’er, die vaak niet begrijpt welke vraagstukken voor de bestuurder interessant zijn of problemen niet kan vertalen naar bestuurlijke impact.”

Een dialoog is beter dan de schijnveiligheid van alleen maar meer regeltjes uit Den Haag

Coenen: “Het is dus ook belangrijk aan te haken op de onderwerpen die ze bezighouden, zoals de Omgevingswet bij de provincies of de decentralisaties bij de gemeenten.” Wesseling is stellig: “Iedereen weet nu wel dat het om maatschappelijke risico’s gaat. ‘Digibeet’ kan voor een bestuurder geen geuzennaam meer zijn.” Maar ‘van nul naar honderd’ lukt niet in twee jaar met zo’n vraagstuk. Is die twee jaar wel genoeg? Wesseling: “Als je wilt dat mensen hun bestuurlijke verantwoordelijkheid nemen, is twee jaar een heel goede tijdspanne. Twee jaar geeft ook duidelijkheid. En als je die verplichtende zelfregulering niet in twee jaar kunt realiseren, dan kun je er beter eerder mee ophouden.” Er was bij veel bestuurders ook twee jaar geleden al een zeker gevoel van urgentie, zegt Leguit. “Zelf begon ik op 1 april 2013 en op 2 april waren die DDos-aanvallen op banken en overheden. Al die bestuurders gebruiken toch ook internetbankieren als klant en ervaren de impact daarvan. Dus hoe is het dan met hun dienstverlening? Dat landt wel.”

Zelfregulering

Over de belangrijkste voorwaarde voor succes van zo’n Taskforce BID zijn de drie het ook eens. Leguit: “Er is door BZK niet gesproken vanuit regeltjes en verantwoording, maar ingezet op een traject van zelfregulering. Daarnaast is besloten om het neer te zetten bij ICTU, op neutrale grond, waarmee de mogelijkheid is gecreëerd voor iets dat van iedereen is. Het mooie is dat dan ook de dialoog ontstaat over waar eigenlijk behoefte aan is, bijvoorbeeld een toolkit voor gemeentesecretarissen of een Handreiking Opdrachtgeverschap. Zoiets is beter dan de schijnveiligheid van alleen maar meer regeltjes uit Den Haag.”
Wesseling denkt dat ICTU een goede plek is geweest voor de Taskforce BID. “Aan de ene kant is het een zakelijke omgeving. Tegelijkertijd kun je daar heel goed contact onderhouden met de opdrachtgever en snel schakelen.” Coenen vond met name de soepelheid waarmee gestuurd kon worden erg prettig.

Vakverenigingen

Wat zullen de overheden, de gemeenten bijvoorbeeld, vanaf nu nog gaan merken van de Taskforce BID-inspanningen? Leguit: “Uiteindelijk hoort het eigenaarschap terecht te komen bij de organisaties die erover gaan. We hebben daarom ook burgemeesters, wethouders, raadsleden en anderen gemobiliseerd, via clubs als de VGS en de NVVB. Uiteindelijk heeft dat geresulteerd in een nieuw convenant in februari van tien van die vakverenigingen en de VNG samen. Dat is de eerste keer dat zoveel partijen op één podium stonden. Op die manier hou je elkaar scherp en blijf je van elkaar leren.” Volgens Leguit staat er nu een ‘kapstok’ en zullen de overheidsorganisaties zelf tot verdere invulling moeten komen. Misschien wel door toe te werken naar bijvoorbeeld een gemeenschappelijke standaard voor wachtwoordenbeleid. “De partijen zeggen nu: waarom gaan we niet veel meer samen uitvinden?”

Taskforce BID leeft voort in iBewustzijn

Giulietta Marani was binnen de Taskforce als portfoliomanager verantwoordelijk voor het ontwikkelen van een kennis- en leerinfrastructuur en bijbehorend leer- en verankeraanbod. Met handvatten die helpen het informatieveiligheidsbewustzijn en het risicobewust handelen van bestuurders en ambtelijke top te verbeteren. Marani: “Daarbij heb ik ingezet op hergebruik van de bestaande kennisen leerinfrastructuur en beproefd aanbod binnen de overheid. Waar nodig zijn afspraken gemaakt voor optimalisatie van die infrastructuur. Ook is samen met overheidslagen en markt nieuw aanbod ontwikkeld. Aanbod dat goed opdrachtgeverschap, betekenisgeving binnen een organisatie, het spreken van dezelfde taal en het inrichten van het informatieveiligheidsproces faciliteert. Het geheel is gebundeld in een campagnepakket iBewustzijn en te vinden op informatieveiligheid. pleio.nl. iBewustzijn biedt interactieve workshops, e-learningmodules en tal van ondersteunende middelen. Dit pakket draagt bij aan het inbedden van informatieveiligheid in de organisatie en in de keten. iBewustzijn ondersteunt organisaties daarbij in 2015.”

tags: ,

- - - - -

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie.