ENSIA bestaat vijf jaar. De Eenduidige Normatiek Single Information Audit is het middel waarmee gemeenten zich tegenover gemeenteraad en rijksoverheid verantwoorden over hun informatiebeveiliging. Wat heeft ENSIA opgeleverd in zijn prille bestaan? En waar mag de aandacht op liggen voor het volgende lustrum?
In vijf jaar zijn naar behoefte van gemeenten en toezichthouders, steeds meer stelsels aan ENSIA toegevoegd.
Tot de introductie van ENSIA in 2017, ging verantwoording over informatieveiligheid voor gemeenten gepaard met grote hoeveelheden vragenlijsten van landelijke toezichthouders. Ieder stelsel had een eigen uitvraag, herinnert Marco van Beek zich, de Chief Information Security Officer (CISO) van de gemeente Amsterdam. “De landelijke toezichthouder voor DigiD wilde net weer iets anders weten dan zijn collega voor Suwinet, maar veel lijsten bevatten dezelfde onderwerpen. Dat betekende veel dubbel werk. Een Baseline Informatiebeveiliging Gemeenten (BIG) was juist ontworpen om te komen tot een generiek normenkader waaraan elke gemeenten moet voldoen. Dus het was duidelijk dat ook de landelijke toezichthouders daarvan gebruik moesten gaan maken. Gemeenten zijn complexe organisaties met veel verschillende processen en applicaties; het is belangrijk om verantwoording en toezicht goed te stroomlijnen.”
Baanbrekend
Melis van de Groep is burgemeester van de gemeente Bunschoten en hij was tot voor kort voorzitter van het Strategisch Overleg ENSIA. Over de totstandkoming van ENSIA zegt hij: “De vraag was wat gemeenten aan zekerheden nodig hadden zodat zij konden waarborgen dat zij zorgvuldig omgingen met persoonsgegevens. Hoe zonder een enorm stelsel van controles, gemeenten kunnen aantonen dat zij in de uitvoering op een goede manier aan digitale veiligheid doen. Noem het gerust baanbrekend, dat dit tot stand is gekomen.”
“De overheid moet de garantie geven dat haar systemen toereikend zijn om digitale bescherming te bieden.”
In vijf jaar zijn naar behoefte van gemeenten en toezichthouders, steeds meer stelsels aan ENSIA toegevoegd. Inmiddels structureert ENSIA naast de BIO verantwoording over de Basisregistratie Personen (BRP) en Reisdocumenten, Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO), Waardering Onroerende Zaken (WOZ) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWI) richting de rijksoverheid. Ook de rapportage werd steeds beter. Gemeenten zien dat de verantwoording over informatieveiligheid aansluit bij hun planning- en controlcyclus.
Meer gezag
ENSIA is een initiatief van de Vereniging Nederlandse Gemeenten (VNG) en de ministeries van Binnenlandse Zaken, Sociale Zaken en Werkgelegenheid en van Infrastructuur en Milieu. Iedereen die aan die wieg stond was vanaf het begin doordrongen van het belang van digitale veiligheid. “Dat is nooit een punt van discussie geweest,” zegt Van de Groep. “De overheid zegt dat ze een monopolist is die persoonsgegevens beheert van mensen. Dan moet zij ook de garantie geven dat haar systemen toereikend zijn om digitale bescherming te bieden.” En waar wel verschil in opvatting was, kon altijd over worden gepraat. “We waren gelijkgestemden.” Van de Groep ziet dat in de laatste vijf jaar ENSIA aan gezag heeft gewonnen. “Het was ingewikkeld om tot stand te brengen, maar ENSIA is efficiënt.”
Meer auditlast
Linda Goedhart van de gemeente Amsterdam is adviseur Informatiebeveiliging en ENSIA-coördinator van het eerste uur. “ENSIA heeft zeker gezorgd voor structuur en bundeling van vragenlijsten, maar het doel was ook de auditlast voor gemeenten te verminderen en dat doel is niet gehaald.” Goedhart durft zelfs te stellen dat de auditlast is vervijfvoudigd. “Begrijp me goed, het is goed dat er een systematiek is die alle verantwoording bij elkaar brengt, maar het schiet zijn doel voorbij. De rapporten zijn nu te gedetailleerd en te technisch om aan een bestuurder voor te leggen. Wij zouden liever op een hoger aggregatieniveau rapporteren, maar dat past nu niet in het format.”
VNG-leden willen meer structurele aandacht en financiering voor informatieveiligheid op lokaal niveau.
De hogere auditlast kwam ook naar voren in het klanttevredenheidsonderzoek uit 2021. Het Beheerteam ENSIA van de VNG pakt dit op en onderzoekt hoe de vragenlijsten eenvoudiger kunnen.
Meer in control
Wat ENSIA volgens Van de Groep en Van Beek heeft opgeleverd is meer begrip tussen de verschillende overheidsorganisaties. Van Beek: “De vaste bijeenkomsten om te praten over governance, creëren groot begrip onderling. Gemeenten beseffen veel beter dat een toezichthouder alle informatie van 344 gemeenten moet krijgen. Wij konden uitleggen dat Amsterdam zich aan meerdere toezichthouders moet verantwoorden, terwijl we toch echt allemaal met één BIO te maken hebben.” Sommige discussies zijn pittig geweest, geeft Van Beek toe, maar het begrip is gegroeid. “En gemeenten zijn inmiddels gewend aan de ENSIA-cyclus van jaarlijks rapporteren.” Van Beek en Goedhart zien ook hoe toezichthouders steeds meer vertrouwen krijgen in gemeenten. Van Beek zegt: “De toezichthouder van Suwinet was in het begin bijzonder kritisch en dat is ook logisch want dat is zijn taak, maar ook hij ziet nu gemeenten steeds meer ‘in control’ zijn. Met behulp van ENSIA kan hij wat meer afstand nemen.”
Meer wensen
Wat wensen de Amsterdammers voor het volgende lustrum? “Meer volwassenheid in de systematiek,” zeggen zowel Van Beek als Goedhart. “Antwoorden zijn nu 0 of 1, maar de zaken zijn zelden zo zwart-wit. In de wetenschappelijke wereld is het gebruikelijk om gradaties aan te geven. Dus 1,8 of 2,7 op een schaal van vijf. Dat is veel fijner dan ja of nee. Het laat ook zien hoe organisaties in de loop der jaren groeien in volwassenheid. Waterschappen hebben zo’n systematiek al doorgevoerd, de andere overheidslagen zouden dat ook moeten doen.”
En waarop hoopt Van de Groep? “Mijn wens is dat de ENSIA-systematiek ook toegepast gaat worden als normering voor de veiligheid van alle overheidsdata, zodat gemeenten intern en extern rekenschap geven dat (ook) de basis op orde is.”
Meer aandacht voor informatieveiligheid
Op de VNG-ledenvergadering van juni 2022 namen de leden een motie aan voor meer structurele aandacht en financiering voor informatieveiligheid op lokaal niveau. Ondertekenaars van de motie vroegen de VNG ook zo spoedig mogelijk in gesprek te gaan met BZK over de processen rondom de BIO– en ENSIA-veiligheidsaudits. Die toetsen nu of het vereiste instrumentarium aanwezig is voor beveiliging, maar niet of het ook wordt gebruikt en in hoeverre het structureel bijdraagt aan daadwerkelijke informatieveiligheid voor inwoners, ondernemers en (gemeentelijke) processen.
