“Data wordt de belangrijkste grondstof in onze samenleving”. Aan het woord is Rein Zijlstra, wethouder van de gemeente Zeewolde. “Het moet in onze genen zitten om daar zorgvuldig mee om te gaan. Bewustzijn is mooi, maar eigenlijk moeten we allemaal onbewust bekwaam worden.”
Wethouder Rein Zijlstra van Zeewolde
Data is de nieuwe grondstof van deze tijd. Dat is de overtuiging van Rein Zijlstra. “Net zo goed als dat onze samenleving niet kan functioneren zonder energie, kunnen we dat ook niet meer zonder data. Sterker nog: als het energieprobleem is opgelost, wordt data dé onmisbare grondstof en daarmee ook het belangrijkste punt binnen gemeenten. Nog boven financiën, processen en minimaal gelijk aan de medewerkers. We moeten daar dan ook enorm zorgvuldig mee omgaan. Niet alleen als het gaat om het beveiligen tegen hackers, maar ook in de manier waarop we met gegevens van burgers omgaan. Hebben we de juiste gegevens, zijn ze beschikbaar als we ze nodig hebben, weten we wie wat mag inzien en is dat goed geregeld? Continuïteit, beschikbaarheid en betrouwbaarheid zijn de kernwoorden voor informatieveiligheid.”
Minder controledruk, meer inzicht
Dat gemeenten de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) hebben omarmd, vindt Zijlstra een uitstekende zaak. “Vrijwel unaniem hebben de gemeenten in de ledenvergadering van de VNG de resolutie op het gebied van informatieveiligheid aangenomen. Dat betekent dat iedereen het belang ziet en wil werken aan zelfregulering. Tegelijkertijd was er de wens tot afname van de controledruk. Op verschillende momenten door verschillende instanties overlappende audits brengt niet alleen werkdruk met zich mee, het is ook onoverzichtelijk. Om invulling te geven aan die wens is er nu het overheidsproject ENSIA. Daarin worden alle vragen uit de audits en de BIG vergeleken en samengevoegd tot één algemene vragenlijst. Er is een tool ontwikkeld, waarin de gemeenten de vragen kunnen beantwoorden. Zo zijn er niet alleen minder audits, je krijgt als gemeente ook een duidelijker beeld van waar je staat bij de implementatie van de BIG. Uit de tool komt bovendien een ‘collegeverklaring Informatieveiligheid’, waarmee het college verantwoording aflegt aan de gemeenteraad en inwoners. De overheid controleert eens per jaar die controleverklaring. Om te toetsen of de ENSIA-systematiek daadwerkelijk in de praktijk effectief is, is een aantal gemeenten, waaronder Zeewolde, gevraagd om mee te werken aan een ENSIA-pilot.”
Inbedden
Controleren en bijsturen is één, inbedden is twee. “Natuurlijk is het goed dat het onderwerp informatieveiligheid op de bestuurstafel ligt. Maar eigenlijk moet dat snel niet meer nodig zijn. Binnen onze gemeente ben ik sinds 2014 portefeuillehouder Informatieveligheid, een bewust specifiek benoemd thema naast automatisering. We werken er volop aan: er is een specialist op het gebied van informatieveiligheid, de CISO (Chief Information Security Officer) aangetrokken en er staat een intern bewustwordingsprogramma op de agenda. Toch ervaar ik dat informatieveiligheid minder vanzelfsprekend is dan andere zaken. Om maar een voorbeeld te noemen: ik ben ook portefeuillehouder Financiën. Daar rekening mee houden bij alles wat je doet, is ingebed in de organisatie. Het is logisch dat het in elk plan is opgenomen. Zo moet het ook met informatieveiligheid worden. Zo ver zijn we nog niet, maar projecten als ENSIA dragen er zeker aan bij.”
Vele projecten vormen een risico
Een grote uitdaging is om dat inbedden te realiseren terwijl er nog zoveel meer op gemeenten afkomt. “We zien allemaal het belang van informatieveiligheid, maar er gebeurt in gemeenteland nog zo veel meer. De decentralisaties in het sociaal domein, Omgevingswet, meldplicht datalekken, Digitaal 2017, de Generieke Digitale Infrastructuur, de Digitale Agenda 2020 en alle automatiseringsprojecten die daarmee gemoeid zijn. Het zou wel eens handig zijn als er een impactanalyse van al die projecten in samenhang wordt gemaakt: welke inspanningen moeten de gemeenten verrichten om dat allemaal te realiseren? En kunnen we daarbij de informatieveiligheid wel blijven borgen en verbeteren? Het is een risico waar ik me wel eens zorgen over maak. Ik ben benieuwd wat Patricia Zorko, directeur Cyber Security van de NCTV, het komende jaar op dit gebied als grootste bedreiging ziet voor de gemeenten…”
Dit verhaal is onderdeel van een reeks artikelen over informatiebewustzijn.
Over iBewustzijn Overheid
iBewustzijn Overheid is een ondersteuningsprogramma van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en is voortgekomen uit de Taskforce Bestuur & Informatieveiligheid Dienstverlening (BID). Het digitale platform ibewustzijnoverheid.nl is een plek waar alle medewerkers van het rijk, gemeenten, provincies, waterschappen en uitvoerende overheden terecht kunnen voor informatie over actuele iBewustzijn onderwerpen en leer- en campagnemateriaal om het iBewustzijn te vergroten. Het platform stimuleert de beweging van onbewust onbekwaam naar bewust bekwaam.
