Skip to main content

ENSIA: de deur naar een mooiere wereld?

| Renco Schoemaker | ,

Een simpele zoekopdracht in Google op het woord ENSIA levert (uiteraard) veel resultaten op, maar slechts een beperkt aantal gaat over de ‘Eenduidige Normatiek Single Information Audit’. Relevante resultaten verwijzen naar deze pagina’s op de website van de Taskforce BID, VNG en IBD. Mij lijkt het een veelbelovende en uitdagende systematiek om de (forse) verantwoordingslast bij gemeenten terug te brengen. Daarom vandaag aandacht voor ENSIA.

FAMO minicongres

Op 26 maart vond het FAMO minicongres plaats waar Jule Hintzbergen van de IBD een presentatie gaf over de IBD zelf, de BIG en ENSIA. Diezelfde middag gaf ook Koen Wortmann van de VNG een presentatie over privacy en informatieveiligheid, waarover later meer. Zelf kon ik niet aanwezig zijn die dag en daarom was ik erg blij dat de presentaties beschikbaar zijn gesteld op de website van FAMO.

Aanloop naar nu

Met het aannemen van de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ in november 2013 hebben de gemeenten tevens de ‘mits’ (lees: voorwaarde?) uitgesproken de audit- en monitorlast te willen beperken. Er staat onder ‘Dragen het bestuur van de VNG op om bij het Rijk en ketenpartners te bewerkstelligen dat’

De minister van BZK zorgt voor hergebruik van bestaande informatie en beperking van audit- en monitorlast. Hierbij is het principe van Single Information Single Audit het uitgangspunt.

Vervolgens heeft BZK deze opdracht neergelegd bij de Taskforce BID, in nauwe samenwerking met de VNG, IBD en de ADR (Auditdienst Rijk). E.e.a. staat verwoord in deze factsheet van de Taskforce en op deze pagina van de VNG. In het kort komt het er op neer dat men onderzocht heeft in hoeverre de BIG overlap heeft met de door beleidsdepartementen gevraagde verantwoording (denk aan BRP, PUN, SUWI, BAG en DigiD). Dat geeft inzicht in de overlap in (beheers)maatregelen en waar de beleidsdepartementen ‘plussen’ op de baseline.

Waarom dan?

Waarom is dat interessant? Twee antwoorden:

  • De huidige verantwoordingsverplichtingen zijn verkokerd in verschillende beleidsdepartementen. Een integrale benadering, die de informatieveiligheid bij gemeenten positief zal beïnvloeden, ontbreekt. De BIG kent deze benadering juist wel.
  • De diverse verantwoordingsverplichtingen overlappen elkaar deels waardoor gemeenten over hetzelfde onderwerp meerdere keren en/of op verschillende momenten verantwoording afleggen. De BIG neemt deze overlap in potentie grotendeels weg.

Het goede (en ietwat voorspelbare) nieuws is dat die overlap er inderdaad is. De overlap SUWI en BIG is uitgewerkt in deze folder van de IBD en ook het Bureau Keteninformatisering Werk & Inkomen (BWKI) legt de normen naast elkaar in dit document. Voor zover ik weet is er nog niets gepubliceerd over een dergelijke vergelijking met de BRP, PUN, BAG of DigiD. Deze vergelijking is al wel gemaakt door de ENSIA werkgroep in het kader van het eerder genoemde onderzoek.

ENSIA-pilot

Om de systematiek van ENSIA, welke uitgaat van ‘self-assessments’ met verminderd extern(e) toezicht en audits, in de praktijk te toetsen is de ENSIA-pilot gestart in mei 2014. De kick-off voor de 8 betrokken gemeenten (zie hier welke) vond plaats op 6 mei. Middels een (Excel) vragenlijst is bij de pilot-gemeenten uitvraag gedaan naar verantwoording aan de hand van tien thema’s van de BIG.

De gemeenten beantwoordden vragen op de volgende thema’s. De IBD heeft BIG producten/voorbeelden beschikbaar gesteld voor bovenstaande thema’s, zie links.

  1. Informatieveiligheidsbeleid (IBD)
  2. Informatiebeveiligingsplan
  3. IV-functionaris of CISO aanstellen (IBD)
  4. Opleidingen en bewustwording (IBD)
  5. Actief uitdragen van IV door bestuurders (IBD)
  6. Incidentmanagement (IBD)
  7. Patchmanagement (IBD)
  8. Hardening (IBD)
  9. Back-up en recovery (IBD)
  10. Continuïteit/uitwijkmogelijkheid

Beantwoording resulteert in een totaalscore op ‘verantwoording informatiebeveiliging’. De IBD volgde het invullen van deze vragenlijst op met een gesprek om de antwoorden te valideren. Vervolgens organiseerde de Taskforce BID op 11 juli een ‘Learn & Share bijeenkomst ENSIA’ om van elkaar te leren door te delen. Inhoudelijk is er weinig gedeeld buiten de pilot-groep om, maar dat is allicht te verwachten in deze pilotfase. Momenteel is het stil omtrent ENSIA.

Vervolg

In de communicatie wordt verwezen naar een slotbijeenkomst in september 2014. Op de pagina van de VNG staat dat op basis van het ENSIA-plan van aanpak én de uitkomsten van de pilots een overdrachts- en implementatieplan wordt opgesteld, dat in september 2014 ter akkoord wordt voorgelegd aan het ministerie van BZK. In diezelfde bijeenkomst zou een ENSIA terugblik én vooruitblik onderdeel uitmaken van de agenda. Nav de Learn & Share bijeenkomst bericht de Taskforce: op basis van de positieve uitkomsten van de ENSIA-pilot en de Learn & Share bijeenkomst ENSIA wordt een besluitvormingsnotitie opgesteld waarin op basis van de geboekte resultaten een voorstel voor nadere uitwerking wordt opgenomen. De concept-notitie wordt medio september met de pilotdeelnemers besproken en vervolgens in het najaar voorgelegd.

Bij mijn weten heeft de slotbijeenkomst niet plaats gevonden en is er geen sprake van een (concept) besluitvormingsnotitie, overdrachts- of implementatieplan of voorstel voor nadere uitwerking. Ook de resultaten van de ENSIA-pilot zijn niet publiekelijk toegankelijk gemaakt. Navraag leert dat ENSIA na de beëindiging van de Taskforce BID onder leiding van BZK gekomen is (ism de IBD). In deze brief staat nu vermeld dat het plan van aanpak gereed is in het voorjaar 2015. Ik ben daar erg benieuwd naar, al voelt het wel alsof men flink gas terug heeft genomen. In de afgelopen tijd is de aandacht vooral uitgegaan naar het in-control statement.

In-control statement

Een belangrijk doel van de ENSIA-pilot is onderzoeken in hoeverre een ontwikkeld in-control statement passend is als sluitstuk van de verantwoording op het gebied van informatiebeveiliging. Een in-control statement (ICS) is:

Een verklaring van een manager of proceseigenaar dat hij voldoet aan geldende wet- en regelgeving die voor zijn proces of afdeling geldt. (bron)

De bestuurders van de pilot-gemeenten gaan dit in-control statement idealiter ondertekenen/opnemen in hun jaarverslag over 2014, naar verwachting in juni dit jaar. Een zoektocht naar het jaarverslag over 2014 levert vooralsnog alleen een resultaat op bij de gemeente Velsen die eind april de boel online plaatste. Ik ben geen expert in jaarstukken, maar ik vond zelf geen in-control statement. Maar dat hoeft natuurlijk niet illustratief te zijn voor de overige pilot-gemeenten. Voordat daar iets over te zeggen is moeten we wachten tot ook de ander pilot-gemeenten hun jaarstukken publiekelijk toegankelijk maken.

Toekomst

Wat mij betreft is ENSIA een hoopgevende denkrichting in het terugbrengen van de verantwoordingslast bij gemeenten. Hoopvol is het advies van de BAG werkgroep afgelopen maand: “…vervang de huidige inspecties door risicogericht toezicht met daarin een belangrijke plaats voor zelfevaluatie” (bron). De BIG kan als integraal en organisatiebreed (normen)kader gelden waarmee verkokering en overlap wordt tegengegaan. Precies de wens van de gemeenten zoals verwoord in de resolutie. Maar zover zijn we nog niet; de ENSIA verkenning vergt tijd en inspanning. Als ik bovenstaande uiteenzetting van de ENSIA pilot goed heb, is er nog veel (mooi) werk aan de winkel.

Ik roep de gemeenten op, in het bijzonder de pilot-gemeenten, kenbaar te maken bij BZK en de VNG dat ENSIA een goed en passende vervulling is van de wens tot een verminderde verantwoordingslast. En vooral bij de VNG aan te dringen op uitvoering van de resolutie! Gezien de stilte voelt het echter alsof ENSIA na de opheffing van de Taskforce BID een onzekere toekomst tegemoet gaat onder leiding van BZK.

Mocht ik daarin gelijk krijgen, dan is het allicht tijd dat gemeenten in gezamenlijkheid op hun strepen gaan staan. Digitaal 2017 is alleen haalbaar mét medewerking van de gemeenten. Dat vergt echter wel dat ze samen een vuist maken én dat de VNG het heft in eigen handen durft te nemen als ENSIA bij BZK niet de aandacht krijgt die het verdient. Uiteraard ben ik ook zelf beschikbaar om een bijdrage te leveren indien mogelijk. Samen kunnen we het aangenamer maken zonder in te leveren op de informatieveiligheid.

Hopelijk wordt ENSIA inderdaad de deur naar een mooiere wereld op het gebied van verantwoording en audits. Ik zie het plan van aanpak alvast met veel belangstelling tegemoet.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.
Verder lezen

Belangrijke vaardigheden voor een succesvolle Privacy Officer

Om de privacydoelen van de gemeente te bereiken en een succesvolle Privacy Officer te zijn, moet je over een aantal essentiële basisvaardigheden beschikken.
Verder lezen

KPI’s in informatiebeveiliging

Om de effectiviteit van informatiebeveiliging te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het belangrijk om regelmatig te monitoren en te meten hoe het ervoor staat. Dit kan aan de hand van Key Performan…
Verder lezen

Dataminimalisatie: waarom minder soms meer is.

: In de digitale wereld waarin we leven, verzamelen we een enorme hoeveelheid gegevens. Maar in deze tijd van dataverzameling is er gelukkig ook een AVG-principe dat steeds meer aandacht krijgt: gegevensminimalisatie.
Verder lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …
Verder lezen

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…
Verder lezen