ENSIA: de deur naar een mooiere wereld?

| Renco Schoemaker | ,

Een simpele zoekopdracht in Google op het woord ENSIA levert (uiteraard) veel resultaten op, maar slechts een beperkt aantal gaat over de ‘Eenduidige Normatiek Single Information Audit’. Relevante resultaten verwijzen naar deze pagina’s op de website van de Taskforce BID, VNG en IBD. Mij lijkt het een veelbelovende en uitdagende systematiek om de (forse) verantwoordingslast bij gemeenten terug te brengen. Daarom vandaag aandacht voor ENSIA.

FAMO minicongres

Op 26 maart vond het FAMO minicongres plaats waar Jule Hintzbergen van de IBD een presentatie gaf over de IBD zelf, de BIG en ENSIA. Diezelfde middag gaf ook Koen Wortmann van de VNG een presentatie over privacy en informatieveiligheid, waarover later meer. Zelf kon ik niet aanwezig zijn die dag en daarom was ik erg blij dat de presentaties beschikbaar zijn gesteld op de website van FAMO.

Aanloop naar nu

Met het aannemen van de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ in november 2013 hebben de gemeenten tevens de ‘mits’ (lees: voorwaarde?) uitgesproken de audit- en monitorlast te willen beperken. Er staat onder ‘Dragen het bestuur van de VNG op om bij het Rijk en ketenpartners te bewerkstelligen dat’

De minister van BZK zorgt voor hergebruik van bestaande informatie en beperking van audit- en monitorlast. Hierbij is het principe van Single Information Single Audit het uitgangspunt.

Vervolgens heeft BZK deze opdracht neergelegd bij de Taskforce BID, in nauwe samenwerking met de VNG, IBD en de ADR (Auditdienst Rijk). E.e.a. staat verwoord in deze factsheet van de Taskforce en op deze pagina van de VNG. In het kort komt het er op neer dat men onderzocht heeft in hoeverre de BIG overlap heeft met de door beleidsdepartementen gevraagde verantwoording (denk aan BRP, PUN, SUWI, BAG en DigiD). Dat geeft inzicht in de overlap in (beheers)maatregelen en waar de beleidsdepartementen ‘plussen’ op de baseline.

Waarom dan?

Waarom is dat interessant? Twee antwoorden:

  • De huidige verantwoordingsverplichtingen zijn verkokerd in verschillende beleidsdepartementen. Een integrale benadering, die de informatieveiligheid bij gemeenten positief zal beïnvloeden, ontbreekt. De BIG kent deze benadering juist wel.
  • De diverse verantwoordingsverplichtingen overlappen elkaar deels waardoor gemeenten over hetzelfde onderwerp meerdere keren en/of op verschillende momenten verantwoording afleggen. De BIG neemt deze overlap in potentie grotendeels weg.

Het goede (en ietwat voorspelbare) nieuws is dat die overlap er inderdaad is. De overlap SUWI en BIG is uitgewerkt in deze folder van de IBD en ook het Bureau Keteninformatisering Werk & Inkomen (BWKI) legt de normen naast elkaar in dit document. Voor zover ik weet is er nog niets gepubliceerd over een dergelijke vergelijking met de BRP, PUN, BAG of DigiD. Deze vergelijking is al wel gemaakt door de ENSIA werkgroep in het kader van het eerder genoemde onderzoek.

ENSIA-pilot

Om de systematiek van ENSIA, welke uitgaat van ‘self-assessments’ met verminderd extern(e) toezicht en audits, in de praktijk te toetsen is de ENSIA-pilot gestart in mei 2014. De kick-off voor de 8 betrokken gemeenten (zie hier welke) vond plaats op 6 mei. Middels een (Excel) vragenlijst is bij de pilot-gemeenten uitvraag gedaan naar verantwoording aan de hand van tien thema’s van de BIG.

De gemeenten beantwoordden vragen op de volgende thema’s. De IBD heeft BIG producten/voorbeelden beschikbaar gesteld voor bovenstaande thema’s, zie links.

  1. Informatieveiligheidsbeleid (IBD)
  2. Informatiebeveiligingsplan
  3. IV-functionaris of CISO aanstellen (IBD)
  4. Opleidingen en bewustwording (IBD)
  5. Actief uitdragen van IV door bestuurders (IBD)
  6. Incidentmanagement (IBD)
  7. Patchmanagement (IBD)
  8. Hardening (IBD)
  9. Back-up en recovery (IBD)
  10. Continuïteit/uitwijkmogelijkheid

Beantwoording resulteert in een totaalscore op ‘verantwoording informatiebeveiliging’. De IBD volgde het invullen van deze vragenlijst op met een gesprek om de antwoorden te valideren. Vervolgens organiseerde de Taskforce BID op 11 juli een ‘Learn & Share bijeenkomst ENSIA’ om van elkaar te leren door te delen. Inhoudelijk is er weinig gedeeld buiten de pilot-groep om, maar dat is allicht te verwachten in deze pilotfase. Momenteel is het stil omtrent ENSIA.

Vervolg

In de communicatie wordt verwezen naar een slotbijeenkomst in september 2014. Op de pagina van de VNG staat dat op basis van het ENSIA-plan van aanpak én de uitkomsten van de pilots een overdrachts- en implementatieplan wordt opgesteld, dat in september 2014 ter akkoord wordt voorgelegd aan het ministerie van BZK. In diezelfde bijeenkomst zou een ENSIA terugblik én vooruitblik onderdeel uitmaken van de agenda. Nav de Learn & Share bijeenkomst bericht de Taskforce: op basis van de positieve uitkomsten van de ENSIA-pilot en de Learn & Share bijeenkomst ENSIA wordt een besluitvormingsnotitie opgesteld waarin op basis van de geboekte resultaten een voorstel voor nadere uitwerking wordt opgenomen. De concept-notitie wordt medio september met de pilotdeelnemers besproken en vervolgens in het najaar voorgelegd.

Bij mijn weten heeft de slotbijeenkomst niet plaats gevonden en is er geen sprake van een (concept) besluitvormingsnotitie, overdrachts- of implementatieplan of voorstel voor nadere uitwerking. Ook de resultaten van de ENSIA-pilot zijn niet publiekelijk toegankelijk gemaakt. Navraag leert dat ENSIA na de beëindiging van de Taskforce BID onder leiding van BZK gekomen is (ism de IBD). In deze brief staat nu vermeld dat het plan van aanpak gereed is in het voorjaar 2015. Ik ben daar erg benieuwd naar, al voelt het wel alsof men flink gas terug heeft genomen. In de afgelopen tijd is de aandacht vooral uitgegaan naar het in-control statement.

In-control statement

Een belangrijk doel van de ENSIA-pilot is onderzoeken in hoeverre een ontwikkeld in-control statement passend is als sluitstuk van de verantwoording op het gebied van informatiebeveiliging. Een in-control statement (ICS) is:

Een verklaring van een manager of proceseigenaar dat hij voldoet aan geldende wet- en regelgeving die voor zijn proces of afdeling geldt. (bron)

De bestuurders van de pilot-gemeenten gaan dit in-control statement idealiter ondertekenen/opnemen in hun jaarverslag over 2014, naar verwachting in juni dit jaar. Een zoektocht naar het jaarverslag over 2014 levert vooralsnog alleen een resultaat op bij de gemeente Velsen die eind april de boel online plaatste. Ik ben geen expert in jaarstukken, maar ik vond zelf geen in-control statement. Maar dat hoeft natuurlijk niet illustratief te zijn voor de overige pilot-gemeenten. Voordat daar iets over te zeggen is moeten we wachten tot ook de ander pilot-gemeenten hun jaarstukken publiekelijk toegankelijk maken.

Toekomst

Wat mij betreft is ENSIA een hoopgevende denkrichting in het terugbrengen van de verantwoordingslast bij gemeenten. Hoopvol is het advies van de BAG werkgroep afgelopen maand: “…vervang de huidige inspecties door risicogericht toezicht met daarin een belangrijke plaats voor zelfevaluatie” (bron). De BIG kan als integraal en organisatiebreed (normen)kader gelden waarmee verkokering en overlap wordt tegengegaan. Precies de wens van de gemeenten zoals verwoord in de resolutie. Maar zover zijn we nog niet; de ENSIA verkenning vergt tijd en inspanning. Als ik bovenstaande uiteenzetting van de ENSIA pilot goed heb, is er nog veel (mooi) werk aan de winkel.

Ik roep de gemeenten op, in het bijzonder de pilot-gemeenten, kenbaar te maken bij BZK en de VNG dat ENSIA een goed en passende vervulling is van de wens tot een verminderde verantwoordingslast. En vooral bij de VNG aan te dringen op uitvoering van de resolutie! Gezien de stilte voelt het echter alsof ENSIA na de opheffing van de Taskforce BID een onzekere toekomst tegemoet gaat onder leiding van BZK.

Mocht ik daarin gelijk krijgen, dan is het allicht tijd dat gemeenten in gezamenlijkheid op hun strepen gaan staan. Digitaal 2017 is alleen haalbaar mét medewerking van de gemeenten. Dat vergt echter wel dat ze samen een vuist maken én dat de VNG het heft in eigen handen durft te nemen als ENSIA bij BZK niet de aandacht krijgt die het verdient. Uiteraard ben ik ook zelf beschikbaar om een bijdrage te leveren indien mogelijk. Samen kunnen we het aangenamer maken zonder in te leveren op de informatieveiligheid.

Hopelijk wordt ENSIA inderdaad de deur naar een mooiere wereld op het gebied van verantwoording en audits. Ik zie het plan van aanpak alvast met veel belangstelling tegemoet.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…
Verder lezen

Waarom is privacy eigenlijk belangrijk?

In onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want,…
Verder lezen

Jaarrapportage informatiebeveiliging; waar rapporteer je als CISO over?

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is h…
Verder lezen

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…
Verder lezen

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…
Verder lezen

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap