‘Suwinet: verbetering zichtbaar, nog wel werk aan de winkel’, ‘Suwinet bij helft gemeenten nog onveilig’, ‘Suwinet bij 39 gemeenten nog onveilig’. De berichten in de media stapelen zich op. Aanleiding is dit keer het rapport ‘Veilig omgaan met elkaars gegevens’  dat staatsecretaris Jetta Klijnsma van Inspectie Sociale Zaken en Werkgelegenheid (SZW) onlangs aan de Tweede kamer heeft aangeboden. Hoeveel gemeenten is het dit jaar gelukt om er

er in te slagen Suwinet goed te beveiligen?

In de VNG-Resolutie ‘Randvoorwaarde voor de professionele gemeenten’ hebben gemeenten gezamenlijk afspraken gemaakt over informatiebeveiliging en het borgen van privacy. Zo moet elke gemeente de Baseline Informatiebeveiliging Gemeenten (BIG) als generiek normenkader implementeren. Onderdeel hiervan zijn ook de zeven Suwi-normen  waar elke gemeente aan moet voldoen. Suwinet, het systeem waarin de persoonlijke gegevens van burgers tussen gemeenten en uitvoeringsorganisatie worden gedeeld, bleek in het verleden al niet waterdicht. In 2013 is de Inspectie SZW daarom gestart om de informatieveiligheid van Suwinet bij de gemeenten te toetsen. Gelukkig worden er ieder jaar grote stappen gemaakt en wordt er steeds meer voldaan aan de gestelde eisen. Maar daarmee zijn we er nog niet…

Bergopwaarts

Het net gepresenteerde rapport 2015 is een vervolg op het rapport uit 2014, toen voldeed 17 procent van de gemeenten aan de eisen, en het rapport uit 2013 waarin slechts 4 procent van de gemeenten aan de eisen voldeed. Een opgaande lijn die ook in 2015 voortzet. Volgens het rapport, waar de bevindingen van september 2014 tot september 2015 in staan beschreven, voldoet 49 procent van de gemeenten aan de zeven essentiële beveiligingsnormen die voor Suwinet gelden. Meer dan een verdubbeling dus ten opzichte van het jaar ervoor. Maar hoe zit het met die andere 51 procent? De helft van de gemeenten heeft blijkbaar (nog steeds) moeite met het behalen van deze normen, en heeft dus een ‘onveilig Suwinet’ als je de krantenkoppen mag geloven. Uiteraard zijn deze resultaten anno juli 2016 niet meer representatief. Volgens de website van de Vereniging van Nederlandse Gemeenten (VNG) voldoet inmiddels 90 procent van de gemeenten aan deze normen. Wat wel betekent dat 36 gemeenten nog onvoldoende stappen heeft gezet.

Alertheid is noodzaak

Door de intensievere samenwerkingsvormen in het gemeentelijk domein verwerken we steeds meer informatie digitaal. Zo werken we steeds meer tijd-, plaats- en apparaat onafhankelijk. Bij deze vrijheden horen ook nieuwe verantwoordelijkheden. Burgers en bedrijven moeten er immers altijd op kunnen vertrouwen dat gemeenten zorgvuldig met (hun) informatie omgaan en deze goed beveiligen. Dit vergt een aanpak op zowel het vlak van techniek, maar wellicht nog veel belangrijker in het kader van Suwinet, van de mens. (Lees ook mijn eerdere blog ‘Mens, techniek en organisatie. Ook in de verantwoording?’). Zo gebeuren veel ‘fouten’ door gemak, onoplettendheid of gebrek aan kennis en/of bewustzijn van medewerkers. Dit laatste lijkt nog onderbelicht bij veel gemeenten. De regels in een beveiligingsplan opnemen is één. Maar vervolgens moeten deze ook nageleefd worden en moeten medewerkers zich bewust zijn van de risico’s van het verkeerd omgaan met Suwinet. Daarvoor bestaan handige hulpmiddelen, bijvoorbeeld standaard of op maat gemaakte bewustwordingscampagnes met als doel het bewustzijn van collega’s te vergroten en het gedrag te veranderen.

Integrale borging

Ondanks de hogere scores blijkt echter uit het onderzoek dat er slechts bij enkele gemeenten sprake is van een gedragsverandering in het denken en omgaan met het gebruik van Suwinet en de beveiliging hiervan. Bij ruim een kwart van de gemeenten wordt er pas gestart met gerichte acties op het moment dat het onderzoek bekend wordt gemaakt. Waarbij er vaak alleen wordt gekeken naar de zeven normen waarop getoetst wordt. In dat geval komen de overige beveiligingsnormen niet of nauwelijks aan bod. Tevens scoren sommige gemeenten slechter dan het jaar daarvoor. Iets wat niet gebeurt als je hier binnen je gemeente continu aandacht aan besteedt. Als gemeente moet je informatieveiligheid integraal en gemeente-breed aanpakken. De ketting is immers zo sterk als de zwakste schakel… Het moet landen en structureel geborgd worden binnen de gemeente. Doe je dit niet? Dan wordt het een ‘moetje’. Er is dus werk aan de winkel!

ENSIA

Naast dat gemeenten zelf aan de slag moeten om de alertheid onder medewerkers te vergroten, worden gemeenten tegemoet gekomen door het terugdringen van de audit- en verantwoordingslast. Als gemeente ben je verplicht om jaarlijks audits uit te laten voeren. Deze verschillende audits benaderen het onderwerp informatieveiligheid steeds vanuit een net iets ander perspectief. Daarnaast zijn de audits gedeeltelijk vaak overlappend. De komst van ENSIA (Eenduidige Normatiek Single Information) moet hier verbetering in gaan brengen. Gemeenten zijn dan minder tijd kwijt aan audits. Ook hiervoor geldt dat je dit proces goed moet inrichten binnen je gemeente wil je hier ook daadwerkelijk efficiency uithalen. Bereid je dus tijdig voor.

100 procent veiligheid bestaat niet, maar continu aandacht hiervoor zou toch minimaal de basis moeten zijn binnen elke gemeente.