Suwinet: alertheid medewerkers is noodzaak!

| Renco Schoemaker | ,

‘Suwinet: verbetering zichtbaar, nog wel werk aan de winkel’, ‘Suwinet bij helft gemeenten nog onveilig’, ‘Suwinet bij 39 gemeenten nog onveilig’. De berichten in de media stapelen zich op. Aanleiding is dit keer het rapport ‘Veilig omgaan met elkaars gegevens’  dat staatsecretaris Jetta Klijnsma van Inspectie Sociale Zaken en Werkgelegenheid (SZW) onlangs aan de Tweede kamer heeft aangeboden. Hoeveel gemeenten is het dit jaar gelukt om er

er in te slagen Suwinet goed te beveiligen?

In de VNG-Resolutie ‘Randvoorwaarde voor de professionele gemeenten’ hebben gemeenten gezamenlijk afspraken gemaakt over informatiebeveiliging en het borgen van privacy. Zo moet elke gemeente de Baseline Informatiebeveiliging Gemeenten (BIG) als generiek normenkader implementeren. Onderdeel hiervan zijn ook de zeven Suwi-normen  waar elke gemeente aan moet voldoen. Suwinet, het systeem waarin de persoonlijke gegevens van burgers tussen gemeenten en uitvoeringsorganisatie worden gedeeld, bleek in het verleden al niet waterdicht. In 2013 is de Inspectie SZW daarom gestart om de informatieveiligheid van Suwinet bij de gemeenten te toetsen. Gelukkig worden er ieder jaar grote stappen gemaakt en wordt er steeds meer voldaan aan de gestelde eisen. Maar daarmee zijn we er nog niet…

Bergopwaarts

Het net gepresenteerde rapport 2015 is een vervolg op het rapport uit 2014, toen voldeed 17 procent van de gemeenten aan de eisen, en het rapport uit 2013 waarin slechts 4 procent van de gemeenten aan de eisen voldeed. Een opgaande lijn die ook in 2015 voortzet. Volgens het rapport, waar de bevindingen van september 2014 tot september 2015 in staan beschreven, voldoet 49 procent van de gemeenten aan de zeven essentiële beveiligingsnormen die voor Suwinet gelden. Meer dan een verdubbeling dus ten opzichte van het jaar ervoor. Maar hoe zit het met die andere 51 procent? De helft van de gemeenten heeft blijkbaar (nog steeds) moeite met het behalen van deze normen, en heeft dus een ‘onveilig Suwinet’ als je de krantenkoppen mag geloven. Uiteraard zijn deze resultaten anno juli 2016 niet meer representatief. Volgens de website van de Vereniging van Nederlandse Gemeenten (VNG) voldoet inmiddels 90 procent van de gemeenten aan deze normen. Wat wel betekent dat 36 gemeenten nog onvoldoende stappen heeft gezet.

Alertheid is noodzaak

Door de intensievere samenwerkingsvormen in het gemeentelijk domein verwerken we steeds meer informatie digitaal. Zo werken we steeds meer tijd-, plaats- en apparaat onafhankelijk. Bij deze vrijheden horen ook nieuwe verantwoordelijkheden. Burgers en bedrijven moeten er immers altijd op kunnen vertrouwen dat gemeenten zorgvuldig met (hun) informatie omgaan en deze goed beveiligen. Dit vergt een aanpak op zowel het vlak van techniek, maar wellicht nog veel belangrijker in het kader van Suwinet, van de mens. (Lees ook mijn eerdere blog ‘Mens, techniek en organisatie. Ook in de verantwoording?’). Zo gebeuren veel ‘fouten’ door gemak, onoplettendheid of gebrek aan kennis en/of bewustzijn van medewerkers. Dit laatste lijkt nog onderbelicht bij veel gemeenten. De regels in een beveiligingsplan opnemen is één. Maar vervolgens moeten deze ook nageleefd worden en moeten medewerkers zich bewust zijn van de risico’s van het verkeerd omgaan met Suwinet. Daarvoor bestaan handige hulpmiddelen, bijvoorbeeld standaard of op maat gemaakte bewustwordingscampagnes met als doel het bewustzijn van collega’s te vergroten en het gedrag te veranderen.

Integrale borging

Ondanks de hogere scores blijkt echter uit het onderzoek dat er slechts bij enkele gemeenten sprake is van een gedragsverandering in het denken en omgaan met het gebruik van Suwinet en de beveiliging hiervan. Bij ruim een kwart van de gemeenten wordt er pas gestart met gerichte acties op het moment dat het onderzoek bekend wordt gemaakt. Waarbij er vaak alleen wordt gekeken naar de zeven normen waarop getoetst wordt. In dat geval komen de overige beveiligingsnormen niet of nauwelijks aan bod. Tevens scoren sommige gemeenten slechter dan het jaar daarvoor. Iets wat niet gebeurt als je hier binnen je gemeente continu aandacht aan besteedt. Als gemeente moet je informatieveiligheid integraal en gemeente-breed aanpakken. De ketting is immers zo sterk als de zwakste schakel… Het moet landen en structureel geborgd worden binnen de gemeente. Doe je dit niet? Dan wordt het een ‘moetje’. Er is dus werk aan de winkel!

ENSIA

Naast dat gemeenten zelf aan de slag moeten om de alertheid onder medewerkers te vergroten, worden gemeenten tegemoet gekomen door het terugdringen van de audit- en verantwoordingslast. Als gemeente ben je verplicht om jaarlijks audits uit te laten voeren. Deze verschillende audits benaderen het onderwerp informatieveiligheid steeds vanuit een net iets ander perspectief. Daarnaast zijn de audits gedeeltelijk vaak overlappend. De komst van ENSIA (Eenduidige Normatiek Single Information) moet hier verbetering in gaan brengen. Gemeenten zijn dan minder tijd kwijt aan audits. Ook hiervoor geldt dat je dit proces goed moet inrichten binnen je gemeente wil je hier ook daadwerkelijk efficiency uithalen. Bereid je dus tijdig voor.

100 procent veiligheid bestaat niet, maar continu aandacht hiervoor zou toch minimaal de basis moeten zijn binnen elke gemeente.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Ga naar website

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.
Verder lezen

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!
Verder lezen

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?
Verder lezen

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?
Verder lezen

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…
Verder lezen

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap