Suwinet: alertheid medewerkers is noodzaak!


‘Suwinet: verbetering zichtbaar, nog wel werk aan de winkel’, ‘Suwinet bij helft gemeenten nog onveilig’, ‘Suwinet bij 39 gemeenten nog onveilig’. De berichten in de media stapelen zich op. Aanleiding is dit keer het rapport ‘Veilig omgaan met elkaars gegevens’  dat staatsecretaris Jetta Klijnsma van Inspectie Sociale Zaken en Werkgelegenheid (SZW) onlangs aan de Tweede kamer heeft aangeboden. Hoeveel gemeenten is het dit jaar gelukt om er

er in te slagen Suwinet goed te beveiligen?

In de VNG-Resolutie ‘Randvoorwaarde voor de professionele gemeenten’ hebben gemeenten gezamenlijk afspraken gemaakt over informatiebeveiliging en het borgen van privacy. Zo moet elke gemeente de Baseline Informatiebeveiliging Gemeenten (BIG) als generiek normenkader implementeren. Onderdeel hiervan zijn ook de zeven Suwi-normen  waar elke gemeente aan moet voldoen. Suwinet, het systeem waarin de persoonlijke gegevens van burgers tussen gemeenten en uitvoeringsorganisatie worden gedeeld, bleek in het verleden al niet waterdicht. In 2013 is de Inspectie SZW daarom gestart om de informatieveiligheid van Suwinet bij de gemeenten te toetsen. Gelukkig worden er ieder jaar grote stappen gemaakt en wordt er steeds meer voldaan aan de gestelde eisen. Maar daarmee zijn we er nog niet…

Bergopwaarts

Het net gepresenteerde rapport 2015 is een vervolg op het rapport uit 2014, toen voldeed 17 procent van de gemeenten aan de eisen, en het rapport uit 2013 waarin slechts 4 procent van de gemeenten aan de eisen voldeed. Een opgaande lijn die ook in 2015 voortzet. Volgens het rapport, waar de bevindingen van september 2014 tot september 2015 in staan beschreven, voldoet 49 procent van de gemeenten aan de zeven essentiële beveiligingsnormen die voor Suwinet gelden. Meer dan een verdubbeling dus ten opzichte van het jaar ervoor. Maar hoe zit het met die andere 51 procent? De helft van de gemeenten heeft blijkbaar (nog steeds) moeite met het behalen van deze normen, en heeft dus een ‘onveilig Suwinet’ als je de krantenkoppen mag geloven. Uiteraard zijn deze resultaten anno juli 2016 niet meer representatief. Volgens de website van de Vereniging van Nederlandse Gemeenten (VNG) voldoet inmiddels 90 procent van de gemeenten aan deze normen. Wat wel betekent dat 36 gemeenten nog onvoldoende stappen heeft gezet.

Alertheid is noodzaak

Door de intensievere samenwerkingsvormen in het gemeentelijk domein verwerken we steeds meer informatie digitaal. Zo werken we steeds meer tijd-, plaats- en apparaat onafhankelijk. Bij deze vrijheden horen ook nieuwe verantwoordelijkheden. Burgers en bedrijven moeten er immers altijd op kunnen vertrouwen dat gemeenten zorgvuldig met (hun) informatie omgaan en deze goed beveiligen. Dit vergt een aanpak op zowel het vlak van techniek, maar wellicht nog veel belangrijker in het kader van Suwinet, van de mens. (Lees ook mijn eerdere blog ‘Mens, techniek en organisatie. Ook in de verantwoording?’). Zo gebeuren veel ‘fouten’ door gemak, onoplettendheid of gebrek aan kennis en/of bewustzijn van medewerkers. Dit laatste lijkt nog onderbelicht bij veel gemeenten. De regels in een beveiligingsplan opnemen is één. Maar vervolgens moeten deze ook nageleefd worden en moeten medewerkers zich bewust zijn van de risico’s van het verkeerd omgaan met Suwinet. Daarvoor bestaan handige hulpmiddelen, bijvoorbeeld standaard of op maat gemaakte bewustwordingscampagnes met als doel het bewustzijn van collega’s te vergroten en het gedrag te veranderen.

Integrale borging

Ondanks de hogere scores blijkt echter uit het onderzoek dat er slechts bij enkele gemeenten sprake is van een gedragsverandering in het denken en omgaan met het gebruik van Suwinet en de beveiliging hiervan. Bij ruim een kwart van de gemeenten wordt er pas gestart met gerichte acties op het moment dat het onderzoek bekend wordt gemaakt. Waarbij er vaak alleen wordt gekeken naar de zeven normen waarop getoetst wordt. In dat geval komen de overige beveiligingsnormen niet of nauwelijks aan bod. Tevens scoren sommige gemeenten slechter dan het jaar daarvoor. Iets wat niet gebeurt als je hier binnen je gemeente continu aandacht aan besteedt. Als gemeente moet je informatieveiligheid integraal en gemeente-breed aanpakken. De ketting is immers zo sterk als de zwakste schakel… Het moet landen en structureel geborgd worden binnen de gemeente. Doe je dit niet? Dan wordt het een ‘moetje’. Er is dus werk aan de winkel!

ENSIA

Naast dat gemeenten zelf aan de slag moeten om de alertheid onder medewerkers te vergroten, worden gemeenten tegemoet gekomen door het terugdringen van de audit- en verantwoordingslast. Als gemeente ben je verplicht om jaarlijks audits uit te laten voeren. Deze verschillende audits benaderen het onderwerp informatieveiligheid steeds vanuit een net iets ander perspectief. Daarnaast zijn de audits gedeeltelijk vaak overlappend. De komst van ENSIA (Eenduidige Normatiek Single Information) moet hier verbetering in gaan brengen. Gemeenten zijn dan minder tijd kwijt aan audits. Ook hiervoor geldt dat je dit proces goed moet inrichten binnen je gemeente wil je hier ook daadwerkelijk efficiency uithalen. Bereid je dus tijdig voor.

100 procent veiligheid bestaat niet, maar continu aandacht hiervoor zou toch minimaal de basis moeten zijn binnen elke gemeente.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…

De ENSIA-coördinator als projectleider?

Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.

De rol van de gemeenteraad bij informatiebeveiliging en privacy

De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden…

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog