Wat ENSIA (nog) niet brengt helaas..


Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, heeft als doel de auditlast te verminderen en het verantwoordingsstelstel voor informatieveiligheid efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control (P&C)-cyclus. In mijn eerste blog over ENSIA (mei 2015) heb ik aangegeven dat ik ENSIA zie als een (erg) hoopgevende denkrichting. In de daaropvolgende blog (januari 2017), waarin ik schrijf over de stand van zaken, vraag ik me al af of er wel echt sprake is van integrale verantwoording.Nu, een aantal maanden later, werp ik wederom een (kritische) blik op ENSIA. We weten inmiddels wat het gemeenten moet gaan opleveren, maar wat brengt ENSIA helaas (nog) niet?

Volwassen horizontale verantwoording

Allereerst het belangrijkste punt, namelijk een volwassen horizontale verantwoording. Als je het mij vraagt blijft deze wel erg bescheiden. Zo is er geen format voor verantwoording in het jaarverslag opgenomen en geen (verplichte) structuur voor separate verantwoording vanuit het college naar de raad (bijvoorbeeld middels een collegeverklaring). Kortom: je bent hier als gemeente dus helemaal vrij in. Als je niet oppast, is de aandacht voor informatiebeveiliging in het jaarverslag niet meer dan één algemene alinea, te vinden onder het hoofdstuk bedrijfsvoering. De tijd en aandacht die aan de verantwoording over informatiebeveiliging besteed wordt, is dus erg afhankelijk van de gedrevenheid van de CISO en/of portefeuillehouder, en van raadsleden die de juiste vragen stellen. En dat lijkt me nou net niet de bedoeling, toch?

Het is maar zeer de vraag in hoeverre de gemeenteraad haar rol als interne toezichthouder zo gaat, kan en/of wil nemen. Waarom kan de assurance verklaring en de collegeverklaring niet ook standaard naar de gemeenteraad? Op die manier kun je wel een dialoog op gang brengen. Het feit dat ENSIA geen punten toekent in de zelfevaluatie vragenlijst, maakt het ook lastig de uitkomsten van de zelfevaluatie zelf als vehikel te nemen voor een ‘goed gesprek’ met de gemeenteraad. De alinea in het jaarverslag kan zo dermate abstract en ‘high level’ zijn, dat de raad hierdoor niet bepaald getriggerd wordt haar rol als interne toezichthouder te pakken. En dat is een gemiste kans!

Opzet, bestaan én werking

Ten tweede blijft het hoofdzakelijk een papieren exercitie, terwijl veel CISO’s naar mijn idee van mening zijn dat auditen op werking eigenlijk pas écht iets zegt over de mate van informatiebeveiliging. Dit kwam eerder ter sprake in de blog ‘Mens, techniek en organisatie. Ook in de verantwoording?’. Maar we weten gevoelsmatig ook dat heel veel gemeenten de audit op dit moment niet doorstaan wanneer de werking ook wordt getoetst. Zoals ik in mijn vorige blog betoogde, zijn veel gemeenten immers nog volop bezig met de implementatie van de BIG. In het format collegeverklaring staat dan ook in alle eerlijkheid expliciet benoemd dat het niet om de werking van de maatregelen gaat.

Enige nuancering is wel op z’n plaats. ENSIA bundelt immers de bestaande verantwoordingslijnen. Maar indien deze niet op werking toetsen, zal dat in ENSIA gebundeld ook (nog) niet het geval zijn. ENSIA was echter een mooie ‘kans’ om het toetsen van werking ook op te nemen.

Substantiële afname in auditlast

En dan is er nog het doel van ENSIA, namelijk het verminderen van de auditlast. Maar is er wel sprake van een substantiële afname? Dit is (nog) niet het geval mijns inziens. Het totaal aantal vragen is met 15% teruggebracht, als je alle vragen beantwoordt. Dit is dus vooralsnog een beperkte netto ‘winst’, ondanks de uitgesproken wens in de Resolutie.

Zo is de Suwinet-aansluiting gerechtsdeurwaarders en Burgerzaken niet in ENSIA opgenomen. Indien dit van toepassing is, is dit een separate audit. Ook een nieuwe DigiD aansluiting krijgt een aparte audit. Wat positief is, is dat er is voorzien in een groeipad. Wat inhoudt dat de scope van de IT audit breder zal worden. Een goede zaak dus!

Eenduidig tijdspad

Tot slot, ontbreekt vooralsnog een eenduidig tijdspad. De verantwoording over de PUN en BRP loopt niet synchroon. Echter is hier wel een duidelijke reden voor. De wetswijzigingen zijn namelijk nodig en in de maak. Verder is er mogelijk sprake van een beperkte openstelling van de tool van juli t/m december. Continu (in stukjes) verantwoorden door het jaar heen, werkt dan niet.

Kortom; er zijn nog een paar verbeterpunten voordat ENSIA helemaal voldoet aan dat mooie vergezicht. Desalniettemin blijft het een goede voorwaartse stap op het gebied van informatiebeveiliging en de verantwoording hierover. Maar we zijn er nog niet..

Wil je meer weten over ENSIA? Download dan het document met veelgestelde vragen over ENSIA, lees de ENSIA-impactanalyse of neem contact op.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in