Wat ENSIA (nog) niet brengt helaas..


Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, heeft als doel de auditlast te verminderen en het verantwoordingsstelstel voor informatieveiligheid efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control (P&C)-cyclus. In mijn eerste blog over ENSIA (mei 2015) heb ik aangegeven dat ik ENSIA zie als een (erg) hoopgevende denkrichting. In de daaropvolgende blog (januari 2017), waarin ik schrijf over de stand van zaken, vraag ik me al af of er wel echt sprake is van integrale verantwoording.Nu, een aantal maanden later, werp ik wederom een (kritische) blik op ENSIA. We weten inmiddels wat het gemeenten moet gaan opleveren, maar wat brengt ENSIA helaas (nog) niet?

Volwassen horizontale verantwoording

Allereerst het belangrijkste punt, namelijk een volwassen horizontale verantwoording. Als je het mij vraagt blijft deze wel erg bescheiden. Zo is er geen format voor verantwoording in het jaarverslag opgenomen en geen (verplichte) structuur voor separate verantwoording vanuit het college naar de raad (bijvoorbeeld middels een collegeverklaring). Kortom: je bent hier als gemeente dus helemaal vrij in. Als je niet oppast, is de aandacht voor informatiebeveiliging in het jaarverslag niet meer dan één algemene alinea, te vinden onder het hoofdstuk bedrijfsvoering. De tijd en aandacht die aan de verantwoording over informatiebeveiliging besteed wordt, is dus erg afhankelijk van de gedrevenheid van de CISO en/of portefeuillehouder, en van raadsleden die de juiste vragen stellen. En dat lijkt me nou net niet de bedoeling, toch?

Het is maar zeer de vraag in hoeverre de gemeenteraad haar rol als interne toezichthouder zo gaat, kan en/of wil nemen. Waarom kan de assurance verklaring en de collegeverklaring niet ook standaard naar de gemeenteraad? Op die manier kun je wel een dialoog op gang brengen. Het feit dat ENSIA geen punten toekent in de zelfevaluatie vragenlijst, maakt het ook lastig de uitkomsten van de zelfevaluatie zelf als vehikel te nemen voor een ‘goed gesprek’ met de gemeenteraad. De alinea in het jaarverslag kan zo dermate abstract en ‘high level’ zijn, dat de raad hierdoor niet bepaald getriggerd wordt haar rol als interne toezichthouder te pakken. En dat is een gemiste kans!

Opzet, bestaan én werking

Ten tweede blijft het hoofdzakelijk een papieren exercitie, terwijl veel CISO’s naar mijn idee van mening zijn dat auditen op werking eigenlijk pas écht iets zegt over de mate van informatiebeveiliging. Dit kwam eerder ter sprake in de blog ‘Mens, techniek en organisatie. Ook in de verantwoording?’. Maar we weten gevoelsmatig ook dat heel veel gemeenten de audit op dit moment niet doorstaan wanneer de werking ook wordt getoetst. Zoals ik in mijn vorige blog betoogde, zijn veel gemeenten immers nog volop bezig met de implementatie van de BIG. In het format collegeverklaring staat dan ook in alle eerlijkheid expliciet benoemd dat het niet om de werking van de maatregelen gaat.

Enige nuancering is wel op z’n plaats. ENSIA bundelt immers de bestaande verantwoordingslijnen. Maar indien deze niet op werking toetsen, zal dat in ENSIA gebundeld ook (nog) niet het geval zijn. ENSIA was echter een mooie ‘kans’ om het toetsen van werking ook op te nemen.

Substantiële afname in auditlast

En dan is er nog het doel van ENSIA, namelijk het verminderen van de auditlast. Maar is er wel sprake van een substantiële afname? Dit is (nog) niet het geval mijns inziens. Het totaal aantal vragen is met 15% teruggebracht, als je alle vragen beantwoordt. Dit is dus vooralsnog een beperkte netto ‘winst’, ondanks de uitgesproken wens in de Resolutie.

Zo is de Suwinet-aansluiting gerechtsdeurwaarders en Burgerzaken niet in ENSIA opgenomen. Indien dit van toepassing is, is dit een separate audit. Ook een nieuwe DigiD aansluiting krijgt een aparte audit. Wat positief is, is dat er is voorzien in een groeipad. Wat inhoudt dat de scope van de IT audit breder zal worden. Een goede zaak dus!

Eenduidig tijdspad

Tot slot, ontbreekt vooralsnog een eenduidig tijdspad. De verantwoording over de PUN en BRP loopt niet synchroon. Echter is hier wel een duidelijke reden voor. De wetswijzigingen zijn namelijk nodig en in de maak. Verder is er mogelijk sprake van een beperkte openstelling van de tool van juli t/m december. Continu (in stukjes) verantwoorden door het jaar heen, werkt dan niet.

Kortom; er zijn nog een paar verbeterpunten voordat ENSIA helemaal voldoet aan dat mooie vergezicht. Desalniettemin blijft het een goede voorwaartse stap op het gebied van informatiebeveiliging en de verantwoording hierover. Maar we zijn er nog niet..

Wil je meer weten over ENSIA? Download dan het document met veelgestelde vragen over ENSIA, lees de ENSIA-impactanalyse of neem contact op.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…

De ENSIA-coördinator als projectleider?

Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.

De rol van de gemeenteraad bij informatiebeveiliging en privacy

De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden…

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog