Skip to main content

Wat ENSIA (nog) niet brengt helaas..


Project ENSIA, ofwel Eenduidige Normatiek Single Information Audit, heeft als doel de auditlast te verminderen en het verantwoordingsstelstel voor informatieveiligheid efficiënt en effectief in te richten en te implementeren door het toezicht te bundelen en aan te sluiten op de Planning & Control (P&C)-cyclus. In mijn eerste blog over ENSIA (mei 2015) heb ik aangegeven dat ik ENSIA zie als een (erg) hoopgevende denkrichting. In de daaropvolgende blog (januari 2017), waarin ik schrijf over de stand van zaken, vraag ik me al af of er wel echt sprake is van integrale verantwoording.Nu, een aantal maanden later, werp ik wederom een (kritische) blik op ENSIA. We weten inmiddels wat het gemeenten moet gaan opleveren, maar wat brengt ENSIA helaas (nog) niet?

Volwassen horizontale verantwoording

Allereerst het belangrijkste punt, namelijk een volwassen horizontale verantwoording. Als je het mij vraagt blijft deze wel erg bescheiden. Zo is er geen format voor verantwoording in het jaarverslag opgenomen en geen (verplichte) structuur voor separate verantwoording vanuit het college naar de raad (bijvoorbeeld middels een collegeverklaring). Kortom: je bent hier als gemeente dus helemaal vrij in. Als je niet oppast, is de aandacht voor informatiebeveiliging in het jaarverslag niet meer dan één algemene alinea, te vinden onder het hoofdstuk bedrijfsvoering. De tijd en aandacht die aan de verantwoording over informatiebeveiliging besteed wordt, is dus erg afhankelijk van de gedrevenheid van de CISO en/of portefeuillehouder, en van raadsleden die de juiste vragen stellen. En dat lijkt me nou net niet de bedoeling, toch?

Het is maar zeer de vraag in hoeverre de gemeenteraad haar rol als interne toezichthouder zo gaat, kan en/of wil nemen. Waarom kan de assurance verklaring en de collegeverklaring niet ook standaard naar de gemeenteraad? Op die manier kun je wel een dialoog op gang brengen. Het feit dat ENSIA geen punten toekent in de zelfevaluatie vragenlijst, maakt het ook lastig de uitkomsten van de zelfevaluatie zelf als vehikel te nemen voor een ‘goed gesprek’ met de gemeenteraad. De alinea in het jaarverslag kan zo dermate abstract en ‘high level’ zijn, dat de raad hierdoor niet bepaald getriggerd wordt haar rol als interne toezichthouder te pakken. En dat is een gemiste kans!

Opzet, bestaan én werking

Ten tweede blijft het hoofdzakelijk een papieren exercitie, terwijl veel CISO’s naar mijn idee van mening zijn dat auditen op werking eigenlijk pas écht iets zegt over de mate van informatiebeveiliging. Dit kwam eerder ter sprake in de blog ‘Mens, techniek en organisatie. Ook in de verantwoording?’. Maar we weten gevoelsmatig ook dat heel veel gemeenten de audit op dit moment niet doorstaan wanneer de werking ook wordt getoetst. Zoals ik in mijn vorige blog betoogde, zijn veel gemeenten immers nog volop bezig met de implementatie van de BIG. In het format collegeverklaring staat dan ook in alle eerlijkheid expliciet benoemd dat het niet om de werking van de maatregelen gaat.

Enige nuancering is wel op z’n plaats. ENSIA bundelt immers de bestaande verantwoordingslijnen. Maar indien deze niet op werking toetsen, zal dat in ENSIA gebundeld ook (nog) niet het geval zijn. ENSIA was echter een mooie ‘kans’ om het toetsen van werking ook op te nemen.

Substantiële afname in auditlast

En dan is er nog het doel van ENSIA, namelijk het verminderen van de auditlast. Maar is er wel sprake van een substantiële afname? Dit is (nog) niet het geval mijns inziens. Het totaal aantal vragen is met 15% teruggebracht, als je alle vragen beantwoordt. Dit is dus vooralsnog een beperkte netto ‘winst’, ondanks de uitgesproken wens in de Resolutie.

Zo is de Suwinet-aansluiting gerechtsdeurwaarders en Burgerzaken niet in ENSIA opgenomen. Indien dit van toepassing is, is dit een separate audit. Ook een nieuwe DigiD aansluiting krijgt een aparte audit. Wat positief is, is dat er is voorzien in een groeipad. Wat inhoudt dat de scope van de IT audit breder zal worden. Een goede zaak dus!

Eenduidig tijdspad

Tot slot, ontbreekt vooralsnog een eenduidig tijdspad. De verantwoording over de PUN en BRP loopt niet synchroon. Echter is hier wel een duidelijke reden voor. De wetswijzigingen zijn namelijk nodig en in de maak. Verder is er mogelijk sprake van een beperkte openstelling van de tool van juli t/m december. Continu (in stukjes) verantwoorden door het jaar heen, werkt dan niet.

Kortom; er zijn nog een paar verbeterpunten voordat ENSIA helemaal voldoet aan dat mooie vergezicht. Desalniettemin blijft het een goede voorwaartse stap op het gebied van informatiebeveiliging en de verantwoording hierover. Maar we zijn er nog niet..

Wil je meer weten over ENSIA? Download dan het document met veelgestelde vragen over ENSIA, lees de ENSIA-impactanalyse of neem contact op.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…