Skip to main content

Heeft jouw gemeente het lef om te leren?

| Renco Schoemaker | ,

De afgelopen twee jaar heeft de VNG Visitatiecommissie Informatieveiligheid 120 gemeenten bezocht om het gesprek aan te gaan over informatieveiligheid. Op 28 september jl. heeft zij haar eindrapport ‘Durven leren’ met daarin niet één maar een dozijn aan boodschappen gepresenteerd. Je leest het goed, twaalf boodschappen op een rij die ik in deze blog graag voor je samenvat tot een top 3. Zo hoef jij het hele rapport niet te lezen, maar

ben je toch snel op de hoogte van de inhoud.

Top 3

De Visitatiecommissie is het gesprek aangegaan met gemeenten om een drietal zaken voor het voetlicht te brengen: het belang van de gemeentelijke aandacht voor informatieveiligheid, het bieden van een gemeentelijk handelingsperspectief én, niet onbelangrijk, toetsen of verplichtende zelfregulering in de gemeentelijke praktijk van alle dag ook echt werkt. Kortom, geen klassieke visitatiecommissie, maar een commissie die het leren van gemeenten wil en ook moet bevorderen. Als je achter de 12 boodschappen die zij in haar eindrapport gepresenteerd heeft kijkt, komen voor mij drie zaken scherp naar voren:

  1. Goed voorbeeld doet nog steeds volgen
  2. Het leggen van verbinding en verbanden is cruciaal
  3. Openheid doet pijn en.. het helpt enorm

1. Goed voorbeeld doet nog steeds volgen

De verantwoordelijkheid van gemeenten voor informatieveiligheid geldt over de gehele linie, van inhuurkracht tot raadslid, van leveranciers tot ketenpartners en vanuit diverse samenwerkingsverbanden. Het vergt een enorme inspanning om deze verantwoordelijkheid waar te maken. Actieve betrokkenheid van het gemeentebestuur is belangrijk voor de prioriteitstelling binnen de gemeentelijke organisatie en tussen gemeenten in samenwerkingsverbanden. Net als de positionering van de CISO in de organisatie. In het algemeen moet er meer bestuurlijke aandacht voor informatieveiligheid zijn. De introductie van de Eenduidige Normatiek Single Information Audit (ENSIA) maakt dit nóg meer noodzakelijk, dit om te voorkomen dat je als gemeente onvoldoende doet op dit beleidsterrein.

2. Het leggen van verbinding en verbanden is cruciaal

Het bewustzijn en het kennisniveau is de afgelopen jaren gegroeid, maar nog te vaak blijken gemeenten het wiel opnieuw uit te vinden. Kortom, het uitwisselen van kennis tussen gemeenten dient niet alleen gestimuleerd te worden vanuit gemeenten zelf, maar dient zeker ook gefaciliteerd te worden vanuit andere organisaties, zoals de IBD dit doet op de IBD-community. Gemeenten kunnen veel van elkaar leren, maar dat doen ze op dit moment nog te weinig, aldus de Visitatiecommissie. Het uitwisselen van kennis in landelijke en regionale netwerken moet veel structureler worden. De commissie ziet hiervoor overigens een breed draagvlak en roept VNG op om in het kader van Samen organiseren ook wat betreft het onderwerp informatieveiligheid een stimulerende en coördinerende rol te vervullen. Net zo belangrijk, en dat is een tweede boodschap van de commissie, is het leggen van verbinding tussen de verschillende onderwerpen als het gaat om bewustzijn op informatieveiligheidsvlak, denk bijvoorbeeld aan integriteit en privacy. Dit helpt gemeenten niet alleen om de aandacht te richten, maar ook om bewust keuzes te maken. Het is daarom van belang dat de aandacht voor informatieveiligheid structureel is. Tenslotte is het geen eenmalig project, maar een continu proces, een leven lang leren.

Van chaos naar orde

De Visitatiecommissie heeft niet voor niets geconstateerd dat gemeenten vaak nog te ongestructureerd werken aan informatieveiligheid. Uitvoering staat in de dagelijkse werkzaamheden voorop en het aanbrengen van structuur wordt hierbij vaak vergeten. Het is dan ook raadzaam om te werken volgens een vastgesteld informatiebeveiligingsbeleid, een jaarlijks op te stellen informatiebeveiligingsplan en een structurele verantwoordingslijn. Vanzelfsprekend dien je ook te toetsen of maatregelen de geïdentificeerde risico’s voldoende afdekken. Op basis daarvan dien je mogelijk je beleid en (vooral) je plan bij te stellen. Ofwel: een plan-do-check-act cyclus.

3. Openheid doet pijn en.. het helpt enorm

Bij het onderwerp informatieveiligheid bestaat er logischerwijs een spanning tussen de openheid die nodig is om te kunnen leren en de geslotenheid die nodig is om juist bescherming te bieden tegen dreigingen. Toch is een meer open houding noodzakelijk, omdat dit leidt tot een versnelling in het leren. Een goed ingericht en onderhouden Information Security Management Systeem (ISMS) zal daar zeker aan bijdragen. Belangrijk is dan wel dat je de gehele plan-do-check-act cyclus doorloopt en niet blijft hangen in ‘plan’ en ‘do’. Transparant zijn over incidenten helpt, leer ervan en realiseer en accepteer dat de risico’s niet geheel zijn uit te sluiten. Een actieve communicatie over de risico’s en incidenten draagt bij aan het besef dat 100% veilig niet mogelijk is. Meer openheid zal leiden tot een versnelling van het leren, door het delen van kennis en het samen leren van incidenten.

Informatieveiligheid vergt continu onderhoud

Het werken aan informatieveiligheid is dus ‘nooit af’. Een gevaar van die constatering is dat het beeld kan ontstaan dat er de afgelopen jaren te weinig gebeurd is bij gemeenten. Net als de commissie ben ik van mening dat dit zeker niet het geval is. Er gebeurt veel, maar omgekeerd geldt ook dat er evenveel nieuwe ontwikkelingen op gemeenten af zullen blijven komen. Vandaag.. en morgen. Ontwikkelingen die ervoor zorgen dat gemeenten dus geen rust kunnen nemen als het gaat om het onderwerp informatieveiligheid. Kortom, ‘schouders eronder en recht zo die gaat!’

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.
Verder lezen

Belangrijke vaardigheden voor een succesvolle Privacy Officer

Om de privacydoelen van de gemeente te bereiken en een succesvolle Privacy Officer te zijn, moet je over een aantal essentiële basisvaardigheden beschikken.
Verder lezen

KPI’s in informatiebeveiliging

Om de effectiviteit van informatiebeveiliging te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het belangrijk om regelmatig te monitoren en te meten hoe het ervoor staat. Dit kan aan de hand van Key Performan…
Verder lezen

Dataminimalisatie: waarom minder soms meer is.

: In de digitale wereld waarin we leven, verzamelen we een enorme hoeveelheid gegevens. Maar in deze tijd van dataverzameling is er gelukkig ook een AVG-principe dat steeds meer aandacht krijgt: gegevensminimalisatie.
Verder lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …
Verder lezen

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…
Verder lezen