Skip to main content

Heeft jouw gemeente het lef om te leren?


De afgelopen twee jaar heeft de VNG Visitatiecommissie Informatieveiligheid 120 gemeenten bezocht om het gesprek aan te gaan over informatieveiligheid. Op 28 september jl. heeft zij haar eindrapport ‘Durven leren’ met daarin niet één maar een dozijn aan boodschappen gepresenteerd. Je leest het goed, twaalf boodschappen op een rij die ik in deze blog graag voor je samenvat tot een top 3. Zo hoef jij het hele rapport niet te lezen, maar

ben je toch snel op de hoogte van de inhoud.

Top 3

De Visitatiecommissie is het gesprek aangegaan met gemeenten om een drietal zaken voor het voetlicht te brengen: het belang van de gemeentelijke aandacht voor informatieveiligheid, het bieden van een gemeentelijk handelingsperspectief én, niet onbelangrijk, toetsen of verplichtende zelfregulering in de gemeentelijke praktijk van alle dag ook echt werkt. Kortom, geen klassieke visitatiecommissie, maar een commissie die het leren van gemeenten wil en ook moet bevorderen. Als je achter de 12 boodschappen die zij in haar eindrapport gepresenteerd heeft kijkt, komen voor mij drie zaken scherp naar voren:

  1. Goed voorbeeld doet nog steeds volgen
  2. Het leggen van verbinding en verbanden is cruciaal
  3. Openheid doet pijn en.. het helpt enorm

1. Goed voorbeeld doet nog steeds volgen

De verantwoordelijkheid van gemeenten voor informatieveiligheid geldt over de gehele linie, van inhuurkracht tot raadslid, van leveranciers tot ketenpartners en vanuit diverse samenwerkingsverbanden. Het vergt een enorme inspanning om deze verantwoordelijkheid waar te maken. Actieve betrokkenheid van het gemeentebestuur is belangrijk voor de prioriteitstelling binnen de gemeentelijke organisatie en tussen gemeenten in samenwerkingsverbanden. Net als de positionering van de CISO in de organisatie. In het algemeen moet er meer bestuurlijke aandacht voor informatieveiligheid zijn. De introductie van de Eenduidige Normatiek Single Information Audit (ENSIA) maakt dit nóg meer noodzakelijk, dit om te voorkomen dat je als gemeente onvoldoende doet op dit beleidsterrein.

2. Het leggen van verbinding en verbanden is cruciaal

Het bewustzijn en het kennisniveau is de afgelopen jaren gegroeid, maar nog te vaak blijken gemeenten het wiel opnieuw uit te vinden. Kortom, het uitwisselen van kennis tussen gemeenten dient niet alleen gestimuleerd te worden vanuit gemeenten zelf, maar dient zeker ook gefaciliteerd te worden vanuit andere organisaties, zoals de IBD dit doet op de IBD-community. Gemeenten kunnen veel van elkaar leren, maar dat doen ze op dit moment nog te weinig, aldus de Visitatiecommissie. Het uitwisselen van kennis in landelijke en regionale netwerken moet veel structureler worden. De commissie ziet hiervoor overigens een breed draagvlak en roept VNG op om in het kader van Samen organiseren ook wat betreft het onderwerp informatieveiligheid een stimulerende en coördinerende rol te vervullen. Net zo belangrijk, en dat is een tweede boodschap van de commissie, is het leggen van verbinding tussen de verschillende onderwerpen als het gaat om bewustzijn op informatieveiligheidsvlak, denk bijvoorbeeld aan integriteit en privacy. Dit helpt gemeenten niet alleen om de aandacht te richten, maar ook om bewust keuzes te maken. Het is daarom van belang dat de aandacht voor informatieveiligheid structureel is. Tenslotte is het geen eenmalig project, maar een continu proces, een leven lang leren.

Van chaos naar orde

De Visitatiecommissie heeft niet voor niets geconstateerd dat gemeenten vaak nog te ongestructureerd werken aan informatieveiligheid. Uitvoering staat in de dagelijkse werkzaamheden voorop en het aanbrengen van structuur wordt hierbij vaak vergeten. Het is dan ook raadzaam om te werken volgens een vastgesteld informatiebeveiligingsbeleid, een jaarlijks op te stellen informatiebeveiligingsplan en een structurele verantwoordingslijn. Vanzelfsprekend dien je ook te toetsen of maatregelen de geïdentificeerde risico’s voldoende afdekken. Op basis daarvan dien je mogelijk je beleid en (vooral) je plan bij te stellen. Ofwel: een plan-do-check-act cyclus.

3. Openheid doet pijn en.. het helpt enorm

Bij het onderwerp informatieveiligheid bestaat er logischerwijs een spanning tussen de openheid die nodig is om te kunnen leren en de geslotenheid die nodig is om juist bescherming te bieden tegen dreigingen. Toch is een meer open houding noodzakelijk, omdat dit leidt tot een versnelling in het leren. Een goed ingericht en onderhouden Information Security Management Systeem (ISMS) zal daar zeker aan bijdragen. Belangrijk is dan wel dat je de gehele plan-do-check-act cyclus doorloopt en niet blijft hangen in ‘plan’ en ‘do’. Transparant zijn over incidenten helpt, leer ervan en realiseer en accepteer dat de risico’s niet geheel zijn uit te sluiten. Een actieve communicatie over de risico’s en incidenten draagt bij aan het besef dat 100% veilig niet mogelijk is. Meer openheid zal leiden tot een versnelling van het leren, door het delen van kennis en het samen leren van incidenten.

Informatieveiligheid vergt continu onderhoud

Het werken aan informatieveiligheid is dus ‘nooit af’. Een gevaar van die constatering is dat het beeld kan ontstaan dat er de afgelopen jaren te weinig gebeurd is bij gemeenten. Net als de commissie ben ik van mening dat dit zeker niet het geval is. Er gebeurt veel, maar omgekeerd geldt ook dat er evenveel nieuwe ontwikkelingen op gemeenten af zullen blijven komen. Vandaag.. en morgen. Ontwikkelingen die ervoor zorgen dat gemeenten dus geen rust kunnen nemen als het gaat om het onderwerp informatieveiligheid. Kortom, ‘schouders eronder en recht zo die gaat!’

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…