Heeft jouw gemeente het lef om te leren?


De afgelopen twee jaar heeft de VNG Visitatiecommissie Informatieveiligheid 120 gemeenten bezocht om het gesprek aan te gaan over informatieveiligheid. Op 28 september jl. heeft zij haar eindrapport ‘Durven leren’ met daarin niet één maar een dozijn aan boodschappen gepresenteerd. Je leest het goed, twaalf boodschappen op een rij die ik in deze blog graag voor je samenvat tot een top 3. Zo hoef jij het hele rapport niet te lezen, maar

ben je toch snel op de hoogte van de inhoud.

Top 3

De Visitatiecommissie is het gesprek aangegaan met gemeenten om een drietal zaken voor het voetlicht te brengen: het belang van de gemeentelijke aandacht voor informatieveiligheid, het bieden van een gemeentelijk handelingsperspectief én, niet onbelangrijk, toetsen of verplichtende zelfregulering in de gemeentelijke praktijk van alle dag ook echt werkt. Kortom, geen klassieke visitatiecommissie, maar een commissie die het leren van gemeenten wil en ook moet bevorderen. Als je achter de 12 boodschappen die zij in haar eindrapport gepresenteerd heeft kijkt, komen voor mij drie zaken scherp naar voren:

  1. Goed voorbeeld doet nog steeds volgen
  2. Het leggen van verbinding en verbanden is cruciaal
  3. Openheid doet pijn en.. het helpt enorm

1. Goed voorbeeld doet nog steeds volgen

De verantwoordelijkheid van gemeenten voor informatieveiligheid geldt over de gehele linie, van inhuurkracht tot raadslid, van leveranciers tot ketenpartners en vanuit diverse samenwerkingsverbanden. Het vergt een enorme inspanning om deze verantwoordelijkheid waar te maken. Actieve betrokkenheid van het gemeentebestuur is belangrijk voor de prioriteitstelling binnen de gemeentelijke organisatie en tussen gemeenten in samenwerkingsverbanden. Net als de positionering van de CISO in de organisatie. In het algemeen moet er meer bestuurlijke aandacht voor informatieveiligheid zijn. De introductie van de Eenduidige Normatiek Single Information Audit (ENSIA) maakt dit nóg meer noodzakelijk, dit om te voorkomen dat je als gemeente onvoldoende doet op dit beleidsterrein.

2. Het leggen van verbinding en verbanden is cruciaal

Het bewustzijn en het kennisniveau is de afgelopen jaren gegroeid, maar nog te vaak blijken gemeenten het wiel opnieuw uit te vinden. Kortom, het uitwisselen van kennis tussen gemeenten dient niet alleen gestimuleerd te worden vanuit gemeenten zelf, maar dient zeker ook gefaciliteerd te worden vanuit andere organisaties, zoals de IBD dit doet op de IBD-community. Gemeenten kunnen veel van elkaar leren, maar dat doen ze op dit moment nog te weinig, aldus de Visitatiecommissie. Het uitwisselen van kennis in landelijke en regionale netwerken moet veel structureler worden. De commissie ziet hiervoor overigens een breed draagvlak en roept VNG op om in het kader van Samen organiseren ook wat betreft het onderwerp informatieveiligheid een stimulerende en coördinerende rol te vervullen. Net zo belangrijk, en dat is een tweede boodschap van de commissie, is het leggen van verbinding tussen de verschillende onderwerpen als het gaat om bewustzijn op informatieveiligheidsvlak, denk bijvoorbeeld aan integriteit en privacy. Dit helpt gemeenten niet alleen om de aandacht te richten, maar ook om bewust keuzes te maken. Het is daarom van belang dat de aandacht voor informatieveiligheid structureel is. Tenslotte is het geen eenmalig project, maar een continu proces, een leven lang leren.

Van chaos naar orde

De Visitatiecommissie heeft niet voor niets geconstateerd dat gemeenten vaak nog te ongestructureerd werken aan informatieveiligheid. Uitvoering staat in de dagelijkse werkzaamheden voorop en het aanbrengen van structuur wordt hierbij vaak vergeten. Het is dan ook raadzaam om te werken volgens een vastgesteld informatiebeveiligingsbeleid, een jaarlijks op te stellen informatiebeveiligingsplan en een structurele verantwoordingslijn. Vanzelfsprekend dien je ook te toetsen of maatregelen de geïdentificeerde risico’s voldoende afdekken. Op basis daarvan dien je mogelijk je beleid en (vooral) je plan bij te stellen. Ofwel: een plan-do-check-act cyclus.

3. Openheid doet pijn en.. het helpt enorm

Bij het onderwerp informatieveiligheid bestaat er logischerwijs een spanning tussen de openheid die nodig is om te kunnen leren en de geslotenheid die nodig is om juist bescherming te bieden tegen dreigingen. Toch is een meer open houding noodzakelijk, omdat dit leidt tot een versnelling in het leren. Een goed ingericht en onderhouden Information Security Management Systeem (ISMS) zal daar zeker aan bijdragen. Belangrijk is dan wel dat je de gehele plan-do-check-act cyclus doorloopt en niet blijft hangen in ‘plan’ en ‘do’. Transparant zijn over incidenten helpt, leer ervan en realiseer en accepteer dat de risico’s niet geheel zijn uit te sluiten. Een actieve communicatie over de risico’s en incidenten draagt bij aan het besef dat 100% veilig niet mogelijk is. Meer openheid zal leiden tot een versnelling van het leren, door het delen van kennis en het samen leren van incidenten.

Informatieveiligheid vergt continu onderhoud

Het werken aan informatieveiligheid is dus ‘nooit af’. Een gevaar van die constatering is dat het beeld kan ontstaan dat er de afgelopen jaren te weinig gebeurd is bij gemeenten. Net als de commissie ben ik van mening dat dit zeker niet het geval is. Er gebeurt veel, maar omgekeerd geldt ook dat er evenveel nieuwe ontwikkelingen op gemeenten af zullen blijven komen. Vandaag.. en morgen. Ontwikkelingen die ervoor zorgen dat gemeenten dus geen rust kunnen nemen als het gaat om het onderwerp informatieveiligheid. Kortom, ‘schouders eronder en recht zo die gaat!’

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in

De rol van de OR bij privacy op de werkvloer

De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?