Skip to main content

Informatiebeveiliging en privacy als businessvraagstuk


De maatschappij is steeds verder aan het digitaliseren en ook gemeenten moeten hierin meegaan. De druk op gemeenten en andere publieke organisaties om de informatiebeveiliging en privacy op orde te hebben, wordt daarmee steeds groter. Zo ook bij de gemeente Assen, waar de Rekenkamer onlangs het rapport informatieveiligheid heeft gepresenteerd. De resultaten van het rapport tonen aan dat er ruimte is voor verbetering. Dit zal waarschijnlijk

voor (veel) meer gemeenten gelden. Om er zeker van te zijn dat informatiebeveiliging en privacy van een gemeente voldoen aan de landelijke normen en wetten, adviseer ik om beide topics als businessvraagstuk op te pakken.

Voorbeeldrol

Als het gaat om de digitalisering van de maatschappij hebben alle overheden, ook gemeenten, een voorbeeldrol als het gaat om betrouwbare (digitale) dienstverlening. Burgers en bedrijven moeten zaken met de overheid veilig online kunnen doen. Informatie moet online beschikbaar zijn en de uitwisseling van gegevens goed beveiligd. De gemeente Assen beseft dit maar al te goed en heeft onlangs een verzoek voor extra financiële middelen ingediend om privacy en informatiebeveiliging binnen de gemeente te verbeteren. Er is incidenteel budget gevraagd voor een project en structureel meer budget voor informatiebeveiliging en privacy.
Hiermee gaat de gemeente onder andere een een plan van aanpak opstellen om de informatiebeveiliging van de gemeente te verbeteren aan de hand van de Baseline Informatiebeveiliging Gemeenten (BIG). Een goede zet naar mijn idee, al had de gemeente daar bij een eerder, vergelijkbaar rapport al mee moeten starten. Aan de hand van het plan van de gemeente wil ik toch een aantal kanttekeningen plaatsen.

Informatiebeveiliging versus privacy

In veel beleidsplannen worden informatiebeveiliging en privacy onder één noemer geplaatst. Toch is privacy een ander vraagstuk dan informatiebeveiliging. Beide vraagstukken zijn nauw met elkaar verbonden, maar vragen naar mijn mening een andere aanpak. Het plan van de gemeente Assen toont aan dat er binnen de gemeente geen formele plek is waar privacy belegd is of kan worden. Privacy én informatiebeveiliging zijn hier ondergebracht bij de afdeling IT. Een keuze die veel andere gemeenten ook hebben gemaakt.
Vermoedelijk maken zij deze keuze omdat informatie voornamelijk is opgeslagen in (technische) systemen. Een verstandige keuze? Naar mijn idee niet. Digitalisering is inmiddels zo diep in onze maatschappij doorgedrongen dat het nu cruciaal deel uit moet maken van het primaire organisatieproces. Het is daarmee een businessvraagstuk geworden. Hiervoor pleit ook Petra Oldengarm, directeur van de onlangs opgerichte brancheorganisatie Cyberveilig Nederland. Informatie is namelijk pas echt ‘veilig’ als de mensen in de organisatie op de juiste manier omgaan met de technische en organisatorische maatregelen.

Bewustzijn vraagt cultuurverandering

Juist omdat informatiebeveiliging en privacy nu deel uit moeten maken van het primaire organisatieproces, vraagt dit om een cultuurverandering in de organisatie. De meeste incidenten op het vlak van informatiebeveiliging en privacy worden namelijk nog steeds veroorzaakt door menselijke fouten. Bewustwording van de risico’s die er zijn, is daarom van essentieel belang voor een optimale informatieveiligheid in de organisatie. Wat je vaak ziet is dat bewustwording wordt gedegradeerd tot het “locken van je scherm” wanneer je van je werkplek weg loopt. Ervaring leert dat informatieveiligheid pas echt wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico’s. Daar zit de echte oplossing. Dit vraagt om een verscherping van het bewustzijn en concrete sturing op zowel informatiebeveiliging als privacy. Dit bewustzijn moet tussen de oren van alle medewerkers komen. Met alleen een cursus, e-learning of workshop bereik je dat niet; het vraagt om een cultuurverandering in de organisatie. Een cultuur waarin commitment en voorbeeldgedrag van leidinggevenden centraal staan en waar het onderwerp besproken wordt in werkoverleggen en informele en formele gesprekken. Vragen over informatiebeveiliging en privacy worden nu al snel als (vooral) ‘technisch’ bestempeld en zijn daarmee vaak ongrijpbaar voor iemand die geen of weinig verstand heeft van techniek. In mijn optiek hoef je hiervoor echt geen specialist te zijn.

Weinig diepgang

Het mag duidelijk zijn dat de topics informatiebeveiliging en privacy voor veel gemeenten nog ongrijpbaar zijn, juist omdat beide onderwerpen als iets technisch worden ervaren. Ze zijn veelal bij een IT-afdeling belegd en maken (nog) geen onderdeel uit van het primaire organisatieproces. Daardoor worden de onderwerpen vaak te globaal en onvoldoende diepgang in een gemeenteraad besproken.
In het voorbeeld van de gemeente Assen geeft de gemeenteraad aan dat de informatiebeveiliging binnen de gemeente eind 2018 op orde moet zijn. Ook wil de raad dat de minimale privacyactiviteiten voor 25 mei a.s. zijn geïmplementeerd, want dan treedt immers de AVG in werking. Wat dit nu precies inhoudt, blijft onduidelijk.

Conclusie

Laten we hopen dat ENSIA de raad de mogelijkheid geeft om de rol als interne toezichthouder beter op te pakken en dat het handvatten geeft om betere sturing te geven aan informatiebeveiliging en privacy. Dat zal een positieve invloed hebben op de aandacht die er vanuit de ambtelijke organisatie is voor beide thema’s. En dan worden informatiebeveiliging en privacy straks alsnog als businessvraagstuk gezien.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…