Skip to main content

Informatiebeveiliging en privacy als businessvraagstuk


De maatschappij is steeds verder aan het digitaliseren en ook gemeenten moeten hierin meegaan. De druk op gemeenten en andere publieke organisaties om de informatiebeveiliging en privacy op orde te hebben, wordt daarmee steeds groter. Zo ook bij de gemeente Assen, waar de Rekenkamer onlangs het rapport informatieveiligheid heeft gepresenteerd. De resultaten van het rapport tonen aan dat er ruimte is voor verbetering. Dit zal waarschijnlijk

voor (veel) meer gemeenten gelden. Om er zeker van te zijn dat informatiebeveiliging en privacy van een gemeente voldoen aan de landelijke normen en wetten, adviseer ik om beide topics als businessvraagstuk op te pakken.

Voorbeeldrol

Als het gaat om de digitalisering van de maatschappij hebben alle overheden, ook gemeenten, een voorbeeldrol als het gaat om betrouwbare (digitale) dienstverlening. Burgers en bedrijven moeten zaken met de overheid veilig online kunnen doen. Informatie moet online beschikbaar zijn en de uitwisseling van gegevens goed beveiligd. De gemeente Assen beseft dit maar al te goed en heeft onlangs een verzoek voor extra financiële middelen ingediend om privacy en informatiebeveiliging binnen de gemeente te verbeteren. Er is incidenteel budget gevraagd voor een project en structureel meer budget voor informatiebeveiliging en privacy.
Hiermee gaat de gemeente onder andere een een plan van aanpak opstellen om de informatiebeveiliging van de gemeente te verbeteren aan de hand van de Baseline Informatiebeveiliging Gemeenten (BIG). Een goede zet naar mijn idee, al had de gemeente daar bij een eerder, vergelijkbaar rapport al mee moeten starten. Aan de hand van het plan van de gemeente wil ik toch een aantal kanttekeningen plaatsen.

Informatiebeveiliging versus privacy

In veel beleidsplannen worden informatiebeveiliging en privacy onder één noemer geplaatst. Toch is privacy een ander vraagstuk dan informatiebeveiliging. Beide vraagstukken zijn nauw met elkaar verbonden, maar vragen naar mijn mening een andere aanpak. Het plan van de gemeente Assen toont aan dat er binnen de gemeente geen formele plek is waar privacy belegd is of kan worden. Privacy én informatiebeveiliging zijn hier ondergebracht bij de afdeling IT. Een keuze die veel andere gemeenten ook hebben gemaakt.
Vermoedelijk maken zij deze keuze omdat informatie voornamelijk is opgeslagen in (technische) systemen. Een verstandige keuze? Naar mijn idee niet. Digitalisering is inmiddels zo diep in onze maatschappij doorgedrongen dat het nu cruciaal deel uit moet maken van het primaire organisatieproces. Het is daarmee een businessvraagstuk geworden. Hiervoor pleit ook Petra Oldengarm, directeur van de onlangs opgerichte brancheorganisatie Cyberveilig Nederland. Informatie is namelijk pas echt ‘veilig’ als de mensen in de organisatie op de juiste manier omgaan met de technische en organisatorische maatregelen.

Bewustzijn vraagt cultuurverandering

Juist omdat informatiebeveiliging en privacy nu deel uit moeten maken van het primaire organisatieproces, vraagt dit om een cultuurverandering in de organisatie. De meeste incidenten op het vlak van informatiebeveiliging en privacy worden namelijk nog steeds veroorzaakt door menselijke fouten. Bewustwording van de risico’s die er zijn, is daarom van essentieel belang voor een optimale informatieveiligheid in de organisatie. Wat je vaak ziet is dat bewustwording wordt gedegradeerd tot het “locken van je scherm” wanneer je van je werkplek weg loopt. Ervaring leert dat informatieveiligheid pas echt wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico’s. Daar zit de echte oplossing. Dit vraagt om een verscherping van het bewustzijn en concrete sturing op zowel informatiebeveiliging als privacy. Dit bewustzijn moet tussen de oren van alle medewerkers komen. Met alleen een cursus, e-learning of workshop bereik je dat niet; het vraagt om een cultuurverandering in de organisatie. Een cultuur waarin commitment en voorbeeldgedrag van leidinggevenden centraal staan en waar het onderwerp besproken wordt in werkoverleggen en informele en formele gesprekken. Vragen over informatiebeveiliging en privacy worden nu al snel als (vooral) ‘technisch’ bestempeld en zijn daarmee vaak ongrijpbaar voor iemand die geen of weinig verstand heeft van techniek. In mijn optiek hoef je hiervoor echt geen specialist te zijn.

Weinig diepgang

Het mag duidelijk zijn dat de topics informatiebeveiliging en privacy voor veel gemeenten nog ongrijpbaar zijn, juist omdat beide onderwerpen als iets technisch worden ervaren. Ze zijn veelal bij een IT-afdeling belegd en maken (nog) geen onderdeel uit van het primaire organisatieproces. Daardoor worden de onderwerpen vaak te globaal en onvoldoende diepgang in een gemeenteraad besproken.
In het voorbeeld van de gemeente Assen geeft de gemeenteraad aan dat de informatiebeveiliging binnen de gemeente eind 2018 op orde moet zijn. Ook wil de raad dat de minimale privacyactiviteiten voor 25 mei a.s. zijn geïmplementeerd, want dan treedt immers de AVG in werking. Wat dit nu precies inhoudt, blijft onduidelijk.

Conclusie

Laten we hopen dat ENSIA de raad de mogelijkheid geeft om de rol als interne toezichthouder beter op te pakken en dat het handvatten geeft om betere sturing te geven aan informatiebeveiliging en privacy. Dat zal een positieve invloed hebben op de aandacht die er vanuit de ambtelijke organisatie is voor beide thema’s. En dan worden informatiebeveiliging en privacy straks alsnog als businessvraagstuk gezien.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…