Skip to main content

Leunen op de horizontale ENSIA verantwoording?


Eerder deze maand startte de nieuwe ENSIA verantwoordingscyclus. De vragenlijsten staan weer open, gebruikers dienen nieuwe rechten te krijgen en de ENSIA coördinator heeft even een piek in z’n werkzaamheden. Tijdens het VNG Realisatie (mini)congres ‘Slim Verantwoorden’ half juni mocht ik discussiëren met andere ENSIA coördinatoren over de volgordelijkheid van verantwoorden. Eerst verticaal of eerst horizontaal? Überhaupt beide?

Ervaringen uit het eerste jaar

Mocht je zelf ENSIA coördinator zijn, dan ga ik je niet verrassen. Het eerste jaar ENSIA was ‘enerverend’, het kostte meer tijd en moeite dan aanvankelijk gedacht. Dat geldt overigens ook voor de totstandkoming. Er werd relatief vaak gebruik gemaakt van het formulier om een nieuwe coördinator door te geven. Dat zegt iets. De beoogde opbrengst zoals verwoord in de resolutie is er nog niet. De genoemde 15% reductie in het aantal vragen kon niet compenseren voor de nieuwe manier van verantwoorden, wat “toch wel wennen was”. Ik schreef er vorig jaar juni al over. Wijzigingen gaandeweg het jaar droegen bij aan verwarring.

Fijn dat het allemaal dit jaar grotendeels hetzelfde blijft. Even op adem komen. De BAG en BGT zijn weliswaar niet meer optioneel, maar met een deelname percentage van 93% namen we dat in 2017 al aardig serieus. Ben benieuwd of dat ook gaat gelden voor de kersverse BRO in ENSIA. Vooral eenzelfde scope van de IT audit zal tot een opgeluchte zucht hebben geleid bij menig collega. Bij mij wel in ieder geval. Maar dan nu: 2018.

De AVG in ENSIA

Onder de bezielende leiding van Kees Hintzbergen ging we in Lagerhuis stijl in discussie over de privacy-vragen die nu onderdeel uitmaken van ENSIA. Klopt dat wel? We hebben immers niet aan de verticale toezichthouders te verantwoorden over de AVG naleving, of wel? Daar hebben we een Autoriteit Persoonsgegevens voor. Enfin, als je daar over heen stapt kan je nog vraagtekens stellen bij de plaats van deze vragen binnen ENSIA. Wetende dat je er weliswaar gemakkelijk op kunt filteren, net als bijv. Suwinet, BRP of PUN, is het opmerkelijk dat de privacy-vragen juist hier geland zijn. Welke bril hebben we op?

Mijn opvatting is dat de privacy-vragen ook net zo goed als ‘domeinvragenlijst’ konden worden opgenomen. En de purist zal stellen dat je de vragenlijst dan ook nog optioneel zou moeten maken. Navraag leert echter wel dat dit verzoek naar vragen over de AVG vanuit de gemeenten zelf komt. En over de locatie van de vragen is intern ook flink gesteggeld. Wat dat betreft gaat de VNG niet over één nacht ijs. Het leverde in ieder geval wel een geslaagd ‘debat’ op waar ik soms Kees meende te zien genieten 😉

Verticaal, maar ook horizontaal?

De ENSIA plaatjes over horizontale en verticale verantwoording kunnen de coördinatoren inmiddels wel dromen, denk ik. Denk je: huh? Bekijk dan deze pagina. Het idee is dat we met ENSIA twee vliegen inéén klap slaan. Enerzijds zijn we wettelijk verplicht te verantwoorden op basis van diverse normenkaders richting toezichthouders (=verticaal) en anderzijds dient de gemeenteraad meer in positie te komen als toezichthouder (=horizontaal). Ik meen dat dit middels ENSIA te bereiken is, maar met name op de horizontale verantwoording is nog wel wat te winnen. Daarover lees je ook in dit artikel in het DA2020 magazine.

De bestuurlijk verankering laat grosso modo nog wel even op zich wachten. Auditor BDO publiceerde er een whitepaper over. Soms helpt het om een oudere blog te lezen om vervolgens vast te stellen dat we wel degelijk goed vooruit gaan. Maar ook op het congres ‘Slim Verantwoorden’ proefde ik hoofdzakelijk een positief-kritische houding en zo omschrijf ik die van mezelf ook het liefst. Voor een voorbeeld van verantwoording richting de gemeenteraad kan je trouwens hier kijken.

Leunen op de horizontale verantwoording

Tot slot de hamvraag: gaan we toe naar een situatie waarin de verticale toezichthouders volledig kunnen leunen op de horizontale verantwoording richting de gemeenteraad? Mijn huidige standpunt zal je niet verassen: nee, ik denk het niet voorlopig. Onze geloofwaardigheid is hier beperkt; neem Suwinet (check deze blog, en ook deze). Met een gemeenteraad die haar sturende en toezichthoudende rol nog maar beperkt pakt (en ook maar beperkt kán pakken) heb ik begrip voor verticale toezichthouders die een vinger aan de pols wensen te houden. Maar de AVG compliance gaat ze, zogezegd, weinig aan (vanuit die rol bezien). Dat punt maak ik graag nogmaals. Richting de gemeenteraad is een ander verhaal natuurlijk.

Tijdens het congres bleek echter wel dat lang niet iedereen dit pragmatische standpunt kan waarderen. Er valt wat voor de zeggen dat met de instandhouding van het verticale toezicht, het horizontale toezicht voorlopig een ondergeschoven kind blijft. Maar vergeet niet dat de ENSIA verantwoordingssystematiek voor ons relatief nieuw is en dat voor een raadslid het gehele onderwerp informatiebeveiliging relatief nieuw zal zijn. Ik meen dat we als gemeenten voorlopig nog wel vastzitten aan verticaal toezicht op dit thema. En ik vind dat prima. Jij?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.

Belangrijke vaardigheden voor een succesvolle Privacy Officer

Om de privacydoelen van de gemeente te bereiken en een succesvolle Privacy Officer te zijn, moet je over een aantal essentiële basisvaardigheden beschikken.

KPI’s in informatiebeveiliging

Om de effectiviteit van informatiebeveiliging te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het belangrijk om regelmatig te monitoren en te meten hoe het ervoor staat. Dit kan aan de hand van Key Performan…

Dataminimalisatie: waarom minder soms meer is.

: In de digitale wereld waarin we leven, verzamelen we een enorme hoeveelheid gegevens. Maar in deze tijd van dataverzameling is er gelukkig ook een AVG-principe dat steeds meer aandacht krijgt: gegevensminimalisatie.

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…