Leunen op de horizontale ENSIA verantwoording?


Eerder deze maand startte de nieuwe ENSIA verantwoordingscyclus. De vragenlijsten staan weer open, gebruikers dienen nieuwe rechten te krijgen en de ENSIA coördinator heeft even een piek in z’n werkzaamheden. Tijdens het VNG Realisatie (mini)congres ‘Slim Verantwoorden’ half juni mocht ik discussiëren met andere ENSIA coördinatoren over de volgordelijkheid van verantwoorden. Eerst verticaal of eerst horizontaal? Überhaupt beide?

Ervaringen uit het eerste jaar

Mocht je zelf ENSIA coördinator zijn, dan ga ik je niet verrassen. Het eerste jaar ENSIA was ‘enerverend’, het kostte meer tijd en moeite dan aanvankelijk gedacht. Dat geldt overigens ook voor de totstandkoming. Er werd relatief vaak gebruik gemaakt van het formulier om een nieuwe coördinator door te geven. Dat zegt iets. De beoogde opbrengst zoals verwoord in de resolutie is er nog niet. De genoemde 15% reductie in het aantal vragen kon niet compenseren voor de nieuwe manier van verantwoorden, wat “toch wel wennen was”. Ik schreef er vorig jaar juni al over. Wijzigingen gaandeweg het jaar droegen bij aan verwarring.

Fijn dat het allemaal dit jaar grotendeels hetzelfde blijft. Even op adem komen. De BAG en BGT zijn weliswaar niet meer optioneel, maar met een deelname percentage van 93% namen we dat in 2017 al aardig serieus. Ben benieuwd of dat ook gaat gelden voor de kersverse BRO in ENSIA. Vooral eenzelfde scope van de IT audit zal tot een opgeluchte zucht hebben geleid bij menig collega. Bij mij wel in ieder geval. Maar dan nu: 2018.

De AVG in ENSIA

Onder de bezielende leiding van Kees Hintzbergen ging we in Lagerhuis stijl in discussie over de privacy-vragen die nu onderdeel uitmaken van ENSIA. Klopt dat wel? We hebben immers niet aan de verticale toezichthouders te verantwoorden over de AVG naleving, of wel? Daar hebben we een Autoriteit Persoonsgegevens voor. Enfin, als je daar over heen stapt kan je nog vraagtekens stellen bij de plaats van deze vragen binnen ENSIA. Wetende dat je er weliswaar gemakkelijk op kunt filteren, net als bijv. Suwinet, BRP of PUN, is het opmerkelijk dat de privacy-vragen juist hier geland zijn. Welke bril hebben we op?

Mijn opvatting is dat de privacy-vragen ook net zo goed als ‘domeinvragenlijst’ konden worden opgenomen. En de purist zal stellen dat je de vragenlijst dan ook nog optioneel zou moeten maken. Navraag leert echter wel dat dit verzoek naar vragen over de AVG vanuit de gemeenten zelf komt. En over de locatie van de vragen is intern ook flink gesteggeld. Wat dat betreft gaat de VNG niet over één nacht ijs. Het leverde in ieder geval wel een geslaagd ‘debat’ op waar ik soms Kees meende te zien genieten 😉

Verticaal, maar ook horizontaal?

De ENSIA plaatjes over horizontale en verticale verantwoording kunnen de coördinatoren inmiddels wel dromen, denk ik. Denk je: huh? Bekijk dan deze pagina. Het idee is dat we met ENSIA twee vliegen inéén klap slaan. Enerzijds zijn we wettelijk verplicht te verantwoorden op basis van diverse normenkaders richting toezichthouders (=verticaal) en anderzijds dient de gemeenteraad meer in positie te komen als toezichthouder (=horizontaal). Ik meen dat dit middels ENSIA te bereiken is, maar met name op de horizontale verantwoording is nog wel wat te winnen. Daarover lees je ook in dit artikel in het DA2020 magazine.

De bestuurlijk verankering laat grosso modo nog wel even op zich wachten. Auditor BDO publiceerde er een whitepaper over. Soms helpt het om een oudere blog te lezen om vervolgens vast te stellen dat we wel degelijk goed vooruit gaan. Maar ook op het congres ‘Slim Verantwoorden’ proefde ik hoofdzakelijk een positief-kritische houding en zo omschrijf ik die van mezelf ook het liefst. Voor een voorbeeld van verantwoording richting de gemeenteraad kan je trouwens hier kijken.

Leunen op de horizontale verantwoording

Tot slot de hamvraag: gaan we toe naar een situatie waarin de verticale toezichthouders volledig kunnen leunen op de horizontale verantwoording richting de gemeenteraad? Mijn huidige standpunt zal je niet verassen: nee, ik denk het niet voorlopig. Onze geloofwaardigheid is hier beperkt; neem Suwinet (check deze blog, en ook deze). Met een gemeenteraad die haar sturende en toezichthoudende rol nog maar beperkt pakt (en ook maar beperkt kán pakken) heb ik begrip voor verticale toezichthouders die een vinger aan de pols wensen te houden. Maar de AVG compliance gaat ze, zogezegd, weinig aan (vanuit die rol bezien). Dat punt maak ik graag nogmaals. Richting de gemeenteraad is een ander verhaal natuurlijk.

Tijdens het congres bleek echter wel dat lang niet iedereen dit pragmatische standpunt kan waarderen. Er valt wat voor de zeggen dat met de instandhouding van het verticale toezicht, het horizontale toezicht voorlopig een ondergeschoven kind blijft. Maar vergeet niet dat de ENSIA verantwoordingssystematiek voor ons relatief nieuw is en dat voor een raadslid het gehele onderwerp informatiebeveiliging relatief nieuw zal zijn. Ik meen dat we als gemeenten voorlopig nog wel vastzitten aan verticaal toezicht op dit thema. En ik vind dat prima. Jij?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.

10 veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen

Tien veelgemaakte fouten bij het configureren, beheren en beveiligen van systemen zorgen ervoor dat cybercriminelen nog altijd weten in te breken bij organisaties en toegang krijgen tot netwerken en data. Welke tien fouten zijn dit en hoe kan je d…

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!