Eerder deze maand startte de nieuwe ENSIA verantwoordingscyclus. De vragenlijsten staan weer open, gebruikers dienen nieuwe rechten te krijgen en de ENSIA coördinator heeft even een piek in z’n werkzaamheden. Tijdens het VNG Realisatie (mini)congres ‘Slim Verantwoorden’ half juni mocht ik discussiëren met andere ENSIA coördinatoren over de volgordelijkheid van verantwoorden. Eerst verticaal of eerst horizontaal? Überhaupt beide?

Ervaringen uit het eerste jaar

Mocht je zelf ENSIA coördinator zijn, dan ga ik je niet verrassen. Het eerste jaar ENSIA was ‘enerverend’, het kostte meer tijd en moeite dan aanvankelijk gedacht. Dat geldt overigens ook voor de totstandkoming. Er werd relatief vaak gebruik gemaakt van het formulier om een nieuwe coördinator door te geven. Dat zegt iets. De beoogde opbrengst zoals verwoord in de resolutie is er nog niet. De genoemde 15% reductie in het aantal vragen kon niet compenseren voor de nieuwe manier van verantwoorden, wat “toch wel wennen was”. Ik schreef er vorig jaar juni al over. Wijzigingen gaandeweg het jaar droegen bij aan verwarring.

Fijn dat het allemaal dit jaar grotendeels hetzelfde blijft. Even op adem komen. De BAG en BGT zijn weliswaar niet meer optioneel, maar met een deelname percentage van 93% namen we dat in 2017 al aardig serieus. Ben benieuwd of dat ook gaat gelden voor de kersverse BRO in ENSIA. Vooral eenzelfde scope van de IT audit zal tot een opgeluchte zucht hebben geleid bij menig collega. Bij mij wel in ieder geval. Maar dan nu: 2018.

De AVG in ENSIA

Onder de bezielende leiding van Kees Hintzbergen ging we in Lagerhuis stijl in discussie over de privacy-vragen die nu onderdeel uitmaken van ENSIA. Klopt dat wel? We hebben immers niet aan de verticale toezichthouders te verantwoorden over de AVG naleving, of wel? Daar hebben we een Autoriteit Persoonsgegevens voor. Enfin, als je daar over heen stapt kan je nog vraagtekens stellen bij de plaats van deze vragen binnen ENSIA. Wetende dat je er weliswaar gemakkelijk op kunt filteren, net als bijv. Suwinet, BRP of PUN, is het opmerkelijk dat de privacy-vragen juist hier geland zijn. Welke bril hebben we op?

Mijn opvatting is dat de privacy-vragen ook net zo goed als ‘domeinvragenlijst’ konden worden opgenomen. En de purist zal stellen dat je de vragenlijst dan ook nog optioneel zou moeten maken. Navraag leert echter wel dat dit verzoek naar vragen over de AVG vanuit de gemeenten zelf komt. En over de locatie van de vragen is intern ook flink gesteggeld. Wat dat betreft gaat de VNG niet over één nacht ijs. Het leverde in ieder geval wel een geslaagd ‘debat’ op waar ik soms Kees meende te zien genieten 😉

Verticaal, maar ook horizontaal?

De ENSIA plaatjes over horizontale en verticale verantwoording kunnen de coördinatoren inmiddels wel dromen, denk ik. Denk je: huh? Bekijk dan deze pagina. Het idee is dat we met ENSIA twee vliegen inéén klap slaan. Enerzijds zijn we wettelijk verplicht te verantwoorden op basis van diverse normenkaders richting toezichthouders (=verticaal) en anderzijds dient de gemeenteraad meer in positie te komen als toezichthouder (=horizontaal). Ik meen dat dit middels ENSIA te bereiken is, maar met name op de horizontale verantwoording is nog wel wat te winnen. Daarover lees je ook in dit artikel in het DA2020 magazine.

De bestuurlijk verankering laat grosso modo nog wel even op zich wachten. Auditor BDO publiceerde er een whitepaper over. Soms helpt het om een oudere blog te lezen om vervolgens vast te stellen dat we wel degelijk goed vooruit gaan. Maar ook op het congres ‘Slim Verantwoorden’ proefde ik hoofdzakelijk een positief-kritische houding en zo omschrijf ik die van mezelf ook het liefst. Voor een voorbeeld van verantwoording richting de gemeenteraad kan je trouwens hier kijken.

Leunen op de horizontale verantwoording

Tot slot de hamvraag: gaan we toe naar een situatie waarin de verticale toezichthouders volledig kunnen leunen op de horizontale verantwoording richting de gemeenteraad? Mijn huidige standpunt zal je niet verassen: nee, ik denk het niet voorlopig. Onze geloofwaardigheid is hier beperkt; neem Suwinet (check deze blog, en ook deze). Met een gemeenteraad die haar sturende en toezichthoudende rol nog maar beperkt pakt (en ook maar beperkt kán pakken) heb ik begrip voor verticale toezichthouders die een vinger aan de pols wensen te houden. Maar de AVG compliance gaat ze, zogezegd, weinig aan (vanuit die rol bezien). Dat punt maak ik graag nogmaals. Richting de gemeenteraad is een ander verhaal natuurlijk.

Tijdens het congres bleek echter wel dat lang niet iedereen dit pragmatische standpunt kan waarderen. Er valt wat voor de zeggen dat met de instandhouding van het verticale toezicht, het horizontale toezicht voorlopig een ondergeschoven kind blijft. Maar vergeet niet dat de ENSIA verantwoordingssystematiek voor ons relatief nieuw is en dat voor een raadslid het gehele onderwerp informatiebeveiliging relatief nieuw zal zijn. Ik meen dat we als gemeenten voorlopig nog wel vastzitten aan verticaal toezicht op dit thema. En ik vind dat prima. Jij?