Leunen op de horizontale ENSIA verantwoording?


Eerder deze maand startte de nieuwe ENSIA verantwoordingscyclus. De vragenlijsten staan weer open, gebruikers dienen nieuwe rechten te krijgen en de ENSIA coördinator heeft even een piek in z’n werkzaamheden. Tijdens het VNG Realisatie (mini)congres ‘Slim Verantwoorden’ half juni mocht ik discussiëren met andere ENSIA coördinatoren over de volgordelijkheid van verantwoorden. Eerst verticaal of eerst horizontaal? Überhaupt beide?

Ervaringen uit het eerste jaar

Mocht je zelf ENSIA coördinator zijn, dan ga ik je niet verrassen. Het eerste jaar ENSIA was ‘enerverend’, het kostte meer tijd en moeite dan aanvankelijk gedacht. Dat geldt overigens ook voor de totstandkoming. Er werd relatief vaak gebruik gemaakt van het formulier om een nieuwe coördinator door te geven. Dat zegt iets. De beoogde opbrengst zoals verwoord in de resolutie is er nog niet. De genoemde 15% reductie in het aantal vragen kon niet compenseren voor de nieuwe manier van verantwoorden, wat “toch wel wennen was”. Ik schreef er vorig jaar juni al over. Wijzigingen gaandeweg het jaar droegen bij aan verwarring.

Fijn dat het allemaal dit jaar grotendeels hetzelfde blijft. Even op adem komen. De BAG en BGT zijn weliswaar niet meer optioneel, maar met een deelname percentage van 93% namen we dat in 2017 al aardig serieus. Ben benieuwd of dat ook gaat gelden voor de kersverse BRO in ENSIA. Vooral eenzelfde scope van de IT audit zal tot een opgeluchte zucht hebben geleid bij menig collega. Bij mij wel in ieder geval. Maar dan nu: 2018.

De AVG in ENSIA

Onder de bezielende leiding van Kees Hintzbergen ging we in Lagerhuis stijl in discussie over de privacy-vragen die nu onderdeel uitmaken van ENSIA. Klopt dat wel? We hebben immers niet aan de verticale toezichthouders te verantwoorden over de AVG naleving, of wel? Daar hebben we een Autoriteit Persoonsgegevens voor. Enfin, als je daar over heen stapt kan je nog vraagtekens stellen bij de plaats van deze vragen binnen ENSIA. Wetende dat je er weliswaar gemakkelijk op kunt filteren, net als bijv. Suwinet, BRP of PUN, is het opmerkelijk dat de privacy-vragen juist hier geland zijn. Welke bril hebben we op?

Mijn opvatting is dat de privacy-vragen ook net zo goed als ‘domeinvragenlijst’ konden worden opgenomen. En de purist zal stellen dat je de vragenlijst dan ook nog optioneel zou moeten maken. Navraag leert echter wel dat dit verzoek naar vragen over de AVG vanuit de gemeenten zelf komt. En over de locatie van de vragen is intern ook flink gesteggeld. Wat dat betreft gaat de VNG niet over één nacht ijs. Het leverde in ieder geval wel een geslaagd ‘debat’ op waar ik soms Kees meende te zien genieten 😉

Verticaal, maar ook horizontaal?

De ENSIA plaatjes over horizontale en verticale verantwoording kunnen de coördinatoren inmiddels wel dromen, denk ik. Denk je: huh? Bekijk dan deze pagina. Het idee is dat we met ENSIA twee vliegen inéén klap slaan. Enerzijds zijn we wettelijk verplicht te verantwoorden op basis van diverse normenkaders richting toezichthouders (=verticaal) en anderzijds dient de gemeenteraad meer in positie te komen als toezichthouder (=horizontaal). Ik meen dat dit middels ENSIA te bereiken is, maar met name op de horizontale verantwoording is nog wel wat te winnen. Daarover lees je ook in dit artikel in het DA2020 magazine.

De bestuurlijk verankering laat grosso modo nog wel even op zich wachten. Auditor BDO publiceerde er een whitepaper over. Soms helpt het om een oudere blog te lezen om vervolgens vast te stellen dat we wel degelijk goed vooruit gaan. Maar ook op het congres ‘Slim Verantwoorden’ proefde ik hoofdzakelijk een positief-kritische houding en zo omschrijf ik die van mezelf ook het liefst. Voor een voorbeeld van verantwoording richting de gemeenteraad kan je trouwens hier kijken.

Leunen op de horizontale verantwoording

Tot slot de hamvraag: gaan we toe naar een situatie waarin de verticale toezichthouders volledig kunnen leunen op de horizontale verantwoording richting de gemeenteraad? Mijn huidige standpunt zal je niet verassen: nee, ik denk het niet voorlopig. Onze geloofwaardigheid is hier beperkt; neem Suwinet (check deze blog, en ook deze). Met een gemeenteraad die haar sturende en toezichthoudende rol nog maar beperkt pakt (en ook maar beperkt kán pakken) heb ik begrip voor verticale toezichthouders die een vinger aan de pols wensen te houden. Maar de AVG compliance gaat ze, zogezegd, weinig aan (vanuit die rol bezien). Dat punt maak ik graag nogmaals. Richting de gemeenteraad is een ander verhaal natuurlijk.

Tijdens het congres bleek echter wel dat lang niet iedereen dit pragmatische standpunt kan waarderen. Er valt wat voor de zeggen dat met de instandhouding van het verticale toezicht, het horizontale toezicht voorlopig een ondergeschoven kind blijft. Maar vergeet niet dat de ENSIA verantwoordingssystematiek voor ons relatief nieuw is en dat voor een raadslid het gehele onderwerp informatiebeveiliging relatief nieuw zal zijn. Ik meen dat we als gemeenten voorlopig nog wel vastzitten aan verticaal toezicht op dit thema. En ik vind dat prima. Jij?

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO's van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.

Stappenplan voor het kiezen van een ISMS-pakket

Als je een ISMS-pakket wilt aanschaffen, waar moet je dan op letten? In deze blog leg ik de focus niet op het proces zelf, maar op het selecteren van het ISMS-pakket (software) om het proces te ondersteunen.

Informatiebeveiliging bezien vanuit de rekenkamercommissie

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Goed voorbeeld doet goed volgen – deel 2

Volgens Ferdinand Grapperhaus moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren van Muel Kaptein kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Dat gaat je (n)iets aan

IB&P is een adviesbureau op het gebied van informatiebeveiliging en privacy. We richten ons primair op de (lokale) overheid. We adviseren en ondersteunen bij het implementeren én blijvend voldoen aan o.a. de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG).