Skip to main content

Leunen op de horizontale ENSIA verantwoording?


Eerder deze maand startte de nieuwe ENSIA verantwoordingscyclus. De vragenlijsten staan weer open, gebruikers dienen nieuwe rechten te krijgen en de ENSIA coördinator heeft even een piek in z’n werkzaamheden. Tijdens het VNG Realisatie (mini)congres ‘Slim Verantwoorden’ half juni mocht ik discussiëren met andere ENSIA coördinatoren over de volgordelijkheid van verantwoorden. Eerst verticaal of eerst horizontaal? Überhaupt beide?

Ervaringen uit het eerste jaar

Mocht je zelf ENSIA coördinator zijn, dan ga ik je niet verrassen. Het eerste jaar ENSIA was ‘enerverend’, het kostte meer tijd en moeite dan aanvankelijk gedacht. Dat geldt overigens ook voor de totstandkoming. Er werd relatief vaak gebruik gemaakt van het formulier om een nieuwe coördinator door te geven. Dat zegt iets. De beoogde opbrengst zoals verwoord in de resolutie is er nog niet. De genoemde 15% reductie in het aantal vragen kon niet compenseren voor de nieuwe manier van verantwoorden, wat “toch wel wennen was”. Ik schreef er vorig jaar juni al over. Wijzigingen gaandeweg het jaar droegen bij aan verwarring.

Fijn dat het allemaal dit jaar grotendeels hetzelfde blijft. Even op adem komen. De BAG en BGT zijn weliswaar niet meer optioneel, maar met een deelname percentage van 93% namen we dat in 2017 al aardig serieus. Ben benieuwd of dat ook gaat gelden voor de kersverse BRO in ENSIA. Vooral eenzelfde scope van de IT audit zal tot een opgeluchte zucht hebben geleid bij menig collega. Bij mij wel in ieder geval. Maar dan nu: 2018.

De AVG in ENSIA

Onder de bezielende leiding van Kees Hintzbergen ging we in Lagerhuis stijl in discussie over de privacy-vragen die nu onderdeel uitmaken van ENSIA. Klopt dat wel? We hebben immers niet aan de verticale toezichthouders te verantwoorden over de AVG naleving, of wel? Daar hebben we een Autoriteit Persoonsgegevens voor. Enfin, als je daar over heen stapt kan je nog vraagtekens stellen bij de plaats van deze vragen binnen ENSIA. Wetende dat je er weliswaar gemakkelijk op kunt filteren, net als bijv. Suwinet, BRP of PUN, is het opmerkelijk dat de privacy-vragen juist hier geland zijn. Welke bril hebben we op?

Mijn opvatting is dat de privacy-vragen ook net zo goed als ‘domeinvragenlijst’ konden worden opgenomen. En de purist zal stellen dat je de vragenlijst dan ook nog optioneel zou moeten maken. Navraag leert echter wel dat dit verzoek naar vragen over de AVG vanuit de gemeenten zelf komt. En over de locatie van de vragen is intern ook flink gesteggeld. Wat dat betreft gaat de VNG niet over één nacht ijs. Het leverde in ieder geval wel een geslaagd ‘debat’ op waar ik soms Kees meende te zien genieten 😉

Verticaal, maar ook horizontaal?

De ENSIA plaatjes over horizontale en verticale verantwoording kunnen de coördinatoren inmiddels wel dromen, denk ik. Denk je: huh? Bekijk dan deze pagina. Het idee is dat we met ENSIA twee vliegen inéén klap slaan. Enerzijds zijn we wettelijk verplicht te verantwoorden op basis van diverse normenkaders richting toezichthouders (=verticaal) en anderzijds dient de gemeenteraad meer in positie te komen als toezichthouder (=horizontaal). Ik meen dat dit middels ENSIA te bereiken is, maar met name op de horizontale verantwoording is nog wel wat te winnen. Daarover lees je ook in dit artikel in het DA2020 magazine.

De bestuurlijk verankering laat grosso modo nog wel even op zich wachten. Auditor BDO publiceerde er een whitepaper over. Soms helpt het om een oudere blog te lezen om vervolgens vast te stellen dat we wel degelijk goed vooruit gaan. Maar ook op het congres ‘Slim Verantwoorden’ proefde ik hoofdzakelijk een positief-kritische houding en zo omschrijf ik die van mezelf ook het liefst. Voor een voorbeeld van verantwoording richting de gemeenteraad kan je trouwens hier kijken.

Leunen op de horizontale verantwoording

Tot slot de hamvraag: gaan we toe naar een situatie waarin de verticale toezichthouders volledig kunnen leunen op de horizontale verantwoording richting de gemeenteraad? Mijn huidige standpunt zal je niet verassen: nee, ik denk het niet voorlopig. Onze geloofwaardigheid is hier beperkt; neem Suwinet (check deze blog, en ook deze). Met een gemeenteraad die haar sturende en toezichthoudende rol nog maar beperkt pakt (en ook maar beperkt kán pakken) heb ik begrip voor verticale toezichthouders die een vinger aan de pols wensen te houden. Maar de AVG compliance gaat ze, zogezegd, weinig aan (vanuit die rol bezien). Dat punt maak ik graag nogmaals. Richting de gemeenteraad is een ander verhaal natuurlijk.

Tijdens het congres bleek echter wel dat lang niet iedereen dit pragmatische standpunt kan waarderen. Er valt wat voor de zeggen dat met de instandhouding van het verticale toezicht, het horizontale toezicht voorlopig een ondergeschoven kind blijft. Maar vergeet niet dat de ENSIA verantwoordingssystematiek voor ons relatief nieuw is en dat voor een raadslid het gehele onderwerp informatiebeveiliging relatief nieuw zal zijn. Ik meen dat we als gemeenten voorlopig nog wel vastzitten aan verticaal toezicht op dit thema. En ik vind dat prima. Jij?

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…