Zeven ENSIA tips om (ook) te slagen voor de Suwinet audit


Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met hun informatie omgaat. Gemeenten moeten deze betrouwbaarheid kunnen waarborgen en jaarlijks aantonen dat hun informatieveiligheid op orde is. ENSIA helpt hierbij. Ik heb al veel geschreven over ENSIA (meest recente blog ), maar in praktijk zie je toch snel zaken over het hoofd is mijn eigen ervaring. In deze blog zoom ik uitsluitend in op Suwinet. Hopelijk heb je iets aan mijn tips!

ENSIA IT Audit

Alle gemeenten zijn sinds 1 juli jl. druk bezig met alweer het tweede jaar van verantwoording met ENSIA. De zelfevaluatie moet vóór 31 december aanstaande zijn ingeleverd, waarna in het voorjaar van 2019 binnen alle gemeenten het college verantwoording aan de gemeenteraad zal afleggen. In deze blog ga ik dieper in op de verantwoording specifiek over Suwinet . Suwinet en DigiD vallen binnen scope van de ENSIA IT audit. Het jaarlijkse DigiD beveiligingsassessment is niets nieuws onder de zon, maar de Suwinet audit wel degelijk zou ik willen beweren. En dit jaar is het allemaal wat scherper dan vorig jaar.

Verantwoording Suwinet

Gemeenten die Suwinet gebruiken, of dat hebben uitbesteed aan een samenwerkingsverband, moeten zich verantwoorden over informatiebeveiliging langs twee normenkaders: de Baseline Informatiebeveiliging Gemeenten en het specifieke Suwinet-normenkader voor afnemers. Gemeenten moeten dat verantwoorden volgens de ENSIA-systematiek. Hierbij geldt de BIG geldt voor alle systemen en gegevens (en fysieke beveiliging) in een gemeente en bij zijn opdrachtnemers. Het specifieke Suwinet-normenkader – de naam zegt het al – bevat aanvullende of strengere normen voor het werken met Suwinet.

Binnen ENSIA zijn beide normenkaders, afgeleid van de ISO27000 serie, op elkaar gelegd. Hierbij worden nog wel eens zaken over het hoofd gezien. En dit terwijl Suwinet juist veilig moet zijn. Er gaat immers dagelijks heel veel en heel gevoelige informatie over en weer. Het is dus belangrijk om bij de verantwoording over Suwinet op een aantal zaken (extra goed) te letten. Daarom onderstaand zeven tips om rekening mee te houden in het kader van de Suwinet verantwoording:

 1. Verantwoord Suwinet middels de keuzehulp
  Gebruik de Exceltool (keuzehulp)voor Suwinet-taken  van NOREA. Hierin staan de vragen uit de ENSIA-toolweergegeven die relevant zijn voor Suwinet. Per taak is een vragenlijstopgenomen. Op basis van de bijhorende beslisboom dient de relevante vragenlijst(en)te worden ingevuld. Op deze manier kan je de BIG-vragen in ENSIA ook echt metde ‘gemeentebrede’ bril op bekijken en beantwoorden voor de horizontaleverantwoording. Ja, dit advies ondermijnt de centrale gedachte van ENSIA, maarfeitelijk doe je niets anders dan bij DigiD. Ook hier heb je een specialevragenlijst voor de verticale verantwoording. De verticale toezichthouders wensen nogniet te leunen op de horizontale verantwoording.
 2. Stel vast of je ook DKD/Suwinet-Inlezen gebruikt
  Suwinet-Inlezen (daaronder verstaan we voor nu ook: DKD-Inlezen) maakt het voor overheidsorganisaties mogelijk om gegevens van diverse bronnen direct in de eigen bedrijfsapplicatie in te lezen en/of te laten voorinvullen op elektronische aanvraagformulieren. Het gaat dan vanzelfsprekend alleen om die gegevens die nodig zijn voor de uitvoering van de wettelijke taken. De Suwi-Inkijk omgeving van BKWI is reeds gevalideerd als ‘adequaat’, maar Suwinet-Inlezen is een heel ander verhaal. Binnen ENSIA dienen gemeenten zich te verantwoorden over alle vormen van Suwinet gebruik. Onderschat de scope van de Suwinet audit dus niet.
 3. Check op aansluitingen van niet-SUWI partijen
  Een aantal gemeentelijke afdelingen kan voor bepaalde wettelijke taken gebruik maken van Suwinet, te weten: RMC’s (alleen 39 contactgemeenten) , gemeentelijke gerechtsdeurwaarders, gemeentelijke samenwerkingsverbanden en de afdeling Burgerzaken. Over al deze aansluitingen en het gebruik van deze verschillende partijen op Suwinet moet gerapporteerd worden. Dit valt dus ook allemaal binnen scope van de Suwinet audit (voor zover er gebruik van wordt gemaakt). Zorg dat je dus goed zicht hebt op wie wat (niet) doet. Vooral bij uiteenlopende samenwerkingsverbanden is dit nog best lastig te ontrafelen.
 4. Ken het verschil tussen carve-in en carve-out
  Bij de carve-out methode wordt in een assurance-rapport een verwijzing opgenomen naar het assurance-rapport (de TPM) van een leverancier, dit is o.a. het geval bij het DigiD-assessment. Bij de carve-in methode, ook wel inclusive method genoemd, heeft jouw IT auditor, in tegenstelling tot carve-out, wél de beheersmaatregelen van je samenwerkingsverband binnen de scope van de IT-audit. Dat betekent niet dat jouw auditor het werk overnieuw hoeft te doen, maar hij zal de TPM inhoudelijk wel beoordelen om er een oordeel over te kunnen vellen.
 5. Houd rekening met de nieuwe general IT controls
  Voor Suwinet-Inlezen beheer je dus zelf de applicatie waarin je gegevens worden ingelezen (gepresenteerd). Om een uitspraak te kunnen doen over de betrouwbaarheid van deze informatievoorziening dient de gemeente aan een aantal randvoorwaarden, ook wel General IT Controls genoemd, te voldoen. Op deze manier kan de betrouwbaarheid worden gegarandeerd. In feite dus exacte hetzelfde als bij de audit jaarrekening . Het gaat hierbij in ieder geval om logische toegangsbeveiliging (applicatie en/of netwerk), logging en wijzigingsbeheer. Onderschat deze te nemen beheersmaatregelen (controls) niet. Ze zitten dit jaar voor het eerst expliciet in scope van de Suwinet audit.
 6. Voorkom handhaving door de Inspectie SZW
  Het eerste jaar van verantwoording met ENSIA in 2017 werd gezien als 0-meting, waarbij is besloten nog niet streng te handhaven. Opmerkelijk en in contrast met Logius. Vanaf dit jaar gaat Inspectie SZW wél handhavingsmaatregelen treffen conform het ‘Interventieprotocol Suwinet ENSIA’ (23 april 2018 vastgesteld). Zorg dus dat je alles op orde hebt en voorkom handhaving. Indien je gemeente niet voldoet aan de verantwoordingsplicht of het normenkader t.a.v. Suwinet niet naleeft, zullen er interventies plaatsvinden. Dat ziet er zo uit:
  – Attentiebrief (al ontvangen?)
  – Ambtelijk overleg
  – Voornemen tot aanwijzing
  – Aanwijzing
  – Onderzoek inspectie
  – Zelf in de zaak voorzien
  – Afsluiten Suwinet
 7. Weet dat verbeterplannen verplicht zijn
  Bij eventuele tekortkomingen in het kader van de zelfevaluatie is de gemeente verplicht om een verbeterplan op te stellen. In dit verbeterplan moeten verbetermaatregelen staan voor deze tekortkomingen. De IT auditor verifieert of de gesignaleerde bevindingen zijn geadresseerd in het verbeterplan. Dit verbeterplan gaat vervolgens ook mee richting de gemeenteraad voor de horizontale verantwoording. Daar kunnen dus vragen over komen. Daarnaast gaan de verbeterplannen ook naar de verticale toezichthouders. Vanuit Logius dien je hier direct op de acteren terwijl de Inspectie SZW vooralsnog coulanter lijkt (zie punt 6).

Ik hoop je met deze blog meer inzicht te hebben gegeven in de Suwinet audit. Heb je na het lezen van deze blog een specifieke vraag over ENSIA en/of de Suwinet audit? Laat het ons weten. Ik raad je sowieso aan deze beide documenten aandachtig te lezen:
Handreiking uitvoering ENSIA verantwoording 2018 (VNG Realisatie)
Handreiking ENSIA voor IT-auditors (RE’s), versie 2.0 (NOREA)

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Wat zijn mijn plichten als verwerkingsverantwoordelijke?

Als gemeente ben je in veel gevallen verwerkingsverantwoordelijke voor de persoonsgegevens die je verwerkt. Wanneer je verwerkersverantwoordelijke bent, horen hier een aantal plichten bij. Welke dit zijn, lees je in deze blog.

Wachtwoorden beheren? Gebruik een wachtwoordmanager!

De BIO schrijft voor dat gemeenten een wachtwoordmanager beschikbaar moeten stellen aan hun medewerkers. Maar wat is een wachtwoordmanager nu precies? Wat zijn de voordelen? En hoe veilig zijn ze? Je leest het in deze blog!

Rechten van betrokkenen binnen een gemeentelijke context

Als burger heb je verschillende rechten om controle te houden over je persoonsgegevens – ook wel rechten van betrokkenen genoemd. Maar met welke rechten krijg je als gemeente in de praktijk echt te maken?

CISO versus ISO, wie doet wat?

Binnen de gemeente hebben we de (verplichte) CISO en/of ISO. Maar welke taken horen er nu eigenlijk bij de CISO te liggen en wat zou de ISO moeten doen? Kortom, hoe verhouden deze functies zich tot elkaar en wat zijn de verschillen?

Help! Een dataclassificatie, DPIA en een BIA?!

Vanuit de AVG en BIO zijn er diverse (verplichte) maatregelen waarmee je als gemeente in kaart brengt wat je relevante systemen zijn en/of data is en waar de risico’s liggen met betrekking tot het gebruik ervan, zoals een dataclassificatie, DPIA e…

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in