Skip to main content

10x ENSIA verantwoording aan de gemeenteraad


Inmiddels is de ENSIA verantwoordingscyclus over het jaar 2018 bijna afgerond. Een mooi moment voor een nieuwe blog over ENSIA! Een belangrijk aspect van ENSIA is het horizontale toezicht van de gemeenteraad. Voor de zomer legt elk college van B&W verantwoording af aan de gemeenteraad over informatiebeveiliging. De manier waarop dit wordt gedaan, verschilt echter per gemeente. In deze blog breng ik de uiteenlopende wijzen van verantwoording aan de gemeenteraad in beeld.

Horizontaal verantwoordingsproces

ENSIA streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatiebeveiliging waarbij de focus ligt op de horizontale verantwoording binnen de gemeente, met een belangrijke toezichthoudende rol voor de gemeenteraad. Colleges moeten zich jaarlijks verantwoorden over informatiebeveiliging aan de gemeenteraad. Dit doen zij door middel van de ENSIA collegeverklaring. ENSIA helpt gemeenten (colleges) zo om in één keer verantwoording af te leggen over informatiebeveiliging, gebaseerd op de BIG (en vanaf 2020 de BIO). En zeker, daar valt nog het nodige op af te dingen. Dat staat echter nu niet centraal in deze blog.

De jaarlijkse horizontale verantwoording bestaat uit:

  1. een collegeverklaring van het College van B&W, met:
    • een bijlage uitkomst DigiD beveiligingsassessment(s)
    • een bijlage uitkomst Suwinet audit
  2. een assurancerapport van een IT auditor op de collegeverklaring
  3. een passage over verantwoording informatiebeveiliging in het jaarverslag
  4. een rapportage informatiebeveiliging (optioneel).

Gemeenten hebben tot 1 mei jl. de tijd gehad om onderdeel 1 en 2 te uploaden in de ENSIA tool t.b.v. het verticale toezicht. Onderdeel 3 (en optioneel 4) dienen uiterlijk met het aanbieden van de jaarrekening aan de gemeenteraad te zijn afgerond. Deze jaarrekening dient uiterlijk 15 juli a.s. ingestuurd te zijn bij de provincie.

Verantwoording per gemeente

Wat opvallend is, is dat de manier waarop deze horizontale verantwoording aan de gemeenteraad wordt gedaan, per gemeente verschilt. Alhoewel publiceren geen doel van ENSIA is, gebeurt dit in de praktijk veelvuldig, zo blijkt uit eenvoudig onderzoek op internet. In deze blog neem ik de wijze van verantwoording van 10 gemeenten onder de loep, waarbij we kijken naar de volgende zaken: 

  1. Voldoen ze aan de geselecteerde normen inzake DigiD en Suwinet?
  2. Zijn de bijlagen bij de collegeverklaring gepubliceerd?
  3. Hebben ze de BAG en BGT verantwoording gepubliceerd?
  4. Hebben ze de BRO verantwoording gepubliceerd?

Uiteraard kan een college de gemeenteraad ook vertrouwelijk informeren gezien de gevoelige aard van het onderwerp. Dan worden (sommige) stukken onder geheimhouding aangeboden aan de raad en niet openbaar gepubliceerd.

Conclusie?

Wat opvalt is dat er op uiteenlopende wijze wordt verantwoord aan de gemeenteraad. Zo zijn sommige gemeenten volledig transparant richting de burger door de raad openbaar te informeren (zonder geheimhouding). Andere gemeenten doen dit deels.

Daarnaast heeft in bovenstaand schema de helft van de gemeenten de BAG en BGT verantwoording niet bijgevoegd.. Uiteraard kan het zo zijn dat deze gemeenten de BAG/BGT(/BRO) rapporten pas bijvoegen bij de jaarrekening. Ook is te zien dat niet elke gemeente openbaar maakt wat de resultaten zijn van de DigiD en Suwinet audit en zich beroepen op geheimhouding op grond van artikel 25, tweede lid, van de Gemeentewet. Dit is niet gek en zelfs conform het advies van de IBD. Je maakt immers je kwetsbaarheden openbaar die misbruikt kunnen worden door kwaadwillenden. In sommige gevallen is het dus beter om deze niet te publiceren.

In bovenstaand overzicht is te zien dat drie van de tien gemeenten volledig publiceren (incl. bijlagen) en in dat opzicht het meest transparant zijn. Daarbij ga ik er vooralsnog vanuit dat dit een bewuste, weloverwogen beslissing is geweest. Nogmaals, een college kan de raad ook vertrouwelijk informeren. De gemeenten die als top 3 naar voren komen zijn:

  • Utrecht – volledig openbaar, met bijlagen, openbaar en BAG/BGT/BRO.
  • Gooise Meren – volledig openbaar, met bijlagen, openbaar en BAG/BGT/BRO.
  • Den Haag – bijna geheel openbaar, met bijlagen, openbaar en BAG/BGT/BRO.

Wellicht dat er komende weken verandering komt in dit beeld en dat meer gemeenten volgen met het publiceren van stukken. Het College van B&W hoeft formeel namelijk op dit moment nog niet alles aangeboden te hebben aan de raad. Uiteraard wel de collegeverklaring omdat die nodig was voor de verticale verantwoording per uiterlijk 1 mei jl. Zoals gezegd moeten gemeenten de (vastgestelde) jaarrekening uiterlijk 15 juli a.s. bij de provincie indienen. Dit zou ook een logische, en tevens laatste, mogelijkheid zijn om ook alle ENSIA stukken aan te bieden aan de raad, al dan niet vertrouwelijk. Niettemin is wel duidelijk dat er van eenduidige horizontale verantwoording geen sprake is. En dat hoeft ook niet, toch?

Meer informatie?

Voor gemeenten die hulp nodig hebben bij de verantwoording van ENSIA, heeft VNG Realisatie de Handreiking uitvoering ENSIA verantwoording 2018 opgesteld, welke inzicht geeft in de onderliggende structuur van de ENSIA tooling, de wijze van verantwoording en de diverse vragenlijsten. Heb je na aanleiding van deze blog aanvullende vragen of hulp nodig om op dit punt verder te komen binnen jouw gemeente? Neem dan gerust contact met ons op.


Verder lezen bij de bron: Amsterdam, Boxmeer, Doetinchem, Gouda, Hattem, Meierijstad (punt 173) en Voorst.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Veiligheid begint met inzicht: zo geef je kwetsbaarhedenbeheer vorm

Het is belangrijk om kwetsbaarheden niet ad hoc, maar structureel aan te pakken. Niet alleen binnen je eigen ICT-omgeving, maar ook daarbuiten. In deze blog leggen we uit wat kwetsbaarhedenbeheer is, waarom het zo belangrijk is en hoe je het goed …

Hoe interne audits leiden tot verbetering

Informatiebeveiliging en privacy zijn essentieel, vooral voor gemeenten die werken met gevoelige gegevens en kritieke processen. Risicobeheer, naleving van wetgeving en continue verbetering zijn hierbij onmisbaar. Naast IT- en security-experts spe…

Het algoritmeregister: Hoe gemeenten algoritmes verantwoord inzetten

Steeds meer gemeenten gebruiken algoritmes om hun werk efficiënter te maken. Handig, maar het brengt ook risico’s met zich mee voor privacy, veiligheid en transparantie. Daarom is er sinds 2022 een landelijk algoritmeregister. In deze blog lees je…

Waarom een DPIA onmisbaar is binnen gemeentelijke projecten

Vanuit de AVG en BIO moet je als gemeente allerlei (verplichte) maatregelen nemen. Zo moet je bij gegevensverwerkingen met een hoog privacyrisico een Data Protection Impact Assessment (DPIA) uitvoeren. In deze blog lees je wat een DPIA precies is …

In 5 stappen naar een succesvolle GAP-analyse van de BIO

: Een GAP-analyse geeft snel inzicht in hoeverre jouw gemeente voldoet aan de normen van de BIO. Het laat zien wat al goed geregeld is en waar nog verbeteringen nodig zijn. Maar hoe voer je een GAP-analyse effectief uit? In deze blog ontdek je het…

Wat is ethisch hacken en waarom is het belangrijk?

Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en ne…