Toekomstscenario’s voor ENSIA – deel 1


Veel gemeentelijke CISO’s zullen deze zin goed kennen: “ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)”. En natuurlijk vervangen we inmiddels BIG voor BIO. Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen behandel ik in dit eerste deel. Hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen? Dat lees je in het volgende deel van dit tweeluik. Als dit voor jou relevante vragen zijn, lees dan zeker verder.

Eenduidige Normatiek Single Information Audit

Een hele
mond vol. Eenvoudig komt het erop neer dat ENSIA bestaande
verantwoordingslijnen van gemeenten richting toezichthouders bundelt, en wel op
twee manieren: 1) normenkaders zijn zoveel mogelijk ontdubbeld, en 2) de
verantwoordingsmomenten zijn zoveel mogelijk uitgelijnd. Daarnaast combineert ENSIA-verantwoordingsinformatie
voor zowel de ‘horizontale toezichthouder’ (gemeenteraad) als de ‘verticale
toezichthouders’ (bijv. ministeries). Op deze termen kom ik later terug. Concreet
bevat ENSIA diverse vragenlijsten die jaarlijks ingevuld moeten worden.

Nee, het
ontbreekt ENSIA niet aan ambitie. Met het omarmen van de Baseline
Informatiebeveiliging Gemeenten (BIG) hebben de gemeenten een duidelijk signaal
afgegeven: de verantwoordingslast moet niet verder toenemen. Menig CISO stelt
dat daar nog geen sprake van is, maar ja: de lasten gaan vaak voor de baten
uit. Voor meer achtergrondinformatie verwijs ik je naar mijn eerdere blogs over
het startschot en over de daadwerkelijke
landelijke uitrol van ENSIA.

Effectief en efficiënt verantwoording afleggen

Inderdaad,
dit zijn van die containerbegrippen. Ze zijn echter goed concreet te maken: 1)
wordt een gemeente ook daadwerkelijk veiliger (effectief); en 2) kost het verantwoorden niet onevenredig veel tijd
(efficiënt)? Aandacht gaat al snel
uit naar het tweede punt: gemeenten moeten van alles beantwoorden, vastleggen
en aantonen. Dit kost inderdaad de nodige tijd weet ik uit ervaring al wordt er
heel verschillend mee omgegaan. De ene gemeente formeert een forse werkgroep
die volop de diepte induikt en een andere gemeente beantwoordt de vragen ‘hoog
over’ met hulp van de CISO en een kernteam van specialisten.

Terug naar het eerste punt: wordt een gemeente ook daadwerkelijk veiliger? Kan ENSIA brengen wat ze belooft? Is ENSIA niet onbedoeld het doel op zichzelf geworden? Dit is een reëel risico wat mij betreft en het zal de draagkracht doen afnemen. Om te voorkomen dat ENSIA – het afleggen van verantwoording – het doel wordt en niet langer het nastreven van een betrouwbare informatievoorziening – langs de B, I en V as – is doorontwikkeling cruciaal. Daarmee onderstreep je immers dat het verantwoordingsstelsel continue verandert en de ‘automatische piloot’ geen optie is. Het zet aan tot nadenken waarom we überhaupt verantwoorden en verlegt de aandacht van jaarlijks door de ENSIA-hoepel springen naar het nemen van maatregelen met als doel een betrouwbare informatievoorziening.

Verticaal en horizontaal toezicht

Alvorens
ik enkele toekomstscenario’s uitwerk wil ik eerst nader stilstaan bij het
onderscheid in verticaal en horizontaal toezicht. Een voorbeeld van verticaal
toezicht is de Inspectie van het Ministerie van Sociale Zaken en
Werkgelegenheid (SZW) dat toeziet op het Suwinet gebruik. Suwinet is een
digitale voorziening voor uitwisseling van persoonsgegevens tussen uitvoeringsorganisaties
als de SVB en het UWV en de gemeentelijke sociale diensten. Organisaties die
gebruik maken van Suwinet dienen te voldoen aan het normenkader.  Een ander voorbeeld is Logius die toeziet op
het veilig gebruik van DigiD. Organisaties met een DigiD-koppeling dienen te
voldoen aan, jawel, het normenkader.

Horizontaal
toezicht is daarentegen compleet anders. Ten eerste anders in scoping: de
horizontale verantwoording gaat primair uit van de zelfevaluatie op de Baseline
Informatiebeveiliging Gemeenten (BIG). En de BIG geldt – weliswaar via het ‘pas
toe of leg uit’ principe – voor alle gemeentelijke bedrijfsvoeringsprocessen. Dat
is wel wat breder dan Suwinet of DigiD. Ten tweede oefent de (gemeente)raad het
toezicht uit op deze zelfevaluatie en de gemeenteraad is doorgaans geen orgaan
dat ervaringskundig is op het gebied van informatiebeveiliging. De gemeenten
waar eerder een rekenkameronderzoek is uitgevoerd op dit beleidsterrein hebben
wat dat aangaat ‘een streepje voor’. Immers, de rekenkamer heeft dan al eens de
doelmatigheid en doeltreffendheid van het informatiebeveiligingsbeleid
onderzocht en daarover gerapporteerd aan de raad.

Je kan en
mag niet van een raad verwachten dat ze met de introductie van ENSIA ineens de
kennis en kunde in huis heeft om goed toezicht uit te oefenen. Wel dient een
raad stappen in die richting te zetten, wat mij betreft. Dat betekent interesse
tonen in het onderwerp, het structureel agenderen, vragen stellen en waar nodig
het eigen kennisniveau verhogen. Wel moeten we onderkennen dat de ENSIA-verantwoording naar de raad allesbehalve
eenduidig gebeurt.

Verticaal op basis van horizontaal toezicht

Een
belangrijk ENSIA-uitgangspunt is dat het horizontale toezicht leidend wordt ten
opzichte van het verticale toezicht. In de ideale situatie leunt een verticale toezichthouder
(bijv. Inspectie SZW, Logius) op het horizontale toezicht dat wordt uitgeoefend
door de raad. Dit veronderstelt een raad die het beleidsterrein
informatiebeveiliging, al dan niet in combinatie met privacy, ten minste
jaarlijkse prominent op de agenda zet. Een raad die zich uitgebreid en
deugdelijk laat informeren door de verantwoordelijk wethouder en zichzelf zeer
serieus neemt in het uitoefenen van haar toezicht hierop. Desnoods
gebruikmakend van expertise buiten de raad. Maar zoals eerder gezegd: zover
zijn we nog niet.

Hoe kan
een gemeenteraad deze essentiële stap maken? Nou, allereerst door via de
portefeuillehouder(s) volledige verantwoordingsinformatie vanuit de ambtelijke
organisatie te vragen. Alleen informatie over Suwinet en DigiD is niet volledig.
Toch gebeurt dit in de praktijk veelvuldig omdat er bij DigiD en Suwinet sprake
is van volwassen verticaal toezicht. Voor de raad is toch echter de Baseline
Informatiebeveiliging Gemeenten juist essentieel? Ik haal nog even deels de
eerdere zin aan: “…een zo effectief en
efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline
Informatiebeveiliging Nederlandse Gemeenten (BIG)
.

Laten we dus eerst het fundament van het ENSIA-verantwoordingsstelsel eens serieus nemen richting de raad. Daartoe helpen de drie toekomstscenario’s die ik in het volgende deel van dit tweeluik ga behandelen. Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig? Neem dan contact met ons op.

* Dit tweeluik is onlangs als artikel verschenen in het magazine van het Platform voor InformatieBeveiliging.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Tijdig betrokken worden als FG

In het kader van de dag van de FG een blog speciaal voor de Functionaris Gegevensbescherming. Formeel is meestal wel vastgelegd dat je als FG ‘tijdig en behoorlijk’ betrokken moet worden, maar in de praktijk word je nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.