Toekomstscenario’s voor ENSIA – deel 1


Veel gemeentelijke CISO’s zullen deze zin goed kennen: “ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)”. En natuurlijk vervangen we inmiddels BIG voor BIO. Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen behandel ik in dit eerste deel. Hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen? Dat lees je in het volgende deel van dit tweeluik. Als dit voor jou relevante vragen zijn, lees dan zeker verder.

Eenduidige Normatiek Single Information Audit

Een hele mond vol. Eenvoudig komt het erop neer dat ENSIA bestaande verantwoordingslijnen van gemeenten richting toezichthouders bundelt, en wel op twee manieren: 1) normenkaders zijn zoveel mogelijk ontdubbeld, en 2) de verantwoordingsmomenten zijn zoveel mogelijk uitgelijnd. Daarnaast combineert ENSIA-verantwoordingsinformatie voor zowel de ‘horizontale toezichthouder’ (gemeenteraad) als de ‘verticale toezichthouders’ (bijv. ministeries). Op deze termen kom ik later terug. Concreet bevat ENSIA diverse vragenlijsten die jaarlijks ingevuld moeten worden.

Nee, het ontbreekt ENSIA niet aan ambitie. Met het omarmen van de Baseline Informatiebeveiliging Gemeenten (BIG) hebben de gemeenten een duidelijk signaal afgegeven: de verantwoordingslast moet niet verder toenemen. Menig CISO stelt dat daar nog geen sprake van is, maar ja: de lasten gaan vaak voor de baten uit. Voor meer achtergrondinformatie verwijs ik je naar mijn eerdere blogs over het startschot en over de daadwerkelijke landelijke uitrol van ENSIA.

Effectief en efficiënt verantwoording afleggen

Inderdaad, dit zijn van die containerbegrippen. Ze zijn echter goed concreet te maken: 1) wordt een gemeente ook daadwerkelijk veiliger (effectief); en 2) kost het verantwoorden niet onevenredig veel tijd (efficiënt)? Aandacht gaat al snel uit naar het tweede punt: gemeenten moeten van alles beantwoorden, vastleggen en aantonen. Dit kost inderdaad de nodige tijd weet ik uit ervaring al wordt er heel verschillend mee omgegaan. De ene gemeente formeert een forse werkgroep die volop de diepte induikt en een andere gemeente beantwoordt de vragen ‘hoog over’ met hulp van de CISO en een kernteam van specialisten.

Terug naar het eerste punt: wordt een gemeente ook daadwerkelijk veiliger? Kan ENSIA brengen wat ze belooft? Is ENSIA niet onbedoeld het doel op zichzelf geworden? Dit is een reëel risico wat mij betreft en het zal de draagkracht doen afnemen. Om te voorkomen dat ENSIA – het afleggen van verantwoording – het doel wordt en niet langer het nastreven van een betrouwbare informatievoorziening – langs de B, I en V as – is doorontwikkeling cruciaal. Daarmee onderstreep je immers dat het verantwoordingsstelsel continue verandert en de ‘automatische piloot’ geen optie is. Het zet aan tot nadenken waarom we überhaupt verantwoorden en verlegt de aandacht van jaarlijks door de ENSIA-hoepel springen naar het nemen van maatregelen met als doel een betrouwbare informatievoorziening.

Verticaal en horizontaal toezicht

Alvorens ik enkele toekomstscenario’s uitwerk wil ik eerst nader stilstaan bij het onderscheid in verticaal en horizontaal toezicht. Een voorbeeld van verticaal toezicht is de Inspectie van het Ministerie van Sociale Zaken en Werkgelegenheid (SZW) dat toeziet op het Suwinet gebruik. Suwinet is een digitale voorziening voor uitwisseling van persoonsgegevens tussen uitvoeringsorganisaties als de SVB en het UWV en de gemeentelijke sociale diensten. Organisaties die gebruik maken van Suwinet dienen te voldoen aan het normenkader.  Een ander voorbeeld is Logius die toeziet op het veilig gebruik van DigiD. Organisaties met een DigiD-koppeling dienen te voldoen aan, jawel, het normenkader.

Horizontaal toezicht is daarentegen compleet anders. Ten eerste anders in scoping: de horizontale verantwoording gaat primair uit van de zelfevaluatie op de Baseline Informatiebeveiliging Gemeenten (BIG). En de BIG geldt – weliswaar via het ‘pas toe of leg uit’ principe – voor alle gemeentelijke bedrijfsvoeringsprocessen. Dat is wel wat breder dan Suwinet of DigiD. Ten tweede oefent de (gemeente)raad het toezicht uit op deze zelfevaluatie en de gemeenteraad is doorgaans geen orgaan dat ervaringskundig is op het gebied van informatiebeveiliging. De gemeenten waar eerder een rekenkameronderzoek is uitgevoerd op dit beleidsterrein hebben wat dat aangaat ‘een streepje voor’. Immers, de rekenkamer heeft dan al eens de doelmatigheid en doeltreffendheid van het informatiebeveiligingsbeleid onderzocht en daarover gerapporteerd aan de raad.

Je kan en mag niet van een raad verwachten dat ze met de introductie van ENSIA ineens de kennis en kunde in huis heeft om goed toezicht uit te oefenen. Wel dient een raad stappen in die richting te zetten, wat mij betreft. Dat betekent interesse tonen in het onderwerp, het structureel agenderen, vragen stellen en waar nodig het eigen kennisniveau verhogen. Wel moeten we onderkennen dat de ENSIA-verantwoording naar de raad allesbehalve eenduidig gebeurt.

Verticaal op basis van horizontaal toezicht

Een belangrijk ENSIA-uitgangspunt is dat het horizontale toezicht leidend wordt ten opzichte van het verticale toezicht. In de ideale situatie leunt een verticale toezichthouder (bijv. Inspectie SZW, Logius) op het horizontale toezicht dat wordt uitgeoefend door de raad. Dit veronderstelt een raad die het beleidsterrein informatiebeveiliging, al dan niet in combinatie met privacy, ten minste jaarlijkse prominent op de agenda zet. Een raad die zich uitgebreid en deugdelijk laat informeren door de verantwoordelijk wethouder en zichzelf zeer serieus neemt in het uitoefenen van haar toezicht hierop. Desnoods gebruikmakend van expertise buiten de raad. Maar zoals eerder gezegd: zover zijn we nog niet.

Hoe kan een gemeenteraad deze essentiële stap maken? Nou, allereerst door via de portefeuillehouder(s) volledige verantwoordingsinformatie vanuit de ambtelijke organisatie te vragen. Alleen informatie over Suwinet en DigiD is niet volledig. Toch gebeurt dit in de praktijk veelvuldig omdat er bij DigiD en Suwinet sprake is van volwassen verticaal toezicht. Voor de raad is toch echter de Baseline Informatiebeveiliging Gemeenten juist essentieel? Ik haal nog even deels de eerdere zin aan: “…een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

Laten we dus eerst het fundament van het ENSIA-verantwoordingsstelsel eens serieus nemen richting de raad. Daartoe helpen de drie toekomstscenario’s die ik in het volgende deel van dit tweeluik ga behandelen. Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig? Neem dan contact met ons op.

* Dit tweeluik is onlangs als artikel verschenen in het magazine van het Platform voor InformatieBeveiliging.

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…