Veel gemeentelijke CISO’s zullen deze zin goed kennen: “ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)”. En natuurlijk vervangen we inmiddels BIG voor BIO. Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen behandel ik in dit eerste deel. Hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen? Dat lees je in het volgende deel van dit tweeluik. Als dit voor jou relevante vragen zijn, lees dan zeker verder.

Eenduidige Normatiek Single Information Audit

Een hele mond vol. Eenvoudig komt het erop neer dat ENSIA bestaande verantwoordingslijnen van gemeenten richting toezichthouders bundelt, en wel op twee manieren: 1) normenkaders zijn zoveel mogelijk ontdubbeld, en 2) de verantwoordingsmomenten zijn zoveel mogelijk uitgelijnd. Daarnaast combineert ENSIA-verantwoordingsinformatie voor zowel de ‘horizontale toezichthouder’ (gemeenteraad) als de ‘verticale toezichthouders’ (bijv. ministeries). Op deze termen kom ik later terug. Concreet bevat ENSIA diverse vragenlijsten die jaarlijks ingevuld moeten worden.

Nee, het ontbreekt ENSIA niet aan ambitie. Met het omarmen van de Baseline Informatiebeveiliging Gemeenten (BIG) hebben de gemeenten een duidelijk signaal afgegeven: de verantwoordingslast moet niet verder toenemen. Menig CISO stelt dat daar nog geen sprake van is, maar ja: de lasten gaan vaak voor de baten uit. Voor meer achtergrondinformatie verwijs ik je naar mijn eerdere blogs over het startschot en over de daadwerkelijke landelijke uitrol van ENSIA.

Effectief en efficiënt verantwoording afleggen

Inderdaad, dit zijn van die containerbegrippen. Ze zijn echter goed concreet te maken: 1) wordt een gemeente ook daadwerkelijk veiliger (effectief); en 2) kost het verantwoorden niet onevenredig veel tijd (efficiënt)? Aandacht gaat al snel uit naar het tweede punt: gemeenten moeten van alles beantwoorden, vastleggen en aantonen. Dit kost inderdaad de nodige tijd weet ik uit ervaring al wordt er heel verschillend mee omgegaan. De ene gemeente formeert een forse werkgroep die volop de diepte induikt en een andere gemeente beantwoordt de vragen ‘hoog over’ met hulp van de CISO en een kernteam van specialisten.

Terug naar het eerste punt: wordt een gemeente ook daadwerkelijk veiliger? Kan ENSIA brengen wat ze belooft? Is ENSIA niet onbedoeld het doel op zichzelf geworden? Dit is een reëel risico wat mij betreft en het zal de draagkracht doen afnemen. Om te voorkomen dat ENSIA – het afleggen van verantwoording – het doel wordt en niet langer het nastreven van een betrouwbare informatievoorziening – langs de B, I en V as – is doorontwikkeling cruciaal. Daarmee onderstreep je immers dat het verantwoordingsstelsel continue verandert en de ‘automatische piloot’ geen optie is. Het zet aan tot nadenken waarom we überhaupt verantwoorden en verlegt de aandacht van jaarlijks door de ENSIA-hoepel springen naar het nemen van maatregelen met als doel een betrouwbare informatievoorziening.

Verticaal en horizontaal toezicht

Alvorens ik enkele toekomstscenario’s uitwerk wil ik eerst nader stilstaan bij het onderscheid in verticaal en horizontaal toezicht. Een voorbeeld van verticaal toezicht is de Inspectie van het Ministerie van Sociale Zaken en Werkgelegenheid (SZW) dat toeziet op het Suwinet gebruik. Suwinet is een digitale voorziening voor uitwisseling van persoonsgegevens tussen uitvoeringsorganisaties als de SVB en het UWV en de gemeentelijke sociale diensten. Organisaties die gebruik maken van Suwinet dienen te voldoen aan het normenkader.  Een ander voorbeeld is Logius die toeziet op het veilig gebruik van DigiD. Organisaties met een DigiD-koppeling dienen te voldoen aan, jawel, het normenkader.

Horizontaal toezicht is daarentegen compleet anders. Ten eerste anders in scoping: de horizontale verantwoording gaat primair uit van de zelfevaluatie op de Baseline Informatiebeveiliging Gemeenten (BIG). En de BIG geldt – weliswaar via het ‘pas toe of leg uit’ principe – voor alle gemeentelijke bedrijfsvoeringsprocessen. Dat is wel wat breder dan Suwinet of DigiD. Ten tweede oefent de (gemeente)raad het toezicht uit op deze zelfevaluatie en de gemeenteraad is doorgaans geen orgaan dat ervaringskundig is op het gebied van informatiebeveiliging. De gemeenten waar eerder een rekenkameronderzoek is uitgevoerd op dit beleidsterrein hebben wat dat aangaat ‘een streepje voor’. Immers, de rekenkamer heeft dan al eens de doelmatigheid en doeltreffendheid van het informatiebeveiligingsbeleid onderzocht en daarover gerapporteerd aan de raad.

Je kan en mag niet van een raad verwachten dat ze met de introductie van ENSIA ineens de kennis en kunde in huis heeft om goed toezicht uit te oefenen. Wel dient een raad stappen in die richting te zetten, wat mij betreft. Dat betekent interesse tonen in het onderwerp, het structureel agenderen, vragen stellen en waar nodig het eigen kennisniveau verhogen. Wel moeten we onderkennen dat de ENSIA-verantwoording naar de raad allesbehalve eenduidig gebeurt.

Verticaal op basis van horizontaal toezicht

Een belangrijk ENSIA-uitgangspunt is dat het horizontale toezicht leidend wordt ten opzichte van het verticale toezicht. In de ideale situatie leunt een verticale toezichthouder (bijv. Inspectie SZW, Logius) op het horizontale toezicht dat wordt uitgeoefend door de raad. Dit veronderstelt een raad die het beleidsterrein informatiebeveiliging, al dan niet in combinatie met privacy, ten minste jaarlijkse prominent op de agenda zet. Een raad die zich uitgebreid en deugdelijk laat informeren door de verantwoordelijk wethouder en zichzelf zeer serieus neemt in het uitoefenen van haar toezicht hierop. Desnoods gebruikmakend van expertise buiten de raad. Maar zoals eerder gezegd: zover zijn we nog niet.

Hoe kan een gemeenteraad deze essentiële stap maken? Nou, allereerst door via de portefeuillehouder(s) volledige verantwoordingsinformatie vanuit de ambtelijke organisatie te vragen. Alleen informatie over Suwinet en DigiD is niet volledig. Toch gebeurt dit in de praktijk veelvuldig omdat er bij DigiD en Suwinet sprake is van volwassen verticaal toezicht. Voor de raad is toch echter de Baseline Informatiebeveiliging Gemeenten juist essentieel? Ik haal nog even deels de eerdere zin aan: “…een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)”.

Laten we dus eerst het fundament van het ENSIA-verantwoordingsstelsel eens serieus nemen richting de raad. Daartoe helpen de drie toekomstscenario’s die ik in het volgende deel van dit tweeluik ga behandelen. Heb je naar aanleiding van deze blog nog aanvullende vragen of hulp nodig? Neem dan contact met ons op.

* Dit tweeluik is onlangs als artikel verschenen in het magazine van het Platform voor InformatieBeveiliging.