Toekomstscenario’s voor ENSIA – deel 2


Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen heb je kunnen lezen in het vorige deel van de reeks over de toekomst voor ENSIA. Nu ga ik het hebben over hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen. Dat begint wat mij betreft bij een goed fundament van het ENSIA-verantwoordingsstelsel richting de raad. Daartoe helpen onderstaande drie toekomstscenario’s waarbij ik een combinatie van scenario 1 en 2 op voorhand afraad.

Toekomstscenario 1: werking toevoegen

Binnen ENSIA is een gemeente verplicht, voor wat betreft het DigiD normenkader en een deel van het Suwinet normenkader, jaarlijks een IT-audit te laten uitvoeren. Voor DigiD bestaat deze verplichting al jaren en vorig jaar heeft de NOREA haar duiding van de Suwinet toetsing aangescherpt door de aandacht te vestigen op de ‘General IT Controls’. Wel kijken IT-auditors momenteel alleen naar de opzet en het bestaan van de maatregelen. Er wordt dus niet over een langere periode getoetst op de werking van maatregelen. Het doel is een gemeente veiliger maken en juist dát toets je met werking toetsen.

Mijn advies is om werking per 2021 binnen scope te brengen voor de ENSIA IT audit, te beginnen met DigiD. Het jaar daarop zou ook Suwinet kunnen volgen. Ik realiseer me terdege dat ik hiermee de al langer bestaande wens van de NOREA opteken. Idealiter toets je werking voor je horizontale verantwoording, nog vóór de verticale toezichthouder het afdwingt.

Toekomstscenario 2: GITC’s verbreden

Vooralsnog worden de ‘General IT Controls’ (GITC’s) alleen met betrekking op Suwinet getoetst binnen de IT-audit. Het gaat dan ook nog om een specifieke vorm van Suwinet: DKD-Inlezen. DKD staat voor Digitaal Klantdossier en binnen deze vorm lezen applicaties die in het beheer zijn van gemeenten direct Suwinet gegevens in. De inlezende applicatie dient daarmee te voldoen aan de GITC’s. Maar gemeenten hebben natuurlijk talloze applicaties waarin gevoelige persoonsgegevens worden verwerkt. Op basis van een risicoanalyse op voornamelijk het vertrouwelijkheidsaspect dienen zij een top 10 kritieke applicaties te laten vaststellen. Uitvoering en vaststelling kan plaatsvinden in 2021.

Mijn advies is om met ingang van 2022 deze top 10 van applicaties binnen de scope van de ENSIA IT audit te laten vallen. De GITC’s zoals die nu bij Suwinet gelden worden dan in opzet en bestaan ook getoetst bij deze 10 applicaties. Eén of twee jaar later wordt ook werking toegevoegd. De parallel met de jaarrekeningcontrole zal de geïnformeerde lezer niet zijn ontgaan. Daar schreef ik eerder al een tweeluik over (deel 1 & deel 2)

Toekomstscenario 3: relatie met risico’s aanbrengen (juiste abstractieniveau)

Of de toekomst nu meer langs scenario 1 of scenario 2 vorm krijgt, in beide gevallen zouden we veel meer werk moeten maken van het vertalen van (het niet voldoen aan) normen naar het lopen van risico’s. Vooral in de BIO is er, in ieder geval op papier, veel aandacht voor risicomanagement. Bij het vakgebied informatiebeveiliging kijken we dan naar beschikbaarheid, integriteit en vertrouwelijkheid, maar ook dat zal een bestuurder doorgaans weinig zeggen. Welke risico’s loopt een gemeente nu werkelijk? Afgesloten worden van DigiD is geen risico, maar een onderbreking in de dienstverlening naar burgers zeer waarschijnlijk wél. 

Een raad voert haar toezichthoudende taak uit op het hoogste abstractieniveau. Als informatiebeveiligers moeten we leren onze vakgebied te relateren aan vraagstukken op dat hoge abstractieniveau. Per direct stoppen met het informeren van een raad op normniveau, wat mij betreft. Hoe kan een betrouwbare informatievoorziening bijvoorbeeld de uitoefening van publieke taken garanderen? Wanneer het digitale loket geheel stilvalt voor meerdere dagen (beschikbaarheid), het heffen van de OZB niet op basis van juiste informatie gebeurt (integriteit) of wanneer er zeer gevoelige informatie van minderjarigen lekt (vertrouwelijkheid) dán heb je de aandacht. For better or for worse. Liever voorkomen dan genezen, daar zal een bestuurder het al snel mee eens zijn.

Tot slot

Je kan van ENSIA vinden wat je wilt, maar we hebben met elkaar een belangrijke eerste stap gezet naar een meer volwassen wijze van verantwoording over informatiebeveiliging. Het fundament is er, maar nu is verder bouwen nodig. Er zijn zeker onvolkomenheden en bij de huidige effectiviteit en efficiëntie zijn terechte vraagtekens te zetten. Niettemin moeten we de blik vooruit gericht houden en niet onbedoeld van een middel het doel maken. Heb je naar aanleiding van dit tweeluik nog aanvullende vragen of hulp nodig? Neem dan contact met ons op.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?

In vijf stappen een goed informatiebeveiligingsbeleid

De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. In deze blog de vijf stappen naar een goed informatiebeveiligingsbeleid en dito implementatie.

Rechten van betrokkenen toepassen

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de creativiteit, maar niet helemaal waar het recht op overdraagbaarheid voor bedoeld is. In deze blog leg ik uit voor welke rechten betrokkenen een verzoek kunnen indienen, wanneer ze van toepassing zijn en hoe je daar praktisch invulling aan kunt geven.

Tips voor het beveiligen van Office 365

Eind april actualiseerde het Amerikaans ‘Cybersecurity & Infrastructure Security Agency’ (CISA) haar beveiligingsadvies voor Microsoft Office 365. Dat is relevante informatie omdat veel gemeenten momenteel, al dan niet versneld n.a.v. de noodzaak tot thuiswerken, bezig zijn met het uitrollen van Office 365. Daarom vandaag een blog waarin ik de belangrijkste beveiligingsinstellingen voor Office 365 bespreek.

Hoe bescherm ik mij als gemeente tegen ransomware-aanvallen?

Het kan gebeuren dat je als gemeente urenlang (of in het ergste geval dagen) niet kunt werken vanwege ransomware. In deze blog geef ik tips voor preventieve maatregelen die je kan treffen om besmetting te voorkomen. Toch getroffen? Dan vind je hier ook een handig stappenplan om de schade zoveel mogelijk te beperken.

Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?

In februari publiceerde de VNG de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…