Skip to main content

Toekomstscenario’s voor ENSIA – deel 2


Dat nog te bezien valt of je ENSIA al een ‘effectief en efficiënt verantwoordingsstelsel’ mag noemen heb je kunnen lezen in het vorige deel van de reeks over de toekomst voor ENSIA. Nu ga ik het hebben over hoe ENSIA zich in de komende jaren kan ontwikkelen om deze omschrijving wél te verdienen. Dat begint wat mij betreft bij een goed fundament van het ENSIA-verantwoordingsstelsel richting de raad. Daartoe helpen onderstaande drie toekomstscenario’s waarbij ik een combinatie van scenario 1 en 2 op voorhand afraad.

Toekomstscenario 1: werking toevoegen

Binnen ENSIA is een gemeente verplicht, voor wat betreft het DigiD normenkader en een deel van het Suwinet normenkader, jaarlijks een IT-audit te laten uitvoeren. Voor DigiD bestaat deze verplichting al jaren en vorig jaar heeft de NOREA haar duiding van de Suwinet toetsing aangescherpt door de aandacht te vestigen op de ‘General IT Controls’. Wel kijken IT-auditors momenteel alleen naar de opzet en het bestaan van de maatregelen. Er wordt dus niet over een langere periode getoetst op de werking van maatregelen. Het doel is een gemeente veiliger maken en juist dát toets je met werking toetsen.

Mijn advies is om werking per 2021 binnen scope te brengen voor de ENSIA IT audit, te beginnen met DigiD. Het jaar daarop zou ook Suwinet kunnen volgen. Ik realiseer me terdege dat ik hiermee de al langer bestaande wens van de NOREA opteken. Idealiter toets je werking voor je horizontale verantwoording, nog vóór de verticale toezichthouder het afdwingt.

Toekomstscenario 2: GITC’s verbreden

Vooralsnog worden de ‘General IT Controls’ (GITC’s) alleen met betrekking op Suwinet getoetst binnen de IT-audit. Het gaat dan ook nog om een specifieke vorm van Suwinet: DKD-Inlezen. DKD staat voor Digitaal Klantdossier en binnen deze vorm lezen applicaties die in het beheer zijn van gemeenten direct Suwinet gegevens in. De inlezende applicatie dient daarmee te voldoen aan de GITC’s. Maar gemeenten hebben natuurlijk talloze applicaties waarin gevoelige persoonsgegevens worden verwerkt. Op basis van een risicoanalyse op voornamelijk het vertrouwelijkheidsaspect dienen zij een top 10 kritieke applicaties te laten vaststellen. Uitvoering en vaststelling kan plaatsvinden in 2021.

Mijn advies is om met ingang van 2022 deze top 10 van applicaties binnen de scope van de ENSIA IT audit te laten vallen. De GITC’s zoals die nu bij Suwinet gelden worden dan in opzet en bestaan ook getoetst bij deze 10 applicaties. Eén of twee jaar later wordt ook werking toegevoegd. De parallel met de jaarrekeningcontrole zal de geïnformeerde lezer niet zijn ontgaan. Daar schreef ik eerder al een tweeluik over (deel 1 & deel 2)

Toekomstscenario 3: relatie met risico’s aanbrengen (juiste abstractieniveau)

Of de toekomst nu meer langs scenario 1 of scenario 2 vorm krijgt, in beide gevallen zouden we veel meer werk moeten maken van het vertalen van (het niet voldoen aan) normen naar het lopen van risico’s. Vooral in de BIO is er, in ieder geval op papier, veel aandacht voor risicomanagement. Bij het vakgebied informatiebeveiliging kijken we dan naar beschikbaarheid, integriteit en vertrouwelijkheid, maar ook dat zal een bestuurder doorgaans weinig zeggen. Welke risico’s loopt een gemeente nu werkelijk? Afgesloten worden van DigiD is geen risico, maar een onderbreking in de dienstverlening naar burgers zeer waarschijnlijk wél. 

Een raad voert haar toezichthoudende taak uit op het hoogste abstractieniveau. Als informatiebeveiligers moeten we leren onze vakgebied te relateren aan vraagstukken op dat hoge abstractieniveau. Per direct stoppen met het informeren van een raad op normniveau, wat mij betreft. Hoe kan een betrouwbare informatievoorziening bijvoorbeeld de uitoefening van publieke taken garanderen? Wanneer het digitale loket geheel stilvalt voor meerdere dagen (beschikbaarheid), het heffen van de OZB niet op basis van juiste informatie gebeurt (integriteit) of wanneer er zeer gevoelige informatie van minderjarigen lekt (vertrouwelijkheid) dán heb je de aandacht. For better or for worse. Liever voorkomen dan genezen, daar zal een bestuurder het al snel mee eens zijn.

Tot slot

Je kan van ENSIA vinden wat je wilt, maar we hebben met elkaar een belangrijke eerste stap gezet naar een meer volwassen wijze van verantwoording over informatiebeveiliging. Het fundament is er, maar nu is verder bouwen nodig. Er zijn zeker onvolkomenheden en bij de huidige effectiviteit en efficiëntie zijn terechte vraagtekens te zetten. Niettemin moeten we de blik vooruit gericht houden en niet onbedoeld van een middel het doel maken. Heb je naar aanleiding van dit tweeluik nog aanvullende vragen of hulp nodig? Neem dan contact met ons op.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…