Agenda Digitale Veiligheid 2020-2024: oude wijn in nieuwe zakken?


In februari publiceerde de Vereniging van Nederlandse Gemeente (VNG) de Agenda Digitale Veiligheid 2020-2024. De agenda biedt gemeenten een handelingsperspectief dat aansluit bij de bestuurlijke praktijk en bevat 10 actielijnen met als doel het vertrouwen van inwoners en ondernemers in de digitale veiligheid te vergroten én vast te houden. Maar biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Digitale transformatie

De wereldwijde digitalisering gaat razendsnel en transformeert onze maatschappij in een rap tempo. Dit biedt nieuwe kansen, ook voor gemeenten. Als gemeente sta je immers midden in de informatiesamenleving. Niet voor niets investeren gemeenten al jaren in digitalisering van de publieksdienstverlening en omarmen zij de mogelijkheden die digitalisering biedt. Dit was ook één van de redenen dat gemeenten in 2015 hebben besloten om meer samen te ontwikkelen en samen de Digitale Agenda 2020 vast te stellen, onder het motto ‘samen doen wat samen kan’. Vanaf het jaar 2020 zouden alle gemeenten en overheidsorganisaties moeten voldoen aan deze Digitale Agenda. De agenda bevat zes doelstellingen: meer datagedreven werken, het optimaliseren van de gemeenschappelijke infrastructuur, samen organiseren, het verbeteren van de dienstverlening aan inwoners en ondernemers, het verder doorvoeren van innovaties en beter onderzoek. Mooi én veilig abstract verwoord, niet?

Resultaten Digitale Agenda 2020

In de tussentijdse rapportage ‘Gemeenten op weg naar 2020’, is te lezen dat vanuit het programma talloze resultaten behaald zijn. Resultaten die duidelijk maken dat samenwerken loont. Zo zijn de laatste jaren veel stappen gezet. Gemeenten communiceren digitaal met de burger, bijvoorbeeld via DigiD en de Berichtenbox, er zijn standaard onlinediensten ontwikkeld voor o.a. de aangifte Overlijden en de aangifte Verhuizen en Emigreren, en ook onze manier van denken en (samen)werken is veranderd. Denk aan datagestuurd werken en het digitaal samenwerken op afstand. De vraag is natuurlijk of de Digitale Agenda 2020 hier wezenlijk aan heeft bijgedragen.

Het digitaal samenwerken is met name de afgelopen maanden versneld geïmplementeerd bij veel organisaties, waaronder gemeenten. Digitalisering was niet eerder zo belangrijk als nu. Organisaties schakelden massaal om naar digitaal vergaderen via Skype of Microsoft Teams. Ook is het niet eerder voor gemeenten zo belangrijk geweest om burgers digitaal te kunnen bereiken. Een mooi voorbeeld dat aantoont hoe veerkrachtig we zijn? Óf een voorbeeld dat juist aantoont dat we er eigenlijk nog niet waren… De urgentie was er namelijk al langer vanuit de ambitie Digitale Agenda 2020: ‘we werken massaal digitaal en leveren waar nodig maatwerk lokaal’.

Agenda Digitale Veiligheid 2020-2024

De eindrapportage van de Digitale Agenda 2020 is (nog?) niet opgesteld of er ligt alweer een nieuwe agenda: de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Een belangrijk deelonderwerp is immers digitale veiligheid. Daarom ontwikkelde de VNG een aparte agenda hierover. Het doel van deze agenda? ‘Een handelingsperspectief bieden voor de lokale bestuurder bij vraagstukken rondom digitale veiligheid’. De agenda bevat de ambities voor de komende vier jaar om te komen tot een digitaal veilige gemeente en biedt tien actielijnen voor de bestuurlijke praktijk, welke zijn verdeeld onder vier thema’s: ‘Awareness’, ‘Governance’, ‘Risicogericht handelen’ en ‘Eén overheid/samen organiseren’.

En dat is niet alles. De agenda biedt ook ‘concrete handvatten’ voor bestuurders bij het voorkomen en oplossen van cyberincidenten. Zo staan er onder andere instrumenten benoemd, zoals de Cybergame en een Cyberoefening. Maar zeg nou eerlijk: zijn dit nu echt vernieuwende handvatten die door de Digitale Agenda tot stand zijn gekomen? Of waren die er anders ook wel geweest? En, hebben we hier niet allang in geïnvesteerd de afgelopen jaren? Ofwel, ben je niet een beetje laat als je nu pas voor het eerst een Cybergame of -oefening inzet?

Oude wijn in nieuwe zakken?

De eerlijkheid gebiedt mij te zeggen dat ik de agenda weinig vernieuwend vind. Het lijkt erop dat, in plaats van kritisch terug te kijken naar de Digitale Agenda 2020, de inhoud in een nieuw jasje (agenda) gestoken is. Iets wat typerend is voor gemeenteland: vanuit de Plan-Do-Check-Act (PDCA)-cyclus besteden we met name aandacht aan het plannen en (deels) uitvoeren van zaken – ofwel Plan & Do –, maar zien we ook dat er vaak weinig aandacht is voor controle en daaruit volgende maatregelen (Check & Act). Ja we hebben ENSIA, maar dat is een verplichting.

Uiteraard roept digitalisering vragen op als het gaat om informatieveiligheid. Digitalisering neemt namelijk nieuwe kwetsbaarheden en dreigingen met zich mee, bijvoorbeeld als het gaat om de bescherming van onze gegevens en de continuïteit van de gemeentelijke dienstverlening. Maar was dit niet ook al zo jaren geleden? Met de ‘Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente hebben gemeenten al in 2013 hun verantwoordelijkheid rond een goede informatiebeveiliging erkend. Met de komst van de Baseline Informatiebeveiliging Overheid (BIO) worden rollen, taken en verantwoordelijkheden al duidelijker belegd.

Wie heeft primair baat bij deze digitale agenda? Juist, bestuurders en directie, die vooral óver informatiebeveiliging willen blijven praten. En ja, daar moet je als CISO tot op zekere hoogte in meegaan. Maar met alleen praten en een nieuwe agenda komen we er niet, althans dat gaat ons niets concreets brengen aan resultaat. Hoogstens een kleine toename aan bewustzijn bij bestuurders. Dergelijke agenda’s worden namelijk vaak abstract en tamelijk algemeen opgesteld. Vervolgens worden successen – waarvan ik denk dat die er ook waren geweest zónder Digitale Agenda – gerelateerd aan die agenda. Zo wordt de indruk gewekt dat doelstellingen gehaald worden. Maar is dat ook zo?

Jarenlange inspanning

Dat het belang van informatiebeveiliging alleen maar toeneemt en dat dit om extra inspanningen en initiatieven vraagt, proberen we als CISO’s al jaren op de agenda van bestuur en management te krijgen én houden. Digitalisering en informatiebeveiliging gaan immers hand in hand. Dat alle overheidslagen zich dit inmiddels realiseren en digitale veiligheid steeds hoger op de bestuurlijke prioriteitenlijst hebben staan is fijn, maar laten we niet vergeten dat dit jaren aan inspanning heeft gekost. Informatiebeveiliging is voor veel bestuurders nou eenmaal een lastig onderwerp en zij zien het daarom niet als relevant. Een Digitale Agenda gaat daar weinig verandering in brengen. Het verschil met een paar jaar geleden zit hem erin dat bestuurders in het kader van (nieuwe) wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) en de BIO, nu ‘gedwongen’ worden om zorgvuldig om te gaan met (persoons)gegevens in deze digitaliserende wereld. De regels waren er daarvoor ook al, o.a. vanuit de Wbp, alleen werd daar geen tot weinig aandacht aan besteed.

Daarbij komt dat, veel meer dan bij de vorige baselines, de BIO het lijnmanagement helpt bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging en risicomanagement. De tien bestuurlijke principes die de VNG eerder heeft opgesteld, helpen het bestuur daarbij. De tien actielijnen zoals gepresenteerd in de Agenda Digitale Veiligheid 2020-2024 komen deels overeen met deze tien bestuurlijke principes.

Kortom, is de agenda niet slechts oude wijn in nieuwe zakken? Kunnen we niet uitstekend zónder een dergelijke agenda? Wat vind jij?

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Verantwoordelijkheden van de proceseigenaar binnen de BIO

Informatiebeveiliging is binnen de BIO een verantwoordelijkheid van de proceseigenaar. Maar waar ben je dan precies verantwoordelijk voor en wat houdt die verantwoordelijkheid in

De rol van de OR bij privacy op de werkvloer

De ondernemingsraad (OR) speelt een belangrijke rol in een organisatie, ook op het gebied van privacy op de werkvloer.

Het belang van patchmanagement

Als we het hebben over informatiebeveiliging, komen de termen patches en patchmanagementproces vaak voorbij. Maar wat betekenen deze termen nu eigenlijk? Waarom is patchmanagement zo belangrijk? En hoe richt je zo’n proces dan in? In deze blog lee…

De AVG versus de Wet politiegegevens (Wpg)

: Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wp…

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?