In februari publiceerde de Vereniging van Nederlandse Gemeente (VNG) de Agenda Digitale Veiligheid 2020-2024. De agenda biedt gemeenten een handelingsperspectief dat aansluit bij de bestuurlijke praktijk en bevat 10 actielijnen met als doel het vertrouwen van inwoners en ondernemers in de digitale veiligheid te vergroten én vast te houden. Maar biedt deze nieuwe agenda daadwerkelijk een nieuw handelingsperspectief? Of is het oude wijn in nieuwe zakken…

Digitale transformatie

De wereldwijde digitalisering gaat razendsnel en transformeert onze maatschappij in een rap tempo. Dit biedt nieuwe kansen, ook voor gemeenten. Als gemeente sta je immers midden in de informatiesamenleving. Niet voor niets investeren gemeenten al jaren in digitalisering van de publieksdienstverlening en omarmen zij de mogelijkheden die digitalisering biedt. Dit was ook één van de redenen dat gemeenten in 2015 hebben besloten om meer samen te ontwikkelen en samen de Digitale Agenda 2020 vast te stellen, onder het motto ‘samen doen wat samen kan’. Vanaf het jaar 2020 zouden alle gemeenten en overheidsorganisaties moeten voldoen aan deze Digitale Agenda. De agenda bevat zes doelstellingen: meer datagedreven werken, het optimaliseren van de gemeenschappelijke infrastructuur, samen organiseren, het verbeteren van de dienstverlening aan inwoners en ondernemers, het verder doorvoeren van innovaties en beter onderzoek. Mooi én veilig abstract verwoord, niet?

Resultaten Digitale Agenda 2020

In de tussentijdse rapportage ‘Gemeenten op weg naar 2020’, is te lezen dat vanuit het programma talloze resultaten behaald zijn. Resultaten die duidelijk maken dat samenwerken loont. Zo zijn de laatste jaren veel stappen gezet. Gemeenten communiceren digitaal met de burger, bijvoorbeeld via DigiD en de Berichtenbox, er zijn standaard onlinediensten ontwikkeld voor o.a. de aangifte Overlijden en de aangifte Verhuizen en Emigreren, en ook onze manier van denken en (samen)werken is veranderd. Denk aan datagestuurd werken en het digitaal samenwerken op afstand. De vraag is natuurlijk of de Digitale Agenda 2020 hier wezenlijk aan heeft bijgedragen.

Het digitaal samenwerken is met name de afgelopen maanden versneld geïmplementeerd bij veel organisaties, waaronder gemeenten. Digitalisering was niet eerder zo belangrijk als nu. Organisaties schakelden massaal om naar digitaal vergaderen via Skype of Microsoft Teams. Ook is het niet eerder voor gemeenten zo belangrijk geweest om burgers digitaal te kunnen bereiken. Een mooi voorbeeld dat aantoont hoe veerkrachtig we zijn? Óf een voorbeeld dat juist aantoont dat we er eigenlijk nog niet waren… De urgentie was er namelijk al langer vanuit de ambitie Digitale Agenda 2020: ‘we werken massaal digitaal en leveren waar nodig maatwerk lokaal’.

Agenda Digitale Veiligheid 2020-2024

De eindrapportage van de Digitale Agenda 2020 is (nog?) niet opgesteld of er ligt alweer een nieuwe agenda: de Agenda Digitale Veiligheid 2020-2024 voor een veilige (digitale) gemeente. Een belangrijk deelonderwerp is immers digitale veiligheid. Daarom ontwikkelde de VNG een aparte agenda hierover. Het doel van deze agenda? ‘Een handelingsperspectief bieden voor de lokale bestuurder bij vraagstukken rondom digitale veiligheid’. De agenda bevat de ambities voor de komende vier jaar om te komen tot een digitaal veilige gemeente en biedt tien actielijnen voor de bestuurlijke praktijk, welke zijn verdeeld onder vier thema’s: ‘Awareness’, ‘Governance’, ‘Risicogericht handelen’ en ‘Eén overheid/samen organiseren’.

En dat is niet alles. De agenda biedt ook ‘concrete handvatten’ voor bestuurders bij het voorkomen en oplossen van cyberincidenten. Zo staan er onder andere instrumenten benoemd, zoals de Cybergame en een Cyberoefening. Maar zeg nou eerlijk: zijn dit nu echt vernieuwende handvatten die door de Digitale Agenda tot stand zijn gekomen? Of waren die er anders ook wel geweest? En, hebben we hier niet allang in geïnvesteerd de afgelopen jaren? Ofwel, ben je niet een beetje laat als je nu pas voor het eerst een Cybergame of -oefening inzet?

Oude wijn in nieuwe zakken?

De eerlijkheid gebiedt mij te zeggen dat ik de agenda weinig vernieuwend vind. Het lijkt erop dat, in plaats van kritisch terug te kijken naar de Digitale Agenda 2020, de inhoud in een nieuw jasje (agenda) gestoken is. Iets wat typerend is voor gemeenteland: vanuit de Plan-Do-Check-Act (PDCA)-cyclus besteden we met name aandacht aan het plannen en (deels) uitvoeren van zaken – ofwel Plan & Do –, maar zien we ook dat er vaak weinig aandacht is voor controle en daaruit volgende maatregelen (Check & Act). Ja we hebben ENSIA, maar dat is een verplichting.

Uiteraard roept digitalisering vragen op als het gaat om informatieveiligheid. Digitalisering neemt namelijk nieuwe kwetsbaarheden en dreigingen met zich mee, bijvoorbeeld als het gaat om de bescherming van onze gegevens en de continuïteit van de gemeentelijke dienstverlening. Maar was dit niet ook al zo jaren geleden? Met de ‘Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ hebben gemeenten al in 2013 hun verantwoordelijkheid rond een goede informatiebeveiliging erkend. Met de komst van de Baseline Informatiebeveiliging Overheid (BIO) worden rollen, taken en verantwoordelijkheden al duidelijker belegd.

Wie heeft primair baat bij deze digitale agenda? Juist, bestuurders en directie, die vooral óver informatiebeveiliging willen blijven praten. En ja, daar moet je als CISO tot op zekere hoogte in meegaan. Maar met alleen praten en een nieuwe agenda komen we er niet, althans dat gaat ons niets concreets brengen aan resultaat. Hoogstens een kleine toename aan bewustzijn bij bestuurders. Dergelijke agenda’s worden namelijk vaak abstract en tamelijk algemeen opgesteld. Vervolgens worden successen – waarvan ik denk dat die er ook waren geweest zónder Digitale Agenda – gerelateerd aan die agenda. Zo wordt de indruk gewekt dat doelstellingen gehaald worden. Maar is dat ook zo?

Jarenlange inspanning

Dat het belang van informatiebeveiliging alleen maar toeneemt en dat dit om extra inspanningen en initiatieven vraagt, proberen we als CISO’s al jaren op de agenda van bestuur en management te krijgen én houden. Digitalisering en informatiebeveiliging gaan immers hand in hand. Dat alle overheidslagen zich dit inmiddels realiseren en digitale veiligheid steeds hoger op de bestuurlijke prioriteitenlijst hebben staan is fijn, maar laten we niet vergeten dat dit jaren aan inspanning heeft gekost. Informatiebeveiliging is voor veel bestuurders nou eenmaal een lastig onderwerp en zij zien het daarom niet als relevant. Een Digitale Agenda gaat daar weinig verandering in brengen. Het verschil met een paar jaar geleden zit hem erin dat bestuurders in het kader van (nieuwe) wet- en regelgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) en de BIO, nu ‘gedwongen’ worden om zorgvuldig om te gaan met (persoons)gegevens in deze digitaliserende wereld. De regels waren er daarvoor ook al, o.a. vanuit de Wbp, alleen werd daar geen tot weinig aandacht aan besteed.

Daarbij komt dat, veel meer dan bij de vorige baselines, de BIO het lijnmanagement helpt bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging en risicomanagement. De tien bestuurlijke principes die de VNG eerder heeft opgesteld, helpen het bestuur daarbij. De tien actielijnen zoals gepresenteerd in de Agenda Digitale Veiligheid 2020-2024 komen deels overeen met deze tien bestuurlijke principes.

Kortom, is de agenda niet slechts oude wijn in nieuwe zakken? Kunnen we niet uitstekend zónder een dergelijke agenda? Wat vind jij?