Skip to main content

ENSIA: méér dan de C in PDCA?


Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de Baseline Informatiebeveiliging Overheid (BIO). ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarlijkse onderhoudsbeurt. Maar het is zoveel meer, toch?

ENSIA en de auditlast

Eenduidige Normatiek Single Information Audit; een hele mond vol. Eenvoudig komt het er op neer dat ENSIA bestaande verantwoordingslijnen binnen (lokale) overheden richting toezichthouders heeft gebundeld, en wel op twee manieren: 1) normenkaders zijn zoveel mogelijk ontdubbeld, en 2) de verantwoordingsmomenten zijn zoveel mogelijk uitgelijnd. Dat klinkt veelbelovend.

Deze rijke definitie van ENSIA maakt echter niet dat het instrument in de praktijk ten volle wordt benut. Over de toekomst van ENSIA heb ik ook al eerder geschreven (deel I & deel II). Regelmatig hoor ik geklaag over de hoge auditlast die ENSIA oplegt en hoe het afleidt van het ‘eigenlijke’ werk. Alsof informatiebeveiliging een auto is, waarbij elke onderhoudsbeurt (audit) slechts gedoogd wordt om het gebruik te continueren. Nee, dan laat je veel liggen wat mij betreft.

Onderhoudskosten

Om nog even bij de auto te blijven: de kosten voor een onderhoudsbeurt zijn doorgaans hoger bij een oudere auto, maar ook bij een auto waar onzorgvuldig mee wordt omgegaan. Deze kosten dienen we voor lief te nemen indien de auto ons van A naar B moet blijven brengen. Wanneer het gaat om de jaarlijkse audit op informatiebeveiliging redeneren we echter anders, zo lijkt.

Onvolwassen processen, een managementsysteem dat nog in de kinderschoenen staat, de afwezigheid van interne controle, en in het algemeen: reageren in plaats van anticiperen creëert de perceptie dat ENSIA een hoge auditlast oplegt. Echter, de voornoemde zaken creëren de hoge onderhoudskosten (het werk) en niet de onderhoudsbeurt (de audit) zelf. Wie een oude auto blijft rijden, dient de onderhoudskosten voor lief te nemen. En oplappen is en blijft tijdelijk.

Van onderhoud naar verbetering

Waar de analogie van de auto in de garage echter niet opgaat: ENSIA dient een stap in een verbetercyclus te zijn. We laten geen onderhoudsbeurten uitvoeren om slechts ‘te blijven rijden’, maar om het onderhoud zelf steeds verder te reduceren. Uit een audit volgen immers bevindingen en derhalve verbeterpunten. Een goede opvolging van deze punten maakt dat ze het daarop volgende jaar niet wederom op de factuur van de garage hoeven te staan.

Verbeterplannen zetten auditbevindingen om in maatregelen en acties. Op deze wijze vangt de Plan-Do-Check-Act (PDCA) cyclus opnieuw aan vanuit de audit, die als Check fungeert. Maar papier is geduldig en voor je het weet ligt de spreekwoordelijke brief van de RDW alweer op de mat. Dan ben je alweer toe aan de volgende Check zonder dat je goed invulling hebt kunnen geven aan de tussenliggende fasen. Van monitoring op de plannen was namelijk nauwelijks sprake. Ik begrijp maar al te goed dat de weerbarstige praktijk maakt dat je achter de feiten aan blijft lopen. De auto gaande houden vraagt al genoeg, laat staan dat je nadenkt over verbeteren. Maar ENSIA is een middel, en geen doel op zich.

Stop met smeren

Deze weinig constructieve jaarcyclus doorbreken vraagt mijns inziens tenminste de volgende twee zaken. Allereerst dienen wijzelf, de informatiebeveiligers, te stoppen met smeren. Geen eigen onderhoud tussendoor (dat onder de radar blijft) om zo de kosten voor de jaarlijkse onderhoudsbeurt te beperken. Berg de olieknip op. Wij zijn niet de eigenaar van deze auto. Dat ‘ie vervolgens gaat piepen en kraken is alleen maar goed.

Ten tweede dien je serieus tijd te reserveren in je agenda voor het inrichten van een werkend managementsysteem, ofwel de PDCA-cyclus voor informatiebeveiliging. Kijk regelmatig óver je werk heen en ontwaar de jaarlijks terugkerende, vaste onderdelen en momenten. Zorg dat alle vier fasen invulling krijgen, hoe bescheiden ook. Vervolgens dienen ze elkaar natuurlijk logisch op te volgen. Torenhoge onderhoudskosten kúnnen hierbij als wind in de rug dienen.

Het eigenlijke object van onderzoek

De kunst is om ENSIA aan te grijpen voor het intern verleggen van focus. Die moet niet primair liggen op individuele voorzieningen, systemen of registraties. Niet primair op de aldaar juist geïmplementeerde maatregelen. De focus dient primair te liggen op het proces waarbinnen deze maatregelen geïmplementeerd zijn én beheerd worden. Anders slaag je er niet in om ooit ‘in control’ te komen, zoals we dat dan mooi noemen.

Stel jezelf de vraag: waarop wordt nu eigenlijk onderhoud uitgevoerd? Waarvoor staat die auto? Wat is het eigenlijke object van onderzoek? Voorkom dat je niet voorbij de maatregelen komt. De maatregelen waarvoor je jezelf grotendeels verantwoordelijk voelt. Natuurlijk moeten die maatregelen genomen worden en middels ENSIA blijkt of dat adequaat is gebeurd. Maar informatiebeveiliging is zoveel meer dan alleen maatregelen implementeren.

Tot slot

ENSIA is alles behalve perfect. Onlangs rondde ik als ENSIA-coördinator twee tijdrovende, complexe verantwoordingstrajecten af die niet vanzelf gingen. De E van Eenduidig en de S van Single blijven onder druk staan, maar desalniettemin bepalen jij en ik grotendeels zélf wat we van ENSIA willen maken. En ik rijk daarbij elk jaar een stukje verder. Wil je meer weten over dit onderwerp? Neem dan geheel vrijblijvend contact met ons op.

* Deze blog is onlangs als artikel verschenen in het vakblad Od.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.