Op 9 juli werd vrij geruisloos het rapport ‘Evaluatie en versterking ENSIA-stelsel’ gepubliceerd op de website Digitale Overheid. De opdracht tot een evaluatie kwam reeds twee jaar eerder vanuit de stuurgroep ENSIA (nu: regieraad). De drie tussenliggende jaren hebben echter niet geleid tot een degelijke evaluatie van het ENSIA-stelsel. Sterker nog, ik vind het evaluatierapport van erbarmelijke kwaliteit.

Achtergrond

Eerlijk is eerlijk, de opdracht tot ENSIA evaluatie is pas in september 2019 gegeven door de stelselverantwoordelijke BZK terwijl de staatssecretaris Knops (BZK) al in december 2018 aangaf richting de Tweede Kamer dat de systematiek van ENSIA-zelfevaluaties geëvalueerd zal worden t.b.v. een verbeterde verantwoording(ssystematiek). Je leest het goed: evaluaties evalueren.

Het onderzoek is uitgevoerd door twee mensen vanuit I-Iterim Rijk. Dit ‘… ten behoeve van de onafhankelijkheid en een veilige omgeving […] zonder last en ruggenspraak […] voor het leiden en documenteren van de verschillende groepssessies […]’.

De doelstelling van de evaluatie: ‘het evalueren van het ENSIA-stelsel en het vervolgens komen tot onderling gedragen verbeteringen/conclusies, en daarmee versterking van het ENSIA-stelsel. Dit op basis van de eigen ervaringen en inhoudelijke expertise van alle betrokken stakeholders’. Een wat wollige doelstelling, maar enfin.

Rode draden

Ondersteunt het ENSIA-stelsel voldoende bij het op orde krijgen van de informatiebeveiliging en de andere in het stelsel opgenomen domeinen?

Bewustwording is weer eens bevorderd, maar zonder ooit te definiëren wat een acceptabel of wenselijk niveau is, blijven we het natuurlijk ‘bevorderen’. Deze bevordering wordt m.i. schaamteloos overschat (“grote winst”). Het accent op de horizontale verantwoording wordt als juist gezien, maar dat is het papieren accent. In de praktijk ligt het accent wel degelijk op de verticale verantwoording. Dat wordt later overigens ook gesteld in het rapport? Make up your mind.

En er is bij de gemeenten helemaal geen ‘intern, integraal beeld ontstaan’. De verslaglegging naar het college is bijna uitsluitend op basis van de collegeverklaring en hoe kan DigiD/Suwinet een ‘integraal beeld’ leveren? Er wordt terecht gesteld dat er nog ‘jaren nodig zijn’ voor voldoende aandacht van bestuurders en management voor informatiebeveiliging. Niks “grote winst” dus.

Zonder enige toelichting valt de term ‘assertion based’ (‘de huidige baseline audit’?) terwijl ‘risk based verantwoording/audits’ meer zou ‘aanspreken en dynamiek geven’. Dit wordt vooral níet concreet gemaakt. Aansluiting met de P&C cyclus via een PDCA-proces kennen we wel: vooralsnog een papieren (droom)werkelijkheid. Een nee, zeker niet alles wat in de BIO staat is van belang voor de jaarrekening!

Ondersteunt het ENSIA-stelsel de stelselhouders/toezichthouders voldoende om in hun informatiebehoefte te voorzien?

De vele woorden die gewijd worden aan de ‘op andere wijze organiseren’ van DigiD verantwoording bespaar ik je grotendeels. In ieder geval moet ‘het gesprek’ ‘met grotere snelheid worden afgerond’ ‘waarbij gekeken wordt hoe de DigiD audit wel kan meelopen in een efficiënt verantwoordingsproces’ ‘zodat voor beide partijen (verticaal en horizontaal) een pragmatische werkwijze ontstaan’. De inzichten zijn van een ongekend niveau.

Aan Suwi worden weinig woorden gewijd anders dan dat het goed aansluit op de BIO. Eens. Toch krijgen gemeenten guidance vanuit VNG Realisatie, vanuit NOREA én vanuit het BKWI. Op detailniveau ligt het kennelijk wat genuanceerder.

In welke mate draagt het ENSIA-stelsel bij aan het terugdringen van de verantwoordingslast voor gemeenten?

De eerste constatering onderstreep ik: de verticale en horizontale wijze van rapporteren leidt bij gemeenten tot druk in het verantwoordingsproces. Er is vooralsnog geen aansluiting op bestuurlijke niveau v.w.b. het RvIG deel van ENSIA en de aansluiting op de IT-audit i.h.k.v. de jaarrekeningcontrole is al helemaal ver te zoeken. Waar, maar tevens oud nieuws.

‘De inrichting van de huidige assurance kan efficiënter worden ingericht’. Los van het containerbegrip: zeker, eens! Maar hoe? ‘De VNG, stelsel/toezichthouders en auditcommité zouden nadrukkelijker onder leiding van BZK […] aan een voorstel moeten werken dat voorziet in een effectievere en efficiëntere inzet van audits […]’. Ah, zo.

Er wordt commentaar geleverd op de splitsing in de kwaliteitsmonitor en het ENSIA portaal wat leidt tot het gebruik van 2 tools. Eens, ze kunnen m.i. beter de vragen uit de zelfevaluatie overhevelen naar het ENSIA portaal. Maar RvIG heeft er vermoedelijk een andere mening over. Over tooling gesproken: ook de ontbrekende koppeling tussen een ISMS-applicatie en het ENSIA-portaal komt weer langs. Je kan als ENSIA coördinator niet naar een bijeenkomst waar niet tenminste een kwartier gemekkerd wordt over dit punt. Really? Er is helemaal geen sprake van dubbele registratie, zoals gesteld wordt (zonder enige toelichting of onderbouwing).

ISMS software faciliteert het Plan-Do-Check-Act proces op het gebied van informatiebeveiliging. Ofwel: je kan je managementsysteem op het gebied van informatiebeveiliging vormgeven en invullen m.b.v. deze software. Dat is totaal anders dan het ENSIA-portaal: daarin leg je immers verantwoording af. Ze moeten dus wel op elkaar aansluiten, maar van dubbele registratie is geenszins sprake. Dan gebruik je één van beide systemen niet goed.

Voldoet de governance rond het ENSIA-stelsel?

Dit is echt een vreselijke pagina in het rapport. ‘Een interdepartementale en integrale visie/beleid op toezicht ontbreekt’. Waarvan akte. ‘checks en balances verdienen meer aandacht’. Tja, als je meent dat dergelijke vaagheden voldoende zijn i.r.t. de doelstelling van de evaluatie. Naast dat BZK ‘een centrale, op risicoafweging gebaseerde, overheid brede toezicht visie dient te ontwikkelen’ is ook de financiering van ENSIA ‘onvoldoende robuust verankerd in het P&C cyclus van BZK’. Komt op mij over als veel woorden en weinig zeggen.

Hier valt ongetwijfeld veel verbetering in te behalen, maar wanneer je in een evaluatierapport als deze blijft steken op dergelijke algemeenheden bied je de opdrachtgever geen handelingsperspectief. Het voelt ook ’te makkelijk’ om hier zonder onderbouwing te spreken over een gesprek aan (toezicht)visie. Welk probleem gaat die visie oplossen? Werkt ENSIA nu niet goed zonder deze visie? Waar zou die visie dan precies inhoudelijk op in moeten gaan?

Is ENSIA werkelijk geholpen met een overheid brede, interdepartementale, integrale visie op toezicht? Er vanuit gaande dat zoiets er überhaupt zou kúnnen komen.

Wat gaat (niet) goed in het ENSIA-stelsel en moet blijven / worden veranderd?

Stevige opener: ‘Niets veranderen wordt door alle betrokkenen als een bedreiging voor het ENSIA-stelsel en doelstelling beschouwd!’ (inclusief uitroepteken. Het gaat dan o.a. om de voornoemde spanning tussen verticale en horizontale verantwoordingsrapportages. DigiD en BRP/Reisdocumenten zou moeten worden aangepast ‘onder de voorwaarde dat die aanpassing niet leidt tot minder integraliteit van de horzizontale rapportages’. Tja, alsof dat niet al geprobeerd is.

Voorts wordt de BIO als kans gezien. Kans waartoe wordt niet gespecificeerd al wordt wel andermaal de risk based verantwoording/audit weer aangehaald. Dat zou ‘meer aanspreken en dynamiek geven’. Maar zullen we eerst toegeven dat je hiervoor een goed werkend proces van risicomanagement nodig hebt? En dat je zonder dergelijk proces terecht op ‘direct reporting’ uitkomt en met een beetje geluk op ‘assertion based’ auditing. Het hoofdstuk sluit af met de bekende PDCA-cyclus (waarvan we inmiddels de betekenis lijken te zijn vergeten) en de stelling dat alles in de BIO relevant is voor de jaarrekening. Let’s agree to disagree.

Discussiepunten

Dit raakt de kern:

‘De ENSIA-doelstelling is tweeledig; eenduidige normatiek (dus overal dezelfde normen) en single information audit = eenmalige audit. Door gebruikers (gemeenten en toezichthouders) worden verschillende accenten gelegd. De toezichthouders leggen daarbij vooral het accent op het verkrijgen van verantwoordingsinformatie over informatieveiligheid, terwijl de gemeenten juist meer belang hebben bij integraal overzicht (waaronder informatieveiligheid) en eenmalige (IT) audit. Deze verschillende benaderingswijzen leiden ertoe dat waar verticaal eerder sprake is van minder via het ENSIA-stelsel, er een horizontale wens is tot meer integratie en uitbreiding van stelselhouders.’

Hier ben ik er eentje van:

‘Door sommigen wordt ENSIA niet als “stelsel” gezien, maar meer als een platform waar verschillende stelsels, kaders en toezichthouders op samenkomen.’

De toekomst

Mijn scherpe toon en de kritische titel van deze blog zijn je niet ontgaan. Ik ben niet onder de indruk van de kwaliteit van deze evaluatie. Derhalve ben ik dat evenmin over de korte (1-2 jaar) en langere (3-4) termijn acties. Wat er staat is niet per sé onwaar noch onverstandig, maar het voelt als een compleet overbodige evaluatie. Kort door de bocht uitgevoerd met teveel aandacht voor operationele details en te weinig aandacht en diepgang voor/op de strategische doelen van ENSIA. En ik tolereer als kritisch lezer geen oneindig gebruik van de woorden ‘effectief’ en ‘efficiënt’.

Het evaluatieteam voegt in bijlage 1 vragen toe aan die van de regiegroep en heeft het aldaar over ESIA. Proves my point.