De ingrediënten van een jaarverslag


Alhoewel we richting eind eerste kwartaal gaan van het nieuwe jaar, zal menig CISO en FG bezig zijn of gaan met het schrijven van een jaarverslag over het voorgaande jaar, of daarvoor input aanleveren. Maar wat zet je nu wel of niet in een jaarverslag? En wie durft het aan over informatiebeveiliging en/of privacy te verantwoorden in een separaat jaarverslag? De ingrediënten van zo’n jaarverslag staan centraal in deze blog.

Planning & Control

In gemeenteland kennen we natuurlijk het verplichte jaarverslag in relatie tot de jaarrekening. Dit is het instrument waarmee het college verantwoording aflegt aan de gemeenteraad. Op bescheiden wijze kiezen steeds meer gemeenten ervoor om in een separaat jaarverslag te verantwoorden over informatiebeveiliging en/of privacy. In deze blog richt ik mij tot de CISO’s omdat de FG’s al zo’n mooi template van de IBD hebben én doorgaans beter/steviger gepositioneerd zijn richting het bestuur.

CISO’s kiezen voor een separaat jaarverslag omdat de ruimte die geboden wordt in de paragraaf bedrijfsvoering van het jaarverslag vaak te beperkt is voor wat gezegd moet worden. En daar komt bij dat het jaarverslag meestal een nogal lijvig document is waardoor hun bijdrage over informatiebeveiliging dreigt te verdwijnen in het grote geheel. Tot slot stimuleert ook ENSIA een uitbreidere verantwoording naar de gemeenteraad, aansluitend op de planning & control cyclus.

ENSIA is te smal

Mooi, dat ENSIA maar als basis voor een jaarverslag over informatiebeveiliging vind ik het echt te smal. Dat standpunt deelt VNG Realisatie volgens mij omdat ik in de handreiking ’Bouwstenen oplegnotitie bestuurlijke verantwoording’ ook een bredere invalshoek aantref. Niettemin is een oplegnotitie wel wat anders dan een jaarverslag. Vanuit de ENSIA BIO pilot in 2019 is een concept rapportage opgesteld door de werkgroep Rapportages die uitstekend als vertrekpunt kan dienen, mits je dus voorbij alleen ENSIA denkt.

De ‘Handreiking bestuurlijke rapportage’ – eveneens te vinden op de website van VNG Realisatie – consolideert de BIO maatregelen naar vijf thema’s die mijns inziens voldoende tot de verbeelding spreken. De BIO is wat mij betreft de ideale kapstok voor een jaarverslag over informatiebeveiliging, zeker. De vijf thema’s zijn:

  1. Beleid en Organisatie
    Actueel beleid en organisatie van informatiebeveiliging en controle op naleving
  2. Personeel en Toegang
    Juiste toegang voor medewerkers tot gebouwen, systemen en gegevens
  3. Continuïteit en Incidenten
    Zorgen voor de continuïteit van de dienstverlening en opvolging van incidenten
  4. Informatiesystemen
    Veilige omgang met informatiesystemen en afspraken hierover met leveranciers
  5. Gegevensbescherming
    Veilige omgang met gegevens in software en op hardware

Per thema geef je een introductie, benoem je focuspunten uit het afgelopen jaar en geef je een samenvatting van de resultaten. Ga in op de activiteiten en hoe die hebben bijgedragen aan het behalen van de gewenste resultaten. Verderop geef je, wederom per thema, ook een doorkijkje naar het komende jaar, maar dan vooral op de thema’s waar de resultaten achterblijven. Je schrijft immers geen jaarplan, maar een jaarverslag.

Thema’s en bronnen

De voornoemde indeling in thema’s komt voort uit de BIO (hoofdstukken) en derhalve is het volstrekt logisch de BIO zelfevaluatie uit ENSIA een centrale rol te geven in je jaarverslag. Maar misschien heb je ook wel een GAP-analyse uitgevoerd, of een volwassenheidsmeting. Of werk je in je gemeente naar een ISO27001 certificering toe. Mijn advies is om te putten uit al deze bronnen, maar steeds de thema-indeling aan te houden.

  • Grote calamiteit? Thema drie.
  • Grafiekjes over incidenten zoals gemeld bij de servicedesk? Andermaal drie.
  • Social engineering uit laten voeren? Thema twee.
  • Bewustwordingsprogramma opgezet? Thema één.
  • Mobile Device Management uitgerold? Thema vijf.
  • Forensisch onderzoek uit laten voeren n.a.v. een hack? Weer thema vijf.
  • Nieuwe beleid voor informatiebeveiliging? Thema één.
  • Uitbesteding van applicaties naar de cloud gaande? Thema vier.
  • Enzovoorts.

Langs een andere lijn bezien: welke bronnen (documenten) heb je tot je beschikking? Naast de ENSIA is dat doorgaans ook de IT-audit op de General IT Controls (GITC’s) als onderdeel van de jaarrekeningcontrole. Wat te denken van een eventueel risicoregister (thema 1)? Uitgevoerde risicoanalyses, classificaties (thema 4/5) opgestelde rapportages, directiebeoordelingen, dashboards en ga zo maar door. Was er in het afgelopen jaar – of daarvoor – sprake van een rekenkameronderzoek op informatiebeveiliging? Relateer dan de aanbevelingen van de rekenkamercommissie aan de respectievelijke thema’s. Wijzig de thema’s de komende 5 jaar NIET.

Indien de FG binnen jouw gemeenten een jaarverslag opstelt, is het verstandig enkele dwarsverbanden te benoemen bij relevante thema’s. Daarbij denk ik bijvoorbeeld aan thema 4 (verwerkersovereenkomsten) en thema 5 (DPIA’s).

Door de zure appel heen

Het valt VNG Realisatie en de IBD te prijzen dat ze niet een ‘format jaarverslag’ aanbieden. Bovenstaande uiteenzetting heeft hopelijk (over)duidelijk gemaakt dat er altijd sprake is van veel maatwerk. Op de BIO kapstok en de thema-indeling is er inderdaad gemeenschappelijke grond, maar de aanwezige bronnen die je voor handen hebt zullen uiteenlopen. Ook zullen de politieke accenten anders zijn. Dit alles zal je een plek moeten geven in je (eerste) jaarverslag informatiebeveiliging.

Het is geen eenvoudige opgave, maar wanneer je eenmaal een eerste poging gedaan hebt kan je vanuit daar elk jaar verbeteren en/of uitbreiden. Kwestie van door de zure appel heen bijten en daarna de voordelen gaan merken van een jaarverslag. Enne, een jaarplan maakte je al, toch?

Ps. gebruik niet teveel tekst

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Is jouw gegevensverwerking rechtmatig?

Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar hoe weet je of jouw gegevensverwerking recht…

Het NIST CyberSecurity Framework als kans?

Binnen informatiebeveiliging praten we vaak over normen, managementsystemen en frameworks. Zo heb je het NIST Cyber Security Framework, maar hoe verhoudt dat zich tot het ISMS en de BIO? Lees het in onze blog.

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?