Alhoewel we richting eind eerste kwartaal gaan van het nieuwe jaar, zal menig CISO en FG bezig zijn of gaan met het schrijven van een jaarverslag over het voorgaande jaar, of daarvoor input aanleveren. Maar wat zet je nu wel of niet in een jaarverslag? En wie durft het aan over informatiebeveiliging en/of privacy te verantwoorden in een separaat jaarverslag? De ingrediënten van zo’n jaarverslag staan centraal in deze blog.

Planning & Control

In gemeenteland kennen we natuurlijk het verplichte jaarverslag in relatie tot de jaarrekening. Dit is het instrument waarmee het college verantwoording aflegt aan de gemeenteraad. Op bescheiden wijze kiezen steeds meer gemeenten ervoor om in een separaat jaarverslag te verantwoorden over informatiebeveiliging en/of privacy. In deze blog richt ik mij tot de CISO’s omdat de FG’s al zo’n mooi template van de IBD hebben én doorgaans beter/steviger gepositioneerd zijn richting het bestuur.

CISO’s kiezen voor een separaat jaarverslag omdat de ruimte die geboden wordt in de paragraaf bedrijfsvoering van het jaarverslag vaak te beperkt is voor wat gezegd moet worden. En daar komt bij dat het jaarverslag meestal een nogal lijvig document is waardoor hun bijdrage over informatiebeveiliging dreigt te verdwijnen in het grote geheel. Tot slot stimuleert ook ENSIA een uitbreidere verantwoording naar de gemeenteraad, aansluitend op de planning & control cyclus.

ENSIA is te smal

Mooi, dat ENSIA maar als basis voor een jaarverslag over informatiebeveiliging vind ik het echt te smal. Dat standpunt deelt VNG Realisatie volgens mij omdat ik in de handreiking ’Bouwstenen oplegnotitie bestuurlijke verantwoording’ ook een bredere invalshoek aantref. Niettemin is een oplegnotitie wel wat anders dan een jaarverslag. Vanuit de ENSIA BIO pilot in 2019 is een concept rapportage opgesteld door de werkgroep Rapportages die uitstekend als vertrekpunt kan dienen, mits je dus voorbij alleen ENSIA denkt.

De ‘Handreiking bestuurlijke rapportage’ – eveneens te vinden op de website van VNG Realisatie – consolideert de BIO maatregelen naar vijf thema’s die mijns inziens voldoende tot de verbeelding spreken. De BIO is wat mij betreft de ideale kapstok voor een jaarverslag over informatiebeveiliging, zeker. De vijf thema’s zijn:

1. Beleid en Organisatie
   Actueel beleid en organisatie van informatiebeveiliging en controle op naleving
2. Personeel en Toegang
   Juiste toegang voor medewerkers tot gebouwen, systemen en gegevens
3. Continuïteit en Incidenten
   Zorgen voor de continuïteit van de dienstverlening en opvolging van incidenten
4. Informatiesystemen
   Veilige omgang met informatiesystemen en afspraken hierover met leveranciers
5. Gegevensbescherming
   Veilige omgang met gegevens in software en op hardware

Per thema geef je een introductie, benoem je focuspunten uit het afgelopen jaar en geef je een samenvatting van de resultaten. Ga in op de activiteiten en hoe die hebben bijgedragen aan het behalen van de gewenste resultaten. Verderop geef je, wederom per thema, ook een doorkijkje naar het komende jaar, maar dan vooral op de thema’s waar de resultaten achterblijven. Je schrijft immers geen jaarplan, maar een jaarverslag.

Thema’s en bronnen

De voornoemde indeling in thema’s komt voort uit de BIO (hoofdstukken) en derhalve is het volstrekt logisch de BIO zelfevaluatie uit ENSIA een centrale rol te geven in je jaarverslag. Maar misschien heb je ook wel een GAP-analyse uitgevoerd, of een volwassenheidsmeting. Of werk je in je gemeente naar een ISO27001 certificering toe. Mijn advies is om te putten uit al deze bronnen, maar steeds de thema-indeling aan te houden.

• Grote calamiteit? Thema drie.
• Grafiekjes over incidenten zoals gemeld bij de servicedesk? Andermaal drie.
• Social engineering uit laten voeren? Thema twee.
• Bewustwordingsprogramma opgezet? Thema één.
• Mobile Device Management uitgerold? Thema vijf.
• Forensisch onderzoek uit laten voeren n.a.v. een hack? Weer thema vijf.
• Nieuwe beleid voor informatiebeveiliging? Thema één.
• Uitbesteding van applicaties naar de cloud gaande? Thema vier.
• Enzovoorts.

Langs een andere lijn bezien: welke bronnen (documenten) heb je tot je beschikking? Naast de ENSIA is dat doorgaans ook de IT-audit op de General IT Controls (GITC’s) als onderdeel van de jaarrekeningcontrole. Wat te denken van een eventueel risicoregister (thema 1)? Uitgevoerde risicoanalyses, classificaties (thema 4/5) opgestelde rapportages, directiebeoordelingen, dashboards en ga zo maar door. Was er in het afgelopen jaar – of daarvoor – sprake van een rekenkameronderzoek op informatiebeveiliging? Relateer dan de aanbevelingen van de rekenkamercommissie aan de respectievelijke thema’s. Wijzig de thema’s de komende 5 jaar NIET.

Indien de FG binnen jouw gemeenten een jaarverslag opstelt, is het verstandig enkele dwarsverbanden te benoemen bij relevante thema’s. Daarbij denk ik bijvoorbeeld aan thema 4 (verwerkersovereenkomsten) en thema 5 (DPIA’s).

Door de zure appel heen

Het valt VNG Realisatie en de IBD te prijzen dat ze niet een ‘format jaarverslag’ aanbieden. Bovenstaande uiteenzetting heeft hopelijk (over)duidelijk gemaakt dat er altijd sprake is van veel maatwerk. Op de BIO kapstok en de thema-indeling is er inderdaad gemeenschappelijke grond, maar de aanwezige bronnen die je voor handen hebt zullen uiteenlopen. Ook zullen de politieke accenten anders zijn. Dit alles zal je een plek moeten geven in je (eerste) jaarverslag informatiebeveiliging.

Het is geen eenvoudige opgave, maar wanneer je eenmaal een eerste poging gedaan hebt kan je vanuit daar elk jaar verbeteren en/of uitbreiden. Kwestie van door de zure appel heen bijten en daarna de voordelen gaan merken van een jaarverslag. Enne, een jaarplan maakte je al, toch?

Ps. gebruik niet teveel tekst