De ingrediënten van een jaarverslag


Alhoewel we richting eind eerste kwartaal gaan van het nieuwe jaar, zal menig CISO en FG bezig zijn of gaan met het schrijven van een jaarverslag over het voorgaande jaar, of daarvoor input aanleveren. Maar wat zet je nu wel of niet in een jaarverslag? En wie durft het aan over informatiebeveiliging en/of privacy te verantwoorden in een separaat jaarverslag? De ingrediënten van zo’n jaarverslag staan centraal in deze blog.

Planning & Control

In gemeenteland kennen we natuurlijk het verplichte jaarverslag in relatie tot de jaarrekening. Dit is het instrument waarmee het college verantwoording aflegt aan de gemeenteraad. Op bescheiden wijze kiezen steeds meer gemeenten ervoor om in een separaat jaarverslag te verantwoorden over informatiebeveiliging en/of privacy. In deze blog richt ik mij tot de CISO’s omdat de FG’s al zo’n mooi template van de IBD hebben én doorgaans beter/steviger gepositioneerd zijn richting het bestuur.

CISO’s kiezen voor een separaat jaarverslag omdat de ruimte die geboden wordt in de paragraaf bedrijfsvoering van het jaarverslag vaak te beperkt is voor wat gezegd moet worden. En daar komt bij dat het jaarverslag meestal een nogal lijvig document is waardoor hun bijdrage over informatiebeveiliging dreigt te verdwijnen in het grote geheel. Tot slot stimuleert ook ENSIA een uitbreidere verantwoording naar de gemeenteraad, aansluitend op de planning & control cyclus.

ENSIA is te smal

Mooi, dat ENSIA maar als basis voor een jaarverslag over informatiebeveiliging vind ik het echt te smal. Dat standpunt deelt VNG Realisatie volgens mij omdat ik in de handreiking ’Bouwstenen oplegnotitie bestuurlijke verantwoording’ ook een bredere invalshoek aantref. Niettemin is een oplegnotitie wel wat anders dan een jaarverslag. Vanuit de ENSIA BIO pilot in 2019 is een concept rapportage opgesteld door de werkgroep Rapportages die uitstekend als vertrekpunt kan dienen, mits je dus voorbij alleen ENSIA denkt.

De ‘Handreiking bestuurlijke rapportage’ – eveneens te vinden op de website van VNG Realisatie – consolideert de BIO maatregelen naar vijf thema’s die mijns inziens voldoende tot de verbeelding spreken. De BIO is wat mij betreft de ideale kapstok voor een jaarverslag over informatiebeveiliging, zeker. De vijf thema’s zijn:

  1. Beleid en Organisatie
    Actueel beleid en organisatie van informatiebeveiliging en controle op naleving
  2. Personeel en Toegang
    Juiste toegang voor medewerkers tot gebouwen, systemen en gegevens
  3. Continuïteit en Incidenten
    Zorgen voor de continuïteit van de dienstverlening en opvolging van incidenten
  4. Informatiesystemen
    Veilige omgang met informatiesystemen en afspraken hierover met leveranciers
  5. Gegevensbescherming
    Veilige omgang met gegevens in software en op hardware

Per thema geef je een introductie, benoem je focuspunten uit het afgelopen jaar en geef je een samenvatting van de resultaten. Ga in op de activiteiten en hoe die hebben bijgedragen aan het behalen van de gewenste resultaten. Verderop geef je, wederom per thema, ook een doorkijkje naar het komende jaar, maar dan vooral op de thema’s waar de resultaten achterblijven. Je schrijft immers geen jaarplan, maar een jaarverslag.

Thema’s en bronnen

De voornoemde indeling in thema’s komt voort uit de BIO (hoofdstukken) en derhalve is het volstrekt logisch de BIO zelfevaluatie uit ENSIA een centrale rol te geven in je jaarverslag. Maar misschien heb je ook wel een GAP-analyse uitgevoerd, of een volwassenheidsmeting. Of werk je in je gemeente naar een ISO27001 certificering toe. Mijn advies is om te putten uit al deze bronnen, maar steeds de thema-indeling aan te houden.

  • Grote calamiteit? Thema drie.
  • Grafiekjes over incidenten zoals gemeld bij de servicedesk? Andermaal drie.
  • Social engineering uit laten voeren? Thema twee.
  • Bewustwordingsprogramma opgezet? Thema één.
  • Mobile Device Management uitgerold? Thema vijf.
  • Forensisch onderzoek uit laten voeren n.a.v. een hack? Weer thema vijf.
  • Nieuwe beleid voor informatiebeveiliging? Thema één.
  • Uitbesteding van applicaties naar de cloud gaande? Thema vier.
  • Enzovoorts.

Langs een andere lijn bezien: welke bronnen (documenten) heb je tot je beschikking? Naast de ENSIA is dat doorgaans ook de IT-audit op de General IT Controls (GITC’s) als onderdeel van de jaarrekeningcontrole. Wat te denken van een eventueel risicoregister (thema 1)? Uitgevoerde risicoanalyses, classificaties (thema 4/5) opgestelde rapportages, directiebeoordelingen, dashboards en ga zo maar door. Was er in het afgelopen jaar – of daarvoor – sprake van een rekenkameronderzoek op informatiebeveiliging? Relateer dan de aanbevelingen van de rekenkamercommissie aan de respectievelijke thema’s. Wijzig de thema’s de komende 5 jaar NIET.

Indien de FG binnen jouw gemeenten een jaarverslag opstelt, is het verstandig enkele dwarsverbanden te benoemen bij relevante thema’s. Daarbij denk ik bijvoorbeeld aan thema 4 (verwerkersovereenkomsten) en thema 5 (DPIA’s).

Door de zure appel heen

Het valt VNG Realisatie en de IBD te prijzen dat ze niet een ‘format jaarverslag’ aanbieden. Bovenstaande uiteenzetting heeft hopelijk (over)duidelijk gemaakt dat er altijd sprake is van veel maatwerk. Op de BIO kapstok en de thema-indeling is er inderdaad gemeenschappelijke grond, maar de aanwezige bronnen die je voor handen hebt zullen uiteenlopen. Ook zullen de politieke accenten anders zijn. Dit alles zal je een plek moeten geven in je (eerste) jaarverslag informatiebeveiliging.

Het is geen eenvoudige opgave, maar wanneer je eenmaal een eerste poging gedaan hebt kan je vanuit daar elk jaar verbeteren en/of uitbreiden. Kwestie van door de zure appel heen bijten en daarna de voordelen gaan merken van een jaarverslag. Enne, een jaarplan maakte je al, toch?

Ps. gebruik niet teveel tekst

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

De ingrediënten van een jaarverslag

In gemeenteland komt het jaarverslag er weer aan. Schrijf jij als CISO of FG al een separaat jaarverslag over informatiebeveiliging of privacy? Zeker doen!

Het bijhouden van een verwerkingsregister, hoe doe je dat?

Hoe zorg je er voor dat het bijhouden van het verwerkingsregister op een juiste en consistente wijze gebeurt?

Ont-Googlen en terughoudendheid met de cloud

Welke keuzes maak je zelf als het gaat om producten en diensten van de tech-giganten? In hoeverre weeg jij zelf informatiebeveiliging en privacy mee? Vandaag een blog met de persoonlijke reis van Renco.

Grip op informatie

Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie. In deze blog licht ik enkele kernpunten en conclusies uit op het geb…

Wat zegt de GIBIT over informatiebeveiliging?

Om te zorgen dat een product of dienst aansluit bij de behoefte, wordt gemeenten aanbevolen om gebruik te maken van de Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT). Deze uniforme inkoopvoorwaarden helpen gemeenten bij het professionaliseren van …

Wanneer en hoe zet je software in bij je ISMS-proces?

Onlangs heb ik een presentatie gegeven over hoe je je organisatie betrekt bij informatiebeveiliging en privacymanagement. En dan met name over hoe je tooling ter ondersteuning van je ISMS kunt inzetten en ook over wanneer je dit doet. In deze blog…