Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels de Eenduidige Normatiek Single Information Audit, ofwel ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Deze zorgt ervoor dat de betrokken medewerkers binnen de gemeentelijke organisatie toegang hebben tot de ENSIA-tool en dat iedereen weet wat er van ze verwacht wordt. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.

ENSIA in het kort

Als burger mag je verwachten dat de overheid zorgvuldig omgaat met jouw informatie en privacy. De overheid streeft naar beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van alle informatie en de daarbij horende informatiesystemen. Om dit te kunnen toetsen, is in 2017 een verantwoordingsstelsel in het leven geroepen; Eenduidige Normatiek Single Information Audit, ofwel ENSIA. Middels dit instrument leggen alle gemeenten jaarlijks verantwoording af aan het college van Burgemeester & Wethouders (B&W) en extern aan de toezichthouders van de verschillende stelsels/ministeries. Het doel van ENSIA is om op een eenduidige wijze, gemakkelijk en efficiënt verantwoording af te leggen over de informatieveiligheid en kwaliteit binnen de organisatie.

Welke verantwoordingen worden afgelegd?

Binnen ENSIA zijn er verschillende vragenlijsten die moeten worden ingevuld (de zelfevaluatie). Zo moeten gemeenten verantwoording afleggen over verschillende domeinen, zoals Suwinet, DigiD, BAG, BGT, BRO, WOZ, BRP en reisdocumenten. Deze verantwoording wordt afgelegd richting verschillende partijen en ministeries:

• Voor Suwinet is de verantwoording gericht aan Bureau Ketensamenwerking Werk en Inkomen (BKWI).
• Voor DigiD is de verantwoording gericht aan Logius.
• Voor BRP en Reisdocumenten is de verantwoording gericht aan de Rijksdienst voor Identiteitsgegevens (RvIG) van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK).
• Voor BAG, BGT en BRO is de verantwoording gericht aan Directoraat Generaal Bestuur, Ruimte en Wonen (DGBRW) van BZK.
• Voor de WOZ is de verantwoording gericht aan de Waarderingskamer.

Let op: In ENSIA 2023 zal de WOZ geen onderdeel zijn van de verantwoordingcyclus!

Daarnaast is er ook de ENSIA BIO-vragenlijst. De resultaten van de ENSIA BIO-vragenlijst, zijn bedoeld als zelfevaluatie over de Baseline Informatiebeveiliging Overheid (BIO) voor het interne bestuur. In tegenstelling tot de andere ENSIA-vragenlijsten, worden deze resultaten dus niet extern gedeeld met een ministerie.

Deadlines voor 2023

De belangrijke data en tijdschema’s voor het jaar 2023 zijn bekend. Zoals ook bij de voorgaande jaren heeft dit eenzelfde opzet:

• 1 juli 2023: Het ENSIA-platform opent voor het uitvoeren van de zelfevaluatie.
• 31 december 2023: Uiterste datum voor de zelfevaluatie (invullen van de vragenlijsten).
• 30 april 2024: Deadline voor het indienen van verantwoordingen bij de betreffende ministeries via het ENSIA portaal.
• 15 juli 2024: Deadline voor het verzenden van goedgekeurde jaarstukken.

ENSIA kent dus de volgende fases in het verantwoordingsjaar: zelfevaluatie, opstellen, verantwoorden en versturen.

Wat zijn de taken en verantwoordelijkheden van een ENSIA-coördinator?

De ENSIA-coördinator coördineert de verschillende fases binnen ENSIA en zorgt dat iedereen weet wat er van ze verwacht wordt en wanneer. Als coördinator houd je overzicht over de lopende acties rondom het ENSIA-traject, de vragen die nog beantwoord dienen te worden en de onderlinge afstemming. Hierbij ga je proactief te werk en benader je zelf de collega’s die op basis van hun expertise antwoord kunnen geven op de vragen. Daarnaast zorgt de ENSIA-coördinator ervoor dat iedereen zich houdt aan de oplevermomenten, zodat de coördinator de antwoorden voor 31 december kan indienen via de ENSIA-tool. Ook dient de ENSIA-coördinator voor 30 april de goedgekeurde collegeverklaring en de Assurance-verklaring in via de ENSIA-tool voor DigiD en Suwinet.

Projectmatig werken

Het is hierbij belangrijk om als ENSIA-coördinator over een bepaalde set (basis)projectmanagementvaardigheden te beschikken. Je bent eigenlijk een projectleider en de betrokkenen bij ENSIA vormen het ‘projectteam’ dat je moet aansturen om het gewenste resultaat te behalen. Daarnaast zorgt projectmatig werken ervoor dat zaken minder vrijblijvend zijn. Niet alleen voor jezelf, maar ook voor de anderen. Het managen van een ENSIA-traject als een project helpt jouw gemeente om ENSIA goed binnen de organisatie uitgevoerd te krijgen. Ik geef je hieronder daarom graag een aantal basisaspecten van projectmanagement mee, waar je mee aan de slag kunt.

1. Zorg voor een plan van aanpak
   Het is belangrijk om een plan van aanpak te maken voor de uitvoering van ENSIA. Hierin staat wat er gedaan moet worden, hoe, wanneer en met wie. Zorg voor duidelijke fasen/stappen in het plan, zodat de voortgang goed kan worden gevolgd met een concrete planning. Denk ook aan het identificeren van risico’s en het treffen van passende maatregelen. Dit plan van aanpak moet besproken worden met alle betrokkenen (bijv. in kick-off) en vastgesteld worden door de betreffende leidinggevenden.
   
2. Leg de verantwoordelijkheid bij de proceseigenaren
   De proceseigenaren/leidinggevenden (van de verschillende afdelingen waar de stelsels op van toepassing zijn) zijn verantwoordelijk voor het invullen van de vragenlijsten en het aanleveren van eventuele bewijsstukken. In de praktijk blijkt dat functioneel applicatiebeheerder vaak worden aangewezen als proceseigenaar. Ga het gesprek aan met de managers van de proceseigenaren en zet hen in hun rol. Zij zijn verantwoordelijk voor het werk van hun teamleden.
   
3. Stel een projectteam ENSIA samen
   Aangezien je ENSIA als een project kunt zien, zijn de deelnemende afdelingen die de vragenlijsten moeten invullen het ‘projectteam’. In dit projectteam zitten o.a. de CISO, evt. Privacy Officer (PO) en inhoudelijke medewerker voor de: BGT, BAG, Suwinet (ook vanuit schuldhulpverlening) en vertegenwoordiging van alle DigiD-aansluitingen. Maar denk ook aan ICT, Inkoop, HRM/P&O die mogelijk vragen moeten beantwoorden binnen ENSIA vragenlijsten. Stel de projectleden niet zelf aan, maar laat de lijnmanagers de verantwoordelijken aanwijzen om deel te nemen. De projectleden fungeren vervolgens als ambassadeur binnen hun eigen afdeling, beantwoorden de vragen in de ENSIA-tool en leveren eventuele bewijsstukken aan.
   
4. Plan een kick-off meeting in. Tijdens deze kick-off wordt eventueel de ENSIA-tool en werkwijze toegelicht, kunnen de projectleden kennis maken met elkaar en worden er afspraken gemaakt over wie wat doet. Kortom, welke inzet wordt er verwacht van eenieder en op welk moment? Bespreek ook de scope, het (concept) plan van aanpak en maak werkafspraken over de samenwerking.
   
5. Bewaak de voortgang en rapporteer hierover. Bewaak de voortgang van het project en rapporteer regelmatig aan de portefeuillehouder/opdrachtgever. over de stand van zaken. Dit kan worden gedaan middels korte voortgangsrapportages, waarmee belanghebbenden op de hoogte kunnen worden gehouden en eventuele bijsturing mogelijk is.
   
6. Begeleid de externe audit. Voor DigiD en Suwinet zal er een externe audit plaatsvinden. De ENSIA Coördinator zorgt dat de auditor wordt ingepland en dat de betrokkenen aanwezig zijn tijdens de audit. Vaak helpt de ENSIA Coördinator wel met het structureren van het bewijsmateriaal voor de audit, maar de ENSIA Coördinator is niet verantwoordelijk voor het bewijsmateriaal, dat is de afdeling zelf.
   
7. Zorg voor projectborging
   Je project is afgelopen als je het projectresultaat hebt bereikt, namelijk tijdige inlevering van antwoorden en het volledig uploaden van alle documenten binnen de gestelde deadlines.  Daarnaast is het belangrijk om binnen de afdelingen te borgen dat de processen zo worden ingericht, dat volgend jaar de ENSIA-verantwoording makkelijker zal verlopen en de mogelijke bevindingen worden opgelost.

Als laatste nog de vraag… moet de CISO de ENSIA-coördinator zijn?

Het antwoord op deze vraag is nee. De rol van ENSIA-coördinator moet worden uitgevoerd door een goede projectleider die de hele ENSIA-planning en taken kan uitvoeren. Uiteraard zal de CISO wel betrokken worden bij het beantwoorden voor sommige inhoudelijke vragen binnen de BIO-vragenlijst en eventueel het opstellen van de paragraaf over informatiebeveiliging t.b.v. het jaarverslag van het college van B&W. 

Ik hoop je met deze blog meer inzicht te hebben gegeven in hoe jij als ENSIA-coördinator de basisaspecten van projectmanagement kunt toepassen in je werk. Veel succes!

Meer informatie of hulp nodig?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Zo kunnen we een inhouse workshop organiseren voor alle betrokkenen. Tijdens deze workshop leggen we niet alleen uit wat ENSIA is, ook gaan we aan de slag om daadwerkelijk te komen tot een goede planning en inzicht in wat er nodig is om de verantwoording uit te voeren.

Kortom, een perfecte kick-off voor het nieuwe verantwoordingsjaar! Interesse? Laat ons dit dan weten en neem contact met ons op.