Rapporteren zonder resultaat; de frustratie van elke FG en CISO
Informatiebeveiliging en privacy zijn ontzettend belangrijk in de huidige digitale maatschappij. Bij gemeenten zijn de FG en de CISO verantwoordelijk voor het controleren op de naleven van de wetgeving en richtlijnen. Een belangrijke taak van hen is adviseren en rapporteren hierover. Maar wat doe je als deze adviezen niet worden opgevolgd? Dit zorgt voor frustratie onder FG’s en CISO’s en brengt risico’s voor de gemeente met zich mee. Deze blog belicht deze frustraties en biedt oplossingen om ervoor te zorgen dat er iets gebeurt met je rapportages.
Download hier een pdf van deze blog
De rol van de FG en CISO
Als Functionaris Gegevensbescherming (FG) moet je erop toezien dat de gemeente voldoet aan de regels van de Algemene Verordening Gegevensbescherming (AVG). Dit betekent onder andere dat je mogelijke datalekken identificeert, de rechten van betrokkenen waarborgt, en advies geeft over het privacybeleid. Als FG rapporteer je risico’s aan het management en doe je aanbevelingen om die risico’s te verkleinen. Als Chief Information Security Officer (CISO) heb je een vergelijkbare rol, maar dan gericht op informatiebeveiliging. Je bent verantwoordelijk voor de implementatie van de Baseline Informatiebeveiliging Overheid (BIO) en houd je onder meer bezig met het controleren en evalueren van processen en kwetsbaarheden, het maken van risicoanalyses en het rapporteren van de bevindingen aan het management.
Beiden rapporteer je over cruciale onderwerpen. Toch worden in de praktijk adviezen niet opgevolgd. Dat is niet alleen frustrerend, maar brengt ook risico’s met zich mee voor de organisatie. Het niet opvolgen van adviezen kan namelijk leiden tot beveiligingsincidenten en complianceproblemen.
De oorzaak
Maar waarom gebeurt er zo weinig met deze rapportages? Een van de belangrijkste oorzaken is dat het management de urgentie niet voelt, of niet weet hoe ze het moeten vertalen naar actie. Daarnaast hebben zij tig andere prioriteiten, waardoor adviezen over privacy of informatiebeveiliging minder aandacht krijgen. De dagelijkse politieke en bestuurlijke zaken gaan vaak voor. Bij veel organisaties moet het eerst tot een crisis komen om het management in acute staat van paraatheid te brengen en stappen te laten zetten. Dit is frustrerend voor jou als FG of CISO, aangezien je dagelijks geconfronteerd wordt met risico’s en kwetsbaarheden in systemen en processen. En je soms ook voor de organisatie verantwoordelijk wordt gehouden (terwijl je dat niet bent).
Een andere oorzaak is dat je als FG/CISO en het management anders naar de situatie kijkt. Als FG en CISO heb je veel technische en juridische kennis, maar het management begrijpt soms niet hoe complex de risico’s zijn en wat de mogelijke gevolgen zijn. Een datalek lijkt vaak een theoretisch risico, totdat het echt gebeurt. Maar dan is het te laat en loop je risico op boetes, reputatieschade en verlies van vertrouwen van burgers. Te weinig budget speelt ook een belangrijke rol. Gemeenten moeten keuzes maken in hun uitgaven, en informatiebeveiliging en privacy krijgen vaak minder aandacht dan andere projecten. De kosten voor het verbeteren van systemen of het implementeren van nieuwe beveiligingsmaatregelen worden soms als te hoog gezien in vergelijking met de gevonden risico’s. Een korte-termijn manier van denken, want de kosten van een datalek of cyberaanval zijn uiteindelijk veel hoger.
Tot slot is goede communicatie essentieel. Veel adviezen zijn technisch of juridisch van aard en sluiten niet aan bij het kennisniveau van het management. Bij informatiebeveiliging is het belangrijk om te weten of het management de technologie begrijpt. Soms is een korte uitleg genoeg, maar soms is meer context nodig.
De gevolgen
Het niet opvolgen van de rapportages kan grote gevolgen hebben voor de organisatie, zoals:
- Kwetsbaarheden in de beveiliging: Niet verholpen kwetsbaarheden kunnen leiden tot datalekken of cyberaanvallen, waarbij belangrijke gemeentelijke data gestolen kan worden of systemen kunnen uitvallen.
- Boetes en toezichtmaatregelen: De gemeente loopt het risico op boetes en toezichtmaatregelen van onder andere de Autoriteit Persoonsgegevens (AP) als blijkt dat er onvoldoende maatregelen zijn getroffen om persoonsgegevens te beschermen.
- Effect op het werkplezier van FG en CISO: Als je rapportages genegeerd worden, kan dat demotiverend werken. Het kan voelen alsof je expertise niet gewaardeerd wordt, wat kan leiden tot hogere werkdruk en uiteindelijk zelfs burn-out. Dit wordt verergerd doordat je alsnog verantwoordelijk wordt gehouden als er iets misgaat.
- Verlies van kennis en expertise: Wanneer je je als FG of CISO niet gewaardeerd voelt, kan je besluiten de organisatie te verlaten. Dit leidt niet alleen tot een verlies van kennis en expertise, maar kan ook leiden tot meer kwetsbaarheden. Er is namelijk een tekort aan gekwalificeerde professionals op dit gebied.
- Cultuur van laksheid: Op de lange termijn kan er een cultuur van laksheid ontstaan met betrekking tot informatiebeveiliging en privacy. Medewerkers worden minder alert op beveiligingsrisico’s en nieuwe maatregelen worden mogelijk niet geïmplementeerd. Een dergelijke cultuur is een risico voor de veiligheid en reputatie van de organisatie.
De oplossing
Hoe zorg je ervoor dat er echt iets gedaan wordt met je rapportages? Hier zijn een paar stappen die je als FG of CISO kunt nemen:
- Maak duidelijk wat de impact is: Zorg dat je in je rapportages goed uitlegt wat de gevolgen zijn van beveiligingsincidenten voor de dienstverlening van de gemeente. Leg bijvoorbeeld uit dat een datalek kan leiden tot reputatieschade of dat een beveiligingsincident kan zorgen voor verlies van belangrijke gemeentelijke gegevens, verstoringen in de dienstverlening en hoge herstelkosten. Neem het incident bij Hof van Twente als voorbeeld: daar lag de gehele dienstverlening stil door een ransomware-aanval, wat resulteerde in ruim 4 miljoen euro aan herstelkosten. Laat ook zien hoe investeringen in informatiebeveiliging uiteindelijk geld kan besparen of zelfs waarde kan toevoegen.
- Communiceer duidelijk en beknopt: Pas je uitleg aan op het kennisniveau van het management. Zeker als het om informatiebeveiliging gaat, is het belangrijk om te weten of ze technische details begrijpen of niet. Gebruik visuele hulpmiddelen zoals infographics om de gegevens voor iedereen begrijpelijk te maken, vooral voor mensen zonder technische achtergrond. Andersom geldt hetzelfde: ook het management moet de taal van informatiebeveiliging leren begrijpen, zodat ze verantwoordelijkheid kunnen nemen. Want, wanneer zij het niet begrijpen, kunnen ze ook niet (bij)sturen. Niet voor niets is het vanuit de nieuwe Cyberbeveiligingswet (NIS2) straks verplicht dat bestuurders en het management verplichte cursussen moeten volgen. Dit helpt hen om risico’s beter te herkennen, strategische beslissingen te nemen en een cultuur van veiligheid binnen de organisatie te stimuleren.
- Maak de urgentie zichtbaar met voorbeelden: Gebruik praktijkvoorbeelden van incidenten bij andere gemeenten om de noodzaak van beveiliging te benadrukken. Incidenten zoals datalekken of ransomware-aanvallen in vergelijkbare gemeenten helpen het management inzien dat ook zij kwetsbaar zijn. Zo worden je aanbevelingen serieuzer genomen.
- Leg de link met organisatiebrede doelen: Zorg ervoor dat je je rapportages en aanbevelingen verbindt aan de bredere doelen van de organisatie. Als het management ziet dat informatiebeveiliging bijdraagt aan betere dienstverlening, meer vertrouwen van burgers, en het beschermen van de reputatie van de gemeente, zullen ze eerder je adviezen opvolgen.
- Laat de financiële impact zien: Bespreek de financiële gevolgen van het wel of niet opvolgen van je aanbevelingen. Bereken bijvoorbeeld hoeveel een beveiligingsincident kan kosten in termen van herstel, boetes, of verloren productiviteit. Managers zijn vaak meer geneigd te luisteren als risico’s in financiële termen duidelijk worden.
- Werk samen met andere afdelingen: Werk samen met afdelingen zoals juridische zaken, IT, en communicatie. Als deze afdelingen jouw bevindingen ondersteunen en bevestigen, is het makkelijker om het management te overtuigen van de urgentie. Als de juridische afdeling bijvoorbeeld de risico’s van AVG-boetes benadrukt, wordt je argument sterker.
- Communiceer regelmatig met het management: In plaats van alleen bij incidenten of audits te rapporteren, is het belangrijk om regelmatig in gesprek te zijn met het management. Plan vaste overlegmomenten in om ze op de hoogte te houden van de voortgang en nieuwe risico’s. Door continu in gesprek te blijven, bouw je een relatie op waarin je sneller wordt gehoord.
- Gebruik externe audits strategisch: Als je merkt dat je interne adviezen niet serieus worden genomen, kan het nuttig zijn om externe auditors in te schakelen. Externe audits kunnen je bevindingen bevestigen en zo zorgen voor meer druk om actie te ondernemen. Laat wel zien dat je intern al veel van de bevindingen hebt opgemerkt, zodat je expertise erkend wordt.
- Wees proactief: Reageer niet alleen op incidenten, maar wees ook proactief door trends en toekomstige risico’s te bespreken. Als je als FG of CISO kunt laten zien dat je vooruitkijkt en preventieve maatregelen voorstelt, zal het management eerder geneigd zijn om naar je te luisteren.
- Betrek het management bij simulaties en trainingen: Organiseer simulaties of oefeningen waarbij het management actief betrokken wordt. Dit geeft ze een beter idee van wat er gebeurt tijdens een datalek of cyberaanval en maakt de noodzaak van je adviezen duidelijker. Door zelf de impact te ervaren, zullen ze sneller actie ondernemen.
Deze stappen kunnen je helpen om meer impact te maken binnen je organisatie en ervoor te zorgen dat jouw adviezen en rapportages serieus worden genomen door het management. Het gaat vooral om duidelijke communicatie, betrokkenheid creëren, en risico’s vertalen naar begrijpelijke en relevante acties. Ik wens je veel succes!
Meer informatie of hulp nodig?
Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.
- Wat is bewustwording eigenlijk? - 21 oktober 2024
- Rapporteren zonder resultaat; de frustratie van elke FG en CISO - 7 oktober 2024
- Hoe voer je een Business Impact Analyse (BIA) uit? - 23 september 2024
Lees ons boek
Gemeenten. Bewustzijn. Privacy.
Training
Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!