Bij veel gemeenten voelt informatiebeveiligingsbeleid nog als een verplicht nummer. Er moet een document liggen voor de audit en dat is het dan. Het stuk staat ergens op intranet, niemand leest het, en verder verandert er weinig. Zonde! Want een goed informatiebeveiligingsbeleid kan juist richting geven aan de hele organisatie. Een levend document waar je dagelijks wat aan hebt, in plaats van iets wat in de kast belandt. In deze blog nemen we je mee in hoe je beleid werkbaar maakt, waar de valkuilen zitten en hoe je voorkomt dat dit weer zo’n papieren tijger wordt.

Download hier een pdf van deze blog

Waarom is beleid belangrijk?

Voor veel collega’s is informatiebeveiliging een verzameling van losse maatregelen: een firewall hier, multifactorautorisatie (MFA) daar, een training tussendoor. Maar zonder beleid voelt dat alsof je aan het bouwen bent zonder bouwtekening. Je kunt wel muren metselen, maar of het een stevig huis wordt? Dat is maar de vraag.

Beleid geeft richting. Het helpt je keuzes maken: welke risico’s vinden we acceptabel en welke niet? Wie doet wat als er iets misgaat? Hoe zorgen we dat inwoners erop kunnen vertrouwen dat hun gegevens veilig zijn? De Baseline Informatiebeveiliging Overheid (BIO) 2 schrijft niet voor niets voor dat elke gemeente een actueel informatiebeveiligingsbeleid moet hebben. Niet om de auditor tevreden te stellen, maar omdat beleid de basis vormt voor de inrichting van je organisatie. Een goed beleid sluit aan bij de dagelijkse praktijk en biedt houvast voor directie, lijnmanagement én medewerkers. Het maakt duidelijk wat er van iedereen wordt verwacht en biedt structuur in plaats van ad-hoc handelen. Zonder beleid loop je achter de feiten aan. Je blijft brandjes blussen, terwijl je eigenlijk zou moeten bouwen aan een veilige, betrouwbare en toekomstbestendige organisatie.

Gemeenten zijn geen bedrijven

Het klinkt misschien logisch, maar het maakt echt verschil: een gemeente is géén bedrijf. We concurreren niet met elkaar en sturen niet op winstmaximalisatie. We opereren in een bestuurlijke context, met maatschappelijke taken en verantwoordelijkheden. Dat betekent dat beleid bij gemeenten andere accenten moet leggen. Waar bedrijven vaak vooral sturen op efficiëntie, draait het bij gemeenten om transparantie, uitlegbaarheid en zorgvuldigheid. Dat moet je terugzien in beleid. Het moet ruimte geven voor afwegingen, maatwerk mogelijk maken en aansluiten bij de bestuurlijke realiteit. Het beleid moet richting geven, niet alles dichttimmeren.

Wat er volgens de BIO2 in moet staan

De BIO2 helpt ons aardig op weg, want er staat behoorlijk concreet in wat een goed informatiebeveiligingsbeleid minimaal moet bevatten, namelijk:

• Strategische uitgangspunten: hoe past informatiebeveiliging in de missie en visie van de gemeente, en wat zijn onze kritieke taken? Zorg dat de doelstellingen met betrekking tot informatiebeveiliging aansluiten bij de bedrijfsvoering of in het verlengde liggen hiervan.
• Organisatie van de informatiebeveiligingsfunctie: wie doet wat?
• Verantwoordelijkheden en samenhang: van informatiebeveiliging voor ketens van informatiesystemen, de beveiliging van OT, privacybescherming en de verantwoordelijkheden met betrekking tot de continuïteit van de taakuitvoering van organisatie (BCM) aan lijnmanagers..
• Betrouwbaarheidseisen: de BIV-classificaties die bepalen hoeveel maatregelen je moet nemen in verhouding tot de risico’s.
• Evaluatie: wanneer en hoe vaak herijk je het beleid?
• Bewustwording: hoe zorgen we voor bewuste medewerkers die hun rol snappen?

Bestuurlijk commitment is essentieel

Voor een succesvol informatiebeveiligingsbeleid is bestuurlijke vaststelling cruciaal. Daarmee krijgt het beleid niet alleen formeel gewicht, maar ook zichtbaar eigenaarschap. Wil je dat informatiebeveiliging écht landt in de organisatie, dan is betrokkenheid op het hoogste niveau dus onmisbaar. Zorg daarom dat het onderwerp structureel op de bestuurlijke agenda staat. Bestuurders zijn verantwoordelijk voor de kaders waarbinnen de organisatie opereert. Dat betekent dat zij niet alleen het beleid (mede) moeten formuleren en onderschrijven, maar het ook actief uitdragen binnen de organisatie. Het moet onderdeel zijn van besluitvorming, zodat er kan worden bijgestuurd indien nodig.

Van papier naar praktijk

De grootste uitdaging is natuurlijk: hoe zorg je dat beleid niet alleen mooi klinkt, maar ook echt gaat leven? Want een beleidsstuk waar niemand van gehoord heeft, heeft nul waarde. Ik zie enkele succesfactoren die keer op keer het verschil maken:

1. Draagvlak bij bestuur en management
   Zorg dat bestuurders en afdelingshoofden onderdeel zijn van de beleidsvorming. Niet alleen om een handtekening achteraf te zetten, maar omdat ze moeten snappen wát er staat en waarom bepaalde keuzes belangrijk zijn. Als een wethouder begrijpt dat netwerksegmentatie ransomware-risico’s verlaagt, is hij of zij veel eerder bereid dat budget te verdedigen.
2. Helder taalgebruik
   Vermijd jargon of technische IT-taal. Maak beleid leesbaar voor managers en medewerkers en zorg dat ze snappen wat er staat. Bijvoorbeeld: “MFA op alle systemen met persoonsgegevens” is duidelijker dan “Implementatie van MFA conform ISO/IEC 27002 control 5.17.”
3. Inbedden in de P&C-cyclus
   Maak beleid onderdeel van je jaarplanning. Koppel de evaluatie aan vaste momenten, zoals ENSIA, het jaarverslag of de begrotingsronde. Zo blijft het beleid actueel en voorkom je dat het in de la verdwijnt.
4. Koppeling met het ISMS
   Het informatiebeveiligingsbeleid moet de basis vormen voor het ISMS. Het beleid legt de strategische kaders en doelstellingen vast, terwijl het ISMS deze vertaalt naar operationele processen zoals risicomanagement, controles en verbeteracties. Dit zorgt ervoor dat het beleid niet alleen op papier staat, maar actief wordt toegepast en continu wordt aangepast op basis van de bedrijfsvoering en opkomende risico’s.

Een praktijkvoorbeeld

Bij een middelgrote gemeente koos de Chief Information Security Officer (CISO) ervoor om beleid niet alleen te schrijven, maar sámen te maken met teamleiders, HR, beleidsmedewerkers/i-advies en zelfs iemand van inkoop. Hierdoor:

• Sloten ketenafspraken meteen aan bij inkoopvoorwaarden.
• Werd bewustwording gekoppeld aan de bestaande e-learning.
• Werd evaluatie ingebed in de P&C-cyclus.
• En werd het beleid gepresenteerd in het MT én in een korte video voor medewerkers.

Resultaat: drie maanden later kende 70% van de leidinggevenden de kern van het beleid. Dat is nogal een verschil met “je vindt het beleid op intranet.”

Veelgemaakte valkuilen

Het klinkt allemaal heel logisch, maar toch zie ik gemeenten vaak in dezelfde volgende valkuilen stappen:

1. Het beleid bevat te veel detail: beleid is geen handleiding, details horen thuis in procedures en werkinstructies.
2. Er wordt te veel op de CISO geleund: informatiebeveiliging is een verantwoordelijkheid van de hele organisatie, niet van één functie of afdeling
3. Er wordt geen opvolging gegeven aan het beleid: zonder jaarlijkse review is je beleid zo achterhaald.
4. Er is geen samenhang met ander beleid: als je privacyverklaring iets zegt dat haaks staat op het informatiebeveiligingsbeleid, wek je verwarring.

Hoe ziet een goed beleid er dan uit?

Maar hoe schrijf je een goed beleid dat niet in de kast belandt, maar waar je vervolgens ook echt iets mee kunt? Qua structuur werkt voor veel gemeenten het onderstaande format het best. Het is kort, overzichtelijk en bruikbaar, dus geen dikke taaie beleidsdocumenten waar niemand doorheen komt.

1. Inleiding: context, doel en reikwijdte
2. Kaders: relevante wet- en regelgeving
3. Doelstellingen: bescherming van vertrouwelijkheid, integriteit, beschikbaarheid
4. Organisatie: rollen en verantwoordelijkheden
5. Beleidspunten: keuzes en uitgangspunten
6. Ketenpartners: afspraken en controles
7. Bewustwording: training en communicatieplan
8. Evaluatie: hoe vaak, door wie, en welke rapportage

Waarom je nu moet beginnen

Veel gemeenten wachten met beleid ontwikkelen tot er druk ontstaat: een incident, een negatieve ENSIA-audit of een vraag van de rekenkamer. Dat is jammer, want de BIO2 en de aankomende Cyberbeveiliginswet (Cbw) leggen de lat steeds hoger. Wachten wordt dus alleen maar riskanter.

Een goed informatiebeveiligingsbeleid voorkomt niet alleen ellende, maar helpt ook sneller herstellen als er tóch iets misgaat. En misschien nog belangrijker: het dwingt je om samen het gesprek te voeren over risico’s en prioriteiten. Welke kroonjuwelen móeten we beschermen? Hoeveel risico accepteren we?

Tot slot

Een informatiebeveiligingsbeleid is geen doel op zich. Het is een middel om grip te krijgen op risico’s, verantwoordelijkheid duidelijk te beleggen en vertrouwen van inwoners te beschermen. Als je het goed doet, wordt beleid geen stoffig document, maar een kompas waar bestuurders én medewerkers eigenaarschap over voelen. Begin klein als dat nodig is. Maar begin wél. Want niks doen is geen optie – zonder stevig fundament wankelt elk gebouw.

Meer informatie of hulp nodig?
Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen.