Posts Under: Nieuws

De BIO is niet langer het feestje van de CISO en de FG

De BIO is niet langer het feestje van de CISO en de FG

Posted on by in Nieuws with no comments

Informatiebeveiliging en privacy staan hoog op de bestuurlijke agenda. Althans dat roepen we met z’n allen maar blijkt in de praktijk toch iets weerbarstiger. Dat bleek vorige week weer eens tijdens onze klantendag in Utrecht waar we met CISO’s, Privacy Officers en Functionarissen Gegevensbescherming in gesprek gingen.

Schakel of Spil?

De rode draad tijdens het middagprogramma was toch wel hoe je in control bent en blijft vanuit je rol als CISO, PO of FG. Dat begint met voldoende besef van urgentie voor en steun van het bestuur bij de implementatie van informatieveiligheid. Vervolgens voldoende afstemming en draagvlak van het management krijgen. Daarna kan pas acceptatie van en implementatie door de organisatie worden bewerkstelligd. Dat hoeft niet per se een top-down volgorde te zijn, belangrijk is dat ze alle drie nodig zijn om informatieveiligheid te organiseren én te borgen. De BIO zorgt ervoor dat risicomanagement als integrale verantwoordelijkheid wordt opgelegd en je dus op meerdere niveaus in de organisatie een geaccepteerd gesprekspartner moet zijn. Dankzij de BIO hebben de CISO en de FG nu de wind mee zou je denken. Niets is minder waar. Beleid, budget en bemensing de welbekende tijd, kwaliteit en geldaspecten moeten wel ingevuld worden. En dat levert vaak een flinke strijd op waardoor de noodzakelijke organisatorische veranderingen weliswaar schoorvoetend worden doorgevoerd maar meestal niet voldoende mandaat meekrijgen. En helaas bij veel organisaties blijft het nog steeds adhoc en incident gedreven managen van risico’s. Om van een schakel in het geheel echt dé spil te worden zullen de CISO, de PO en de FG meer samenwerken en een partner moeten zoeken.

Omgevingswet?

De Omgevingswet vanaf 2021 zal ketensamenwerking tussen overheden intensiveren en zorgt ook  voor vervaging van organisatiegrenzen. Dat heeft invloed op verantwoordelijkheden ten aanzien van informatiebeveiliging, informatiebescherming en informatievoorziening. Inderdaad ook informatievoorziening! Tot nu toe spraken CISO en FG met elkaar over informatiebeveiliging en informatiebescherming. Ketengerichte informatievoorziening is de basis van de Omgevingswet en wordt vormgegeven in het Digitaal Stelsel Omgevingswet (DSO). In het DSO is informatie-uitwisseling randvoorwaardelijk vormgegeven op basis van zaakgericht werken. En dus is de kwaliteit van informatiebeheer opeens ook een integrale verantwoordelijkheid en onderdeel van het organiseren van risicomanagement. En informatiebeheer staat immers ook hoog op de bestuurlijke agenda en krijgt de aandacht die het verdient, of toch (ook) niet? De CISO en FG hebben baat bij een partner vanuit informatiebeheer. Samen kunnen ze verbindend optreden om urgentiebesef te versterken, het mandaat af te dwingen en het draagvlak te organiseren.

Informatieveiligheidsdriehoek

Key2Control hanteert vanuit haar visie op informatieveiligheid een integrale aanpak om informatiebeveiliging, informatiebescherming en informatiebeheer te organiseren. Door gebruik te maken van het Key2Control GRC-platform kunnen overheidsorganisaties zich continu én met succes snel aanpassen aan nieuwe ontwikkelingen zoals de Omgevingswet. Door informatieveiligheid te organiseren binnen het Key2Control GRC-platform zijn kwaliteitsbeheerprocessen geborgd en zijn voortgang en resultaat altijd en overal inzichtelijk. Hierdoor kan gevraagd en ongevraagd direct verantwoording worden afgelegd. Wilt u meer weten over onze aanpak? Ik ben ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Bart Suers Directeur Publieke Sector bij Key2Control

Bart Suers Directeur Publieke Sector bij Key2Control

Posted on by in Nieuws with no comments

Bij Key2Control gaat Bart zich met name bezighouden met het ondersteunen van publieke organisaties met betrekking tot belangrijke non-financiële beheersprocessen zoals informatiebeveiliging, privacy, informatiebeheer en -management, rechtmatigheid, verbijzonderde interne controle en integriteit. Daarnaast zal hij vorm en inhoud gaan geven aan de verdere groei en professionalisering van de Key2Control organisatie.

Arie Hartog, Algemeen Directeur van Key2Control, is uitermate verheugd met de komst van Bart.

“Bart is een gedreven professional met meer dan 15 jaar ervaring in de overheidssector, met name bij gemeenten. Bij Key2Control gaat hij een sleutelfunctie vervullen in de verdere groei van onze onderneming”.

Key2Control levert met haar GRC software platform een belangrijk instrument voor het ondersteunen van alle relevante interne beheersprocessen bij organisaties. De suite “informatieveiligheid gemeenten” ondersteunt gemeenten bij belangrijke processen als informatiebeveiliging (ISMS op basis van de BIO), privacy (DPMS op basis van VNG criteriaset en de baseline CIP) en informatiebeheer (archivering op basis van KIDO).

Baseline informatieveiligheid Overheid (BIO) nu operationeel in ISMS Key2Control

Baseline informatieveiligheid Overheid (BIO) nu operationeel in ISMS Key2Control

Posted on by in Nieuws with no comments

De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor alle overheden. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle overheidslagen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. De BIO helpt management en proceseigenaren bij het nemen van hun verantwoordelijkheden ten aanzien van informatiebeveiliging.

De BIO wordt formeel pas van kracht in 2020. Door het nu reeds opnemen van de BIO in het Key2Control ISMS biedt Key2Control overheids organisaties de mogelijkheid om al dit jaar inzicht te krijgen in de stand van zaken. Men kan nu reeds een GAP analyse uitvoeren en zich effectief voorbereiden op 2020. Uiteraard blijft gedurende het jaar 2019 de BIG beschikbaar als instrument voor het borgen van het kwaliteitsproces (PDCA)

#ISMS #Key2Control #BIO #informatiebeveiliging

Key2Control ondertekent Manifest “Grip op Secure Software Development”​ van het CIP

Key2Control ondertekent Manifest “Grip op Secure Software Development”​ van het CIP

Posted on by in Nieuws with no comments

Het Centrum Informatiebeveiliging en Privacybescherming heeft in samenwerking tussen overheidsorganisaties en marktorganisaties het proces en normenkader “Grip op secure software development” (SSD) ontwikkeld.

Key2Control is kennispartner van het CIP en maakt nu deel uit van de groep van SSD-Manifest partijen van het CIP.

Wij onderschrijven het belang van de volgende uitgangspunten:

  • Het hanteren van het normenkader “Grip op SSD” als referentiekader bij onze softwareontwikkeling
  • Wij delen praktische toepassingsproblemen met de SSD practitioners community
  • Wij bevorderen, waar mogelijk, de implementatie van “Grip op SSD” bij overheidsorganisaties en stellen ons op als ambassadeur van de methode

#securesoftwaredevelopment #ssd #manifest #cip #key2control #ISMS #privacy

10 bestuurlijke principes voor informatiebeveiliging bij gemeenten

10 bestuurlijke principes voor informatiebeveiliging bij gemeenten

Posted on by in Nieuws with no comments

Dit jaar is de intrede van de Baseline Informatiebeveiliging Overheid, ofwel de BIO, die vanaf 2020 van kracht gaat.  Veel meer dan bij de BIG helpt de BIO het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging en risicomanagement. Daarnaast zijn er ‘10 bestuurlijke principes voor informatiebeveiliging’ vastgesteld om het bestuur in hun rol te ondersteunen bij de implementatie van de BIO.

De tien bestuurlijke principes

Om bestuurders te helpen in het nemen van hun verantwoordelijkheid op het gebied van informatiebeveiliging, heeft de Vereniging voor Nederlandse Gemeenten (VNG) ‘De 10 bestuurlijke principes voor informatiebeveiliging’ ontwikkelt. De principes dienen als aanvulling op de nieuwe baseline, en gaat over waarden die daar bij horen. Het is belangrijk dat deze waarden aansluiten op de waarden van de eigen gemeente. Ze zijn randvoorwaardelijk voor een goede borging van informatiebeveiliging. Renco Schoenaker van IB&P zet de principes graag op een rij en maakt ze concreet en tastbaar.

Bestuurders bevorderen een (informatie)veilige cultuur

Bij een informatieveilige omgeving hoort ook een veilige (meld)cultuur. Zo is het belangrijk dat collega’s niet bang zijn om incidenten te melden. Tevens wil je bevorderen dat iedereen risico’s signaleert en deze ook meldt en elkaar aanspreekt op onveilig gedrag. Stimuleer als wethouders en raadsleden elkaar om melding te maken van incidenten of datalekken. Daarbij is de bijvangst van een incident om er iets van te leren, en je hierdoor zaken alleen maar kunt verbeteren of de gevolgen van een incident kunt beperken. Wees je als bestuurder bewust van je voorbeeldfunctie en draag dat ook uit naar de rest van de organisatie. Spoor lijnmanagement in de ambtelijke organisatie aan om hun verantwoordelijkheid als het gaat om risicomanagement te pakken.

Informatiebeveiliging is van iedereen

Naast de inzet van een technisch veilige omgeving zijn het de collega’s en hun handelen die de omgeving écht veilig (of onveilig) maken. Het veilig omgaan met informatie is de verantwoordelijkheid van alle collega’s. Met als verantwoordelijkheid van de werkgever om hier een stimulerende en toetsende rol in te spelen, bijvoorbeeld door het uitrollen van een bewustwordingscampagne. Belangrijk daarbij is dat een campagne herkenbaar moet zijn en in lijn met de business risico’s, ofwel ‘dichtbij’ is voor collega’s. Situaties moeten vergelijkbaar zijn met wat mensen in hun dagelijks werk tegenkomen op de werkvloer maar ook privé. Dit betekent dus ook specifiek maatwerk per afdeling of team. Maar met alleen een campagne ben je er niet. Bewustwording is namelijk meer dan alleen maar het ‘zenden’ van informatie. Je moet zorgen voor een blijvende en meetbare gedragsverandering, ook bij het bestuur. Hoe je dit succesvol doet, lees je in onze eerdere blog hierover. Zorg dat alle inhoudelijk betrokken functionarissen met elkaar samenwerken en dat er communicatie capaciteit beschikbaar is.

Informatiebeveiliging is risicomanagement

Als gemeente ben je afhankelijk van de beschikbaarheid van informatie en de continuïteit van de informatievoorziening voor je dienstverlening naar burgers en bedrijven. Informatiebeveiliging hoort dus thuis in de lijn want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Maak lijnmanagers verantwoordelijk voor risicomanagement en maar heldere afspraken over wat er van hen verwacht wordt. Zorg bijvoorbeeld dat risico’s geagendeerd worden en standaard onderdeel zijn van bestuurlijke documenten en dat lijnmanagers hierover rapporteren. Daarnaast dienst risicobewustzijn ook standaard onderdeel te zijn van samenwerkingen en uitbestedingen. Hoe je lijnmanagers in de juiste rol plaats lees je in de handreiking ‘Risicomanagement door lijnmanagers’ van de IBD.

Risicomanagement is onderdeel van de besluitvorming

Het is uiteraard belangrijk om risico’s en maatregelen te monitoren en te toetsen, zodat de maatregelen, indien gewenst per afdeling, verantwoordelijkheidsgebied of onderwerp, hierop kunnen worden bijgesteld. Maak risicomanagement daarom onderdeel van besluitvorming en laat lijnmanagement hierover rapporteren. Zorg daarnaast voor agendering op de bestuurlijke agenda. Op die manier kunnen de juiste vragen gesteld worden en kan er bijgestuurd worden (al dan niet op een passend (hoger) abstractieniveau). Bestuurders zijn verantwoordelijk voor kaderstelling (vaststellen). Tevens kan besluitvorming ook inhouden dat risico’s toch bewust, al dan niet tijdelijk, gelopen worden. Ook dan ben je ‘in control’. Zo is het bijvoorbeeld minder schadelijk als het stadsarchief tijdelijk niet beschikbaar is dan wanneer het GBA eruit ligt.

Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking

Als gemeente werk je met veel (keten)partners samen. Hierbij geldt ‘de ketting is zo sterk als de zwakste schakel’, juist als het gaat om informatiebeveiliging. Elke organisatie heeft immers in meer of mindere mate te maken met digitale dreigingen. Wanneer je met verschillende organisaties samenwerkt, vraagt dit dus niet alleen om een inschatting van de eigen risico’s, maar ook van die van andere. Als organisatie in een keten ben je afhankelijk van elkaar en daarbij is het belangrijk dat je ook in kaart hebt wat de risico’s van ketenpartners zijn. Zorg dat je de risico’s die een gevaar vormen voor de informatievoorziening van de bedrijfsvoering van de gemeente en de risico’s die voortkomen uit ketensamenwerking goed in kaart brengt. Ook bij diensten die je uitbesteedt, dienen de risico’s in kaart te worden gebracht. Ken verantwoordelijkheden toe en tref de juiste maatregelen. Dit is dus ook van toepassing op alle bestuurlijke samenwerkingen. Je kunt hiervoor gezamenlijk maatregelen treffen. In de handreiking ‘Start een Ketensamenwerking’ van het NCSC vind je richtlijnen hoe dit succesvol te doen.

Informatiebeveiliging is een proces

Informatiebeveiliging betekent niet eenmalig een checklist doorlopen (implementatie), alle vinkjes zetten en klaar. Het is een continu proces waar je als gemeente aan moet blijven werken. Elke dag brengt nieuwe uitdagingen, projecten, processen et cetera. Het vraagt om structurele borging en moet onderdeel worden van (bestaande) processen. Maak hierbij gebruik van een gedocumenteerd ‘Information Security Management System’ (ISMS). ISMS gaat uit van de Plan Do Act Check cyclus (PDCA-cyclus), een continu en interactief proces. Daarnaast moeten zaken gemonitord worden en moet je kunnen aantonen dat je informatiebeveiliging op orde is. Dit gebeurt onder andere middels ENSIA. Houd dus rekening met een veranderende omgeving en zorg dat risicomanagement structureel op de (bestuurlijke) agenda staat. Zo kun je reageren op veranderingen en daarop tijdig bijsturen.

Informatiebeveiliging kost geld

Risicomanagement vraagt niet om snelle acties maar om constante aandacht. En hiervoor moeten middelen beschikbaar worden gesteld. Je hebt als gemeente de morele verplichting om zorgvuldig en veilig met gegevens om te gaan. Een incident kan leiden tot (grote) materiële en immateriële schade voor je gemeente. Denk aan datalekken die grote gevolgen voor het imago en de bedrijfsvoering van je gemeente hebben, tevens legt het veel (politieke) druk op je gemeente wat weer kan leiden tot reputatieschade. Stel voldoende middelen beschikbaar zodat er maatregelen getroffen kunnen worden bij risico’s die een gevaar zijn voor de continuïteit van de bedrijfsvoering. Ja, informatiebeveiliging kost geld.

Onzekerheid dient te worden ingecalculeerd

De input voor risicomanagement is gebaseerd op wat er in het verleden is gebeurd (ervaringen) en op actuele informatie. Daarnaast dien je rekening te houden met wat je in de toekomst kunt verwachten. Dit is uiteraard lastiger in te schatten, houdt daarom rekening met eventuele beperkingen en onzekerheden die nu nog niet met zekerheid zijn vast te stellen en afhankelijk zijn van toekomstige ontwikkelingen. Op het moment dat er besluiten genomen moeten worden, dient er rekening gehouden te worden met deze risico’s. Dit vergt goede en actuele informatie over de risico’s die de gemeente loopt. Zorg dat er voldoende tijd, geld, uren en mensen ter beschikking zijn, die bijdragen aan het gestalte (kunnen) geven van risicomanagement.

Verbetering komt voort uit leren en ervaring

Het is niet de vraag of je als gemeente slachtoffer wordt van een incident, maar wanneer. Hoe goed je informatiebeveiliging ook is, incidenten zullen altijd voorkomen. Voorkomen ga je het dus niet. Het is daarom belangrijker om na te denken hoe je er mee omgaat en wat je ervan kunt leren. Zorg dat je veerkrachtig bent als organisatie (resilient) en rekening houdt met kansen en risico’s van nieuwe ontwikkelingen. Transparant zijn over incidenten helpt, leer ervan en realiseer en accepteer dat risico’s niet geheel zijn uit te sluiten. Reflecteer op risico’s en betrek ook de medewerkers bij het delen van hun ervaringen als het gaat om risico’s die processen binnen de informatievoorziening bedreigen. Zo zorg je dat de gemeente kan leren van incidenten en tevens leer je zo te ontdekken wat wel en wat niet werkt. Dit helpt bij het nemen van toekomstige besluiten.

Het bestuur controleert en evalueert

Tot slot, is het belangrijk om te controleren wat de status is van de implementatie van het informatiebeveiligingsbeleid en om te kijken of risicomanagement ook daadwerkelijk is ingebed binnen de organisatie. Dit kan door lijnmanagement hierover te laten rapporteren. Op die manier krijg je als bestuurder goed inzicht in waar de organisatie staat en komen verbeterpunten aan het licht. Laat daarnaast de gemeente op effectiviteit en efficiency toetsen, door een (externe) auditor. Zo krijg je een goed beeld van hoe het beleid in de praktijk uitwerkt en of je op schema loopt. Ook kunnen er zaken aan het licht komen, zoals toename van datalekken, Laat je goed informeren over risico’s en weeg belangen goed af, neem hierin als bestuurder verantwoordelijkheid om besluiten en maatregelen te (laten) nemen. Of neem een voorbeeld aan de gemeente Beemster, die in het nieuwe informatiebeveiligingsbeleid van de gemeente zelfs actief verwijzen naar de hier genoemde 10 bestuurlijke principes.

Geen focus op toezicht bij functionaris databescherming

Geen focus op toezicht bij functionaris databescherming

Posted on by in Nieuws with no comments

Uit onderzoek van het Centrum Informatiebeveiliging en Privacybescherming (CIP) blijkt dat het merendeel van de Nederlandse functionarissen gegevensbescherming (FG’s) zich vooral bezighoudt met advies en begeleiding. Ze geven mindere mate invulling aan hun toezichthoudende verantwoordelijkheid.

Het onderzoek, een digitale enquête, vond eind augustus plaats onder ruim 215 FG’s waarbij werd gevraagd naar hun werk en functioneren. Onder hen werkt 82% bij een overheid gerelateerde-organisatie. Qua achtergrond is 93% hoogopgeleid (hbo/wo-niveau), waarvan ruim de helft een juridische opleiding heeft. Ook heeft 78 % al ruim tien jaar werkervaring.

De meeste FG’s rapporteren, in de rol van senior medewerker, rechtstreeks aan een bestuur of algemeen directeur. Hierbij ontvangen ze voldoende ondersteuning vanuit bestuurders, maar 94% van de FG’s geeft aan niet te beschikken over structureel budget. De functie wordt veelal op deeltijdbasis uitgevoerd.

AVG
Vanuit de AVG worden de functionarissen geacht ‘professioneel, deskundig en onafhankelijk’ te zijn. De onafhankelijke positie lijkt volgens het onderzoek goed te lukken. Aan de deskundigheid wordt vanuit de AVG geen specifieke eisen gesteld, iets dat geldt voor zowel de beroepsregistratie als voor de beschikbare opleidingen. De professionaliteit kan breed worden ingevuld. Veel FG’s hebben daarom één of meer medewerkers waarmee ze nauw samenwerken. In het verlengde hiervan blijkt er binnen de beroepsgroep grote behoefte te bestaan aan onderling contact, intervisie en sparren.

Externe ondersteuning zoeken de ge-enquêteerden vooral bij het CIP en de Informatiebeveiligingsdienst (IBD). De ondersteuning vanuit de Autoriteit Persoonsgegevens (AP) wordt belangrijke gevonden, maar blijkt voor verbetering vatbaar: 45% vindt de website van de AP te weinig informatief en slechts 17% is van mening dat vragen adequaat worden afgehandeld.

Bron: https://www.computable.nl/artikel/nieuws/management/6525876/250449/functionaris-gegevensbescherming-focust-op-advies.htm

Autoriteit Persoonsgegevens legt UWV een last onder dwangsom op!

Autoriteit Persoonsgegevens legt UWV een last onder dwangsom op!

Posted on by in Nieuws with no comments

Op 30 oktober maakte de Autoriteit Persoonsgegevens (AP) bekend, dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom krijgt van 150.000 euro per maand met een maximum van 900.000, voor het onvoldoende beveiligen van gezondheidsgegevens.

Uiterlijk 31 oktober 2019 dient het UWV het beveiligingsniveau van zijn portaal op orde te hebben. Indien dit wordt verzaakt, moet het UWV deze dwangsom betalen.

Bron: https://www.privacy-web.nl/nieuws/ap-dwingt-uwv-met-sanctie-gegevens-beter-te-beveiligen

Controles op naleving AVG

Controles op naleving AVG

Posted on by in Nieuws with no comments

Sinds 25 mei 2018 geldt de AVG (Algemene Verordening Gegevensbescherming), deze wet verplicht bedrijven maar ook individuen om correct met persoonsgegevens om te gaan.

De AP (Autoriteit Persoonsgegevens) is de Nederlandse gegevensbeschermingsautoriteit die is aangesteld om toezicht te houden op het verwerken van persoonsgegevens. Onlangs is de AP begonnen met controles op de AVG naleving. De eerste pijlen werden gericht op overheidsorganisaties, maar sinds juli worden ook de private sectoren gecontroleerd. Hieronder wordt ingegaan op de aspecten waarop de AP zich primair lijkt te richten.

Functionaris voor de Gegevensbescherming
Overheidsinstanties en publieke organisaties waren verplicht om voor 25 mei jl. een FG (Functionaris voor de Gegevensbescherming ) aan te stellen, ongeacht het type gegevens dat ze verwerken. Deze functionaris ziet er intern op toe dat de regels uit de AVG worden nageleefd en fungeert als aanspreekpunt voor toezichthouder. De AP controleerde 400 overheidsorganisaties op het aanstellen van een FG. Uit de controle bleek dat minder dan 4% ‘mogelijk’ geen FG heeft aangesteld. Deze organisaties zijn schriftelijk verzocht om een eventueel aangestelde FG alsnog aan te melden voor een bepaalde datum. Blijft een aanmelding uit, dan kan de AP overgaan tot het opleggen van een sanctie.

Register van Verwerkingsactiviteiten
In dit register staat beschreven welke persoonsgegevens worden opgeslagen voor welke doeleinden en wie de verwerkingsverantwoordelijke is. In de private sector is de AP in Juli begonnen aan een willekeurige steekproef onder dertig grote organisaties, waarbij ze controleren of deze organisaties een register van verwerkingsactiviteiten bijhouden.

Het bijhouden van een dergelijk register is verplicht voor organisaties met meer dan 250 medewerkers. De uitkomsten van deze controles zijn nog niet gekend.

Klachten
Sinds 25 mei jl. bestaat voor iedereen het recht om een klacht in te dienen bij de AP over het gebruik van zijn/haar persoonsgegevens. Het blijkt dat de AP in een tijdsbestek van een dikke maand ruim 600 klachten ontving over de verwerking van hun persoonsgegevens. Uit een analyse van de eerste 400 klachten blijkt dat:

  • 77% gaat over het niet (volledig) gehoor geven aan een verzoek om verwijdering.
  • 18% gaat over de verstrekking van gegevens aan derden.
  • 5% gaat over inzageverzoeken.

Bijna 90% van de klachten gaat over bedrijven, de rest over overheidsinstanties. De AP heeft alle klachten in behandeling en zal twee keer per jaar rapporteren over de wijze waarop de klachten zijn afgehandeld.

 

Bron: Privacy Web

Problemen bij project voor verbeteren informatieveiligheid

Problemen bij project voor verbeteren informatieveiligheid

Posted on by in Nieuws with no comments

ENSIA is een gezamenlijk project van de VNG, gemeenten en verschillende ministeries. Het project streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid.

ENSIA wordt sinds 1 juli 2017 door verschillende Nederlands gemeenten (WAAR/DOOR WIE) gebruikt om efficiënter te werken. Zes bestaande verantwoordingsprocedures – voor DigiD, de Basisregistratie Personen, de PUN, de BAG, de BGT en Suwinet – werden gebundeld. Gemeenten vullen jaarlijks een zelfevaluatielijst in om zo in één keer verantwoording af te leggen over het gebruik van zes systemen.

Accountantsbureau BDO, dat bij meerdere gemeenten actief is, schreef een rapport naar aanleiding van de recente ervaringen. Hieruit blijkt dat het bewustzijn van én de organisatie rondom informatieveiligheid bij gemeenten fors is toegenomen. Maar dat de verwachte efficiëntieverbetering nog niet is gehaald.

Dit komt doordat het belang van informatieveiligheid nog moet doordringen tot alle werknemers. Medewerkers mijden vaak nog de eigen verantwoordelijkheid. Zoals een medewerker die even wegloopt van zijn pc zonder deze te vergrendelen. Een cultuuromslag is dus nodig om de meerwaarde van ENSIA in te zien.

Daarnaast zijn procedures binnen gemeenten vaak nog versnipperd, waardoor het verzamelen van bewijsstukken voor een audit veel werk en tijd kost.

Volgens BDO zijn het geen onoverkomelijke problemen. In het rapport staan enkele suggesties om problemen te verhelpen:

  • draag het thema breder uit in de organisatie, zodat iedereen zich met het verbeteren van informatieveiligheid bezighoudt;
  • zorg voor eenduidig beleid en eenduidige procedures; en gebruik ENSIA niet alleen om aan verplichtingen te voldoen, maar zie het als een instrument tot verbetering.

Lees het volledige artikel.