Posted on by
in
Nieuws with
no commentsSoftwarebedrijf Key2Control, gespecialiseerd in het organiseren van integrale interne beheersing, neemt per 2 september haar intrek in il Fiore aan de Avenue Ceramique in Maastricht. Deze verhuizing is een logische stap die onderdeel uitmaakt van de verdere groei en professionalisering van de organisatie.
Het pand is zeer centraal gelegen tegenover het Bonnefantenmuseum en is duidelijk herkenbaar aan de markante ronde façades en het gebruik van glas. Het gebouw biedt voldoende faciliteiten en flexibiliteit in het gebruik om bedrijven in staat te stellen optimaal te kunnen groeien.
Arie Hartog, algemeen directeur is verheugd met deze stap. “De afgelopen jaren heeft Key2Control bij meer dan 60 overheidsorganisaties bewezen dat onze software en aanpak goed meebewegen met de verwachtingen, behoeften en ambities van onze klanten. Het continu doorontwikkelen van onze software blijft natuurlijk een kernactiviteit. Alleen werd het ook tijd om onze organisatie daarop aan te passen. Met het aantrekken van een aantal nieuwe medewerkers en uitbreiding van de directie in het eerste kwartaal, hebben het tweede kwartaal benut om onze interne organisatie verder te professionaliseren. Dit alles om goede voorwaarden te creëren voor verdere groei. Dit nieuwe kantoor is voor Key2Control de komende jaren een uitstekende uitvalsbasis voor onze medewerkers en tegelijk een representatieve locatie om klanten en business partners te kunnen ontvangen.”
Over Key2Control
Key2Control (2013) is gespecialiseerd in het organiseren van integrale interne beheersing. In onze aanpak combineren we eigen ontwikkelde oplossingen op het gebied van Governance, Riskmanagement & Compliance (GRC) met een hands-on resultaatgerichte aanpak. Door op elk moment van de dag inzicht te hebben in, en verantwoording af te kunnen leggen vanuit, inzichtelijke beheersprocessen zijn klanten van Key2Control in staat
Posted on by
in
Nieuws with
no commentsDoelstellingenmodel als basis voor een ‘in control statement’
door drs Gerrit Goud RE RA
Waarover moet een manager verantwoording afleggen; het realiseren van doelstellingen of het managen van risico’s? Gemeentelijke organisaties zijn in het licht van de op komst zijnde rechtmatigheidsverantwoording op zoek naar een gestructureerde aanpak voor hun intern beheersingsproces waarbij de focus niet alleen gericht is op het optuigen van de verbijzonderde interne controle (VIC), maar ook op beheersing van de bedrijfsprocessen die gemanaged worden door leidinggevenden met als doel jaarlijks een ‘in control statement’ (ICS) te kunnen afgeven. Die verklaring wordt immers niet afgegeven door de VIC, maar door het management ofwel de 1e verdedigingslijn beredeneerd vanuit het ‘three lines of defence’ model (3LOD).
Om een ICS te realiseren behoort de focus in eerste instantie gericht te zijn op de 1e verdedigingslijn om ervoor te zorgen dat leidinggevenden actief betrokken raken in dit proces. Daarvoor is een breed draagvlak nodig dat veelal ontbreekt omdat van oudsher de nadruk voor interne beheersing bij de VIC en de huisaccountant ligt. Om het model van 3LOD te realiseren is vooraf visie en ambitie nodig, maar ook een aanpak die helpt om deze ambities te realiseren.
Vooraf behoort duidelijk te zijn welke beheersdoelstellingen überhaupt gerealiseerd moeten worden en niet in algemene termen maar voor elk relevant bedrijfsproces. Meten is immers weten. Veelal ontbreken meetbare beheersdoelstellingen en wordt het instrument risicomanagement breed ingezet met als uitkomst vele risico’s en daaraan gerelateerde mitigerende maatregen. Echter zonder beheersdoelstellingen is het managen van (proces)risico’s doelloos en eindeloos met als uitkomst veel overhead, weinig resultaat en draagvlak bij leidinggevenden.
Effectieve benadering, tijdwinst
Onze aanpak richt zich op het eerst in beeld brengen van meetbare beheersdoelstellingen van een bedrijfsproces en deze te gaan meten. Daardoor ontstaat inzicht in hoeverre aan deze beheersdoelstellingen is voldaan en is de focus gericht op die beheersdoelstellingen waaraan niet of deels is voldaan. Daarop vindt een gerichte risicoanalyse plaats met een eventueel vervolgtraject in de vorm van verbeteringen. Beheersdoelstellingen waaraan is voldaan behoeven verder geen aandacht en dat is tijdwinst. Deze benadering van ‘management by exception’ is doeltreffend, kwalitatief verhogend en zal de interne beheersing pas echt verbeteren.
Een doelstellingenmodel is het resultaat van een gedegen inventarisatie van het betreffende bedrijfsproces (understanding the business) en een daarop gebaseerde risicoanalyse. Een doelstellingenmodel bestaat uit een samenhangende set van meetbare normen/beheersdoelen waarvan elke norm voorzien is van stuurvragen die tijdens een meting beantwoord worden met Ja, Nee, Deels of Onbekend met eventueel een toelichting hierop. Zo’n model biedt dan ook houvast (grip) en structuur voor iedereen die een rol speelt in het interne beheersingsproces. Het meten in hoeverre aan de normen is voldaan wordt gefaciliteerd via ons intern beheersingsplatform inclusief de vervolgstappen.
Positieve benadering, meer draagvlak
Door te meten is een leidinggevende tegelijk actief betrokken in het beheersingsproces volgens het 3LOD dat een essentiële voorwaarde is als een organisatie de ambitie heeft om aantoonbaar in control te zijn uitmondend in een ICS. Zoals eerder aangegeven ligt die verantwoordelijkheid nu eenmaal bij de leidinggevenden (management) en niet bij de VIC (= 3e verdedigingslijn).
Een bijkomend voordeel van het gebruik van doelstellingenmodellen is dat de acceptatiegraad onder leidinggevenden groter is vanwege de positieve invalshoek in tegenstelling tot risicomanagement dat doorgaans een negatieve invalshoek heeft (denk aan dreigingen, etc). Daar komt bij dat leidinggevenden gewend zijn om vastgestelde (beheers)doelstellingen of targets te realiseren en is het uit dien hoofde handiger om daarop zoveel mogelijk aan te sluiten.
Voor de VIC biedt het doelstellingenmodel eveneens houvast. Immers het model bevat de normen waaraan moet worden voldaan en die worden vervolgens getoetst door VIC. Dat wil niet zeggen dat alle normen getoetst hoeven te worden, maar slechts het deel dat vanuit VIC interessant is. Juist door het totaal inzicht in de set van normen is het bepalen van een keuze welke normen getoetst worden eenvoudiger en dat is tijdwinst.
De toegevoegde waarde van VIC is dat het ‘onafhankelijk’ toetst of de ingezette maatregelen gerelateerd aan de normen doeltreffend zijn en daarmee meer zekerheid biedt. Het gaat dan om de werking van deze maatregelen terwijl meten in de 1e en 2e lijn gericht is op opzet en bestaan. Tussen meten en toetsen kunnen uiteraard verschillen zitten en dat maakt het gehele interne beheersingsmodel slagvaardig.
Welke stappen?
Dit overziend betekent dat naast visie en ambitie de weg om aantoonbaar in control te raken uitmondend in een ICS begint met
- het opstellen van doelstellingenmodellen voor de processen die in de scope vallen om aantoonbaar in control te geraken;
- het periodiek uitvoeren van metingen (1e en 2e lijn) op basis van deze modellen en te focussen op de normen waaraan niet of deels is voldaan en daarop verbetertrajecten in gang te zetten in overleg met de leidinggevende;
- het opstellen van een auditplan (3e lijn) voor elk relevant proces waarbij gebruik wordt gemaakt van de vooraf vastgestelde beheersdoelstellingen en dit plan uitvoeren uitmondend in een auditrapport.
Wij hebben inmiddels 10 doelstellingenmodellen in het kader van de (financiële) rechtmatigheid beschikbaar zoals de WMO, Jeugdzorg en inkoop en aanbesteding en dat aantal neemt de komende tijd alleen maar toe vanwege de toenemende behoefte en het besef dat meten op basis van beheersdoelstellingen effectief is en tot een breder draagvlak leidt.
Voor concerncontrollers die zich aan het voorbereiden zijn voor de rechtmatigheidsverantwoording 2021 biedt het gebruik van doelstellingenmodellen de mogelijkheid snel en voortvarend aan de slag te gaan. Daarmee raakt de organisatie vertrouwd met deze werkwijze en is de basis gelegd voor een ICS gebaseerd op een beheersorganisatie volgens het 3LOD model ingebed in een PDCA-cyclus. Uiteraard vergt dit tijd en niet voor niets is het advies van de VNG om nu al concrete stappen te ondernemen.
Wilt u meer weten over onze aanpak en inzet van doelstellingenmodellen in combinatie met ons intern beheersingsplatform volgen het principe van 3LOD, neem dan gerust contact met ons op.
Posted on by
in
Nieuws with
no commentsUit onderzoek van de Autoriteit Persoonsgegevens (AP) blijkt dat het HagaZiekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Aanleiding voor dit onderzoek was het feit dat tientallen medewerkers van het ziekenhuis onnodig het medisch dossier van een bekende Nederlander hadden ingezien.
Een ziekenhuis moet alle technische en organisatorische maatregelen treffen om ervoor te zorgen dat patiëntgegevens veilig zijn. Het HagaZiekenhuis heeft op twee onderdelen onvoldoende beveiligingsmaatregelen getroffen:
- Het regelmatig controleren wie welk dossier raadpleegt. Zo kan men tijdig signaleren wanneer iemand onbevoegd toch een dossier raadpleegt en maatregelen nemen.
- Het gebruik van Twee factor authenticatie (2FA). De identiteit van een gebruiker om toegang te krijgen tot een patiëntendossier wordt dan bijvoorbeeld vastgesteld met een code of een wachtwoord in combinatie met een personeelspas.
De AP legt het Haga een boete op van 460.000 euro op en daarbij een last onder dwangsom om het ziekenhuis te dwingen de beveiliging van patiëntendossiers te verbeteren. Als de beveiliging niet voor 2 oktober 2019 verbetert is, moet het ziekenhuis elke twee weken 100.000 euro betalen, met een maximum van 300.000 euro. Het HagaZiekenhuis heeft inmiddels aangegeven maatregelen te nemen, toch staan er tegen het besluit van de AP nog rechtsmiddelen open.
Vertrouwelijke relatie zorgverlener-patiënt
Aleid Wolfsen, voorzitter van de AP: ‘De AP vindt het een kwalijke zaak dat een ziekenhuis de interne beveiliging van patiëntendossiers niet op orde heeft. Daarbij past een ferme boete. De relatie tussen een zorgverlener en een patiënt hoort volstrekt vertrouwelijk te zijn. Ook binnen de muren van een ziekenhuis. Het maakt daarbij niet uit wie je bent.’
Bron: Autoriteit Persoonsgegevens
Posted on by
in
Nieuws with
no commentsVeel overheidsinstanties hebben hun privacy register van verwerkingsactiviteiten niet op orde, zo blijkt uit een onderzoek van de Open State Foundation. Deze stichting werkt aan digitale transparantie door publieke informatie beschikbaar te krijgen als open data en deze toegankelijk te maken voor hergebruik.
De stichting onderzocht de beschikbaarheid en kwaliteit van verwerkingsregisters van alle Nederlandse ministeries, provincies en gemeenten. Van de 379 overheden ontving de stichting 246 registers. Bijna een kwart (89) daarvan stond gewoon online en de rest bemachtigde de organisatie na informatieverzoeken. De overige weigerden het verzoek of gaven aan het register nog niet te kunnen delen omdat ze er nog aan werkten.
Een privacy register vermeldt welke persoonsgegevens waarom worden verwerkt, met wie deze data worden gedeeld, wie ervoor verantwoordelijk is, hoe lang de gegevens worden bewaard en hoe de beveiliging ervan is geregeld. De AVG verplicht elke organisatie zo’n overzicht bij te houden en deze beschikbaar te stellen aan de betrokkenen.
Grote verschillen
De privacy registers blijken per overheid sterk te verschillen. En dat terwijl bijvoorbeeld gemeenten over het algemeen dezelfde taken hebben en daardoor veelal dezelfde persoonsgegevens om dezelfde redenen verwerken.
Grote overheidsorganisaties melden gemiddeld meer verwerkingen dan kleine organisaties. Vaak betekent een groot aantal verwerkingen ook een kleiner detailniveau van het register. Hoe kleiner het detailniveau, hoe lastiger het is om het register actueel te houden, waarschuwt de stichting
Overheden baseren hun register momenteel in slechts 16% van de gevallen op een modelregister, zoals dat van de Vereniging van Nederlandse Gemeenten (VNG). 63% van de ontvangen registers blijkt incompleet. Er ontbreken een of meerdere wettelijk verplichte kolommen. Daarnaast staat in 83% van de registers informatie die niet verplicht is. Ze worden bovendien in uiteenlopende bestandsformaten gepubliceerd.
Standaard
De Open State Foundation pleit voor een gestandaardiseerd, machine-verwerkbaar en open verwerkingsregister. ‘Dit maakt het zowel voor overheden als voor de samenleving een bruikbaar register’, zegt Tom Kunzler, adjunct-directeur van de Open State Foundation. Volgens hem is een openbaar, herbruikbaar en actueel register belangrijk voor een samenleving die wil weten welke persoonsgegevens overheden verwerken en beheren.
bron: computable.nl
Posted on by
in
Nieuws with
no commentsdoor drs Gerrit Goud RE RA
Gemeenten worden naar alle waarschijnlijkheid vanaf het boekjaar 2021 zelf verantwoordelijk voor het afgeven van een rechtmatigheidsverklaring. De rechtmatigheidsverklaring wordt onderdeel van de jaarstukken waarop accountantscontrole over de getrouwe weergave van toepassing is. Met deze wijziging zal de discussie over de financiële rechtmatigheid tussen het college en de raad weer oplaaien. De raad krijgt weer de mogelijkheid om weer echt financieel (mee) te sturen.
De rechtmatigheidsverklaring is een instrument waarmee een betere aansluiting op het democratisch proces wordt bevorderd. Want tot op heden vindt deze discussie voornamelijk plaats tussen het college en de huisaccountant. De accountant is degene die deze verklaring opstelt wat afbreuk doet aan de rol van de raad. Deze onvolkomenheid wordt te zijner tijd in de wet herstelt maar heeft wel grote gevolgen als het gaat over de organisatie van de interne beheersing bij gemeenten. Afleggen van verantwoording gaat immers altijd gepaard met controleerbaarheid. Je kunt wel iets verklaren maar je zult daarbij moeten aantonen dat wat je verklaart een getrouwe weergave is en daar zit doorgaans de pijn. Hoe ga je dit namelijk effectief en efficiënt organiseren en wie zijn daarvoor nodig?
Dat vereist onder meer het opnemen van interne controle in de werkprocessen en verbijzonderde interne controle (VIC) op de toetsing van de effectiviteit van de ingezette controlemaatregelen. Hierop is bij diverse gemeenten in de afgelopen jaren (flink) bezuinigd en dat breekt gemeenten nu op. Dat is al zichtbaar in een tekort aan capaciteit en een gebrek aan expertise bij veel gemeenten. Ook leidinggevenden zullen hun verantwoordelijkheid moeten nemen als het gaat over de interne beheersing van hun werkprocessen en dan komt een in control statement al gauw in het vizier. In die zin zijn er veel belanghebbenden die ieder vanuit hun rol een bijdrage moeten leveren aan het interne beheersingsproces.
Het “three lines of defence” model (3LOD) van de commissie BADO, ondersteunt deze rolverdeling waarbij onderlinge samenwerking en afstemming deel van uitmaken. Het Key2Control GRC-platform biedt als integraal informatiemanagement-systeem voor de interne beheersing ook ondersteuning voor deze “three lines of defence”. Ons GRC-platform faciliteert niet alleen de interne beheersing van privacy, informatiebeveiliging en informatievoorziening, maar ook van alle processen die direct te maken hebben met de financiële rechtmatigheid. En dat biedt voordelen in termen van effectiviteit, efficiency, integratie en kwaliteitsverbetering.
Steeds meer gemeenten oriënteren zich op de vraag welke gevolgen de rechtmatigheidsverklaring heeft op de organisatie en welke voorbereidingen nodig zijn om op tijd de vereiste modernisering van de interne beheersing door te kunnen voeren. Die bal ligt voornamelijk bij de concerncontroller en dat past uiteraard in zijn rol om vooruit te kijken. De uitwerking daarentegen hangt voor een groot deel af van het ambitieniveau van het college van B&W en de directie.
Key2Control heeft vanuit haar visie op het aantonen van rechtmatigheid een aanpak ontwikkeld voor het moderniseren van het beheersingsproces bij gemeenten. Deze aanpak omvat de inzet van ons GRC-platform met daarin opgenomen deugdelijke normenkaders die zijn opgesteld vanuit de praktijk. De normenkaders gericht op de rechtmatigheid van processen van WMO, jeugdhulp, re-integratie, bijstand, subsidiebeheer, grondexploitaties, verbonden partijen, inkoop en aanbesteding, tax control btw/bcf, betalingen en crediteuren, personeel en salarissen zijn al beschikbaar. Vanuit de continue dialoog met onze klanten zal het aanbod hiervan alleen maar toenemen. En dat biedt mogelijkheden voor gemeenten om snel inzicht te krijgen in de status van bedrijfsprocessen en op basis daarvan risico’s in beeld te brengen en daarop de inzet van de Verbijzonderde Interne Controle (VIC) af te stemmen.
Wilt u meer weten over onze aanpak? Ik ben ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Posted on by
in
Nieuws with
no commentsInformatiebeveiliging en privacy staan hoog op de bestuurlijke agenda. Althans dat roepen we met z’n allen maar blijkt in de praktijk toch iets weerbarstiger. Dat bleek vorige week weer eens tijdens onze klantendag in Utrecht waar we met CISO’s, Privacy Officers en Functionarissen Gegevensbescherming in gesprek gingen.
Schakel of Spil?
De rode draad tijdens het middagprogramma was toch wel hoe je in control bent en blijft vanuit je rol als CISO, PO of FG. Dat begint met voldoende besef van urgentie voor en steun van het bestuur bij de implementatie van informatieveiligheid. Vervolgens voldoende afstemming en draagvlak van het management krijgen. Daarna kan pas acceptatie van en implementatie door de organisatie worden bewerkstelligd. Dat hoeft niet per se een top-down volgorde te zijn, belangrijk is dat ze alle drie nodig zijn om informatieveiligheid te organiseren én te borgen. De BIO zorgt ervoor dat risicomanagement als integrale verantwoordelijkheid wordt opgelegd en je dus op meerdere niveaus in de organisatie een geaccepteerd gesprekspartner moet zijn. Dankzij de BIO hebben de CISO en de FG nu de wind mee zou je denken. Niets is minder waar. Beleid, budget en bemensing de welbekende tijd, kwaliteit en geldaspecten moeten wel ingevuld worden. En dat levert vaak een flinke strijd op waardoor de noodzakelijke organisatorische veranderingen weliswaar schoorvoetend worden doorgevoerd maar meestal niet voldoende mandaat meekrijgen. En helaas bij veel organisaties blijft het nog steeds adhoc en incident gedreven managen van risico’s. Om van een schakel in het geheel echt dé spil te worden zullen de CISO, de PO en de FG meer samenwerken en een partner moeten zoeken.
Omgevingswet?
De Omgevingswet vanaf 2021 zal ketensamenwerking tussen overheden intensiveren en zorgt ook voor vervaging van organisatiegrenzen. Dat heeft invloed op verantwoordelijkheden ten aanzien van informatiebeveiliging, informatiebescherming en informatievoorziening. Inderdaad ook informatievoorziening! Tot nu toe spraken CISO en FG met elkaar over informatiebeveiliging en informatiebescherming. Ketengerichte informatievoorziening is de basis van de Omgevingswet en wordt vormgegeven in het Digitaal Stelsel Omgevingswet (DSO). In het DSO is informatie-uitwisseling randvoorwaardelijk vormgegeven op basis van zaakgericht werken. En dus is de kwaliteit van informatiebeheer opeens ook een integrale verantwoordelijkheid en onderdeel van het organiseren van risicomanagement. En informatiebeheer staat immers ook hoog op de bestuurlijke agenda en krijgt de aandacht die het verdient, of toch (ook) niet? De CISO en FG hebben baat bij een partner vanuit informatiebeheer. Samen kunnen ze verbindend optreden om urgentiebesef te versterken, het mandaat af te dwingen en het draagvlak te organiseren.
Informatieveiligheidsdriehoek
Key2Control hanteert vanuit haar visie op informatieveiligheid een integrale aanpak om informatiebeveiliging, informatiebescherming en informatiebeheer te organiseren. Door gebruik te maken van het Key2Control GRC-platform kunnen overheidsorganisaties zich continu én met succes snel aanpassen aan nieuwe ontwikkelingen zoals de Omgevingswet. Door informatieveiligheid te organiseren binnen het Key2Control GRC-platform zijn kwaliteitsbeheerprocessen geborgd en zijn voortgang en resultaat altijd en overal inzichtelijk. Hierdoor kan gevraagd en ongevraagd direct verantwoording worden afgelegd. Wilt u meer weten over onze aanpak? Ik ben ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.
Posted on by
in
Nieuws with
no commentsBij Key2Control gaat Bart zich met name bezighouden met het ondersteunen van publieke organisaties met betrekking tot belangrijke non-financiële beheersprocessen zoals informatiebeveiliging, privacy, informatiebeheer en -management, rechtmatigheid, verbijzonderde interne controle en integriteit. Daarnaast zal hij vorm en inhoud gaan geven aan de verdere groei en professionalisering van de Key2Control organisatie.
Arie Hartog, Algemeen Directeur van Key2Control, is uitermate verheugd met de komst van Bart.
“Bart is een gedreven professional met meer dan 15 jaar ervaring in de overheidssector, met name bij gemeenten. Bij Key2Control gaat hij een sleutelfunctie vervullen in de verdere groei van onze onderneming”.
Key2Control levert met haar GRC software platform een belangrijk instrument voor het ondersteunen van alle relevante interne beheersprocessen bij organisaties. De suite “informatieveiligheid gemeenten” ondersteunt gemeenten bij belangrijke processen als informatiebeveiliging (ISMS op basis van de BIO), privacy (DPMS op basis van VNG criteriaset en de baseline CIP) en informatiebeheer (archivering op basis van KIDO).
Posted on by
in
Nieuws with
no commentsDe Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor alle overheden. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle overheidslagen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. De BIO helpt management en proceseigenaren bij het nemen van hun verantwoordelijkheden ten aanzien van informatiebeveiliging.
De BIO wordt formeel pas van kracht in 2020. Door het nu reeds opnemen van de BIO in het Key2Control ISMS biedt Key2Control overheids organisaties de mogelijkheid om al dit jaar inzicht te krijgen in de stand van zaken. Men kan nu reeds een GAP analyse uitvoeren en zich effectief voorbereiden op 2020. Uiteraard blijft gedurende het jaar 2019 de BIG beschikbaar als instrument voor het borgen van het kwaliteitsproces (PDCA)
#ISMS #Key2Control #BIO #informatiebeveiliging
Posted on by
in
Nieuws with
no commentsHet Centrum Informatiebeveiliging en Privacybescherming heeft in samenwerking tussen overheidsorganisaties en marktorganisaties het proces en normenkader “Grip op secure software development” (SSD) ontwikkeld.
Key2Control is kennispartner van het CIP en maakt nu deel uit van de groep van SSD-Manifest partijen van het CIP.
Wij onderschrijven het belang van de volgende uitgangspunten:
- Het hanteren van het normenkader “Grip op SSD” als referentiekader bij onze softwareontwikkeling
- Wij delen praktische toepassingsproblemen met de SSD practitioners community
- Wij bevorderen, waar mogelijk, de implementatie van “Grip op SSD” bij overheidsorganisaties en stellen ons op als ambassadeur van de methode
#securesoftwaredevelopment #ssd #manifest #cip #key2control #ISMS #privacy
Posted on by
in
Nieuws with
no commentsDit jaar is de intrede van de Baseline Informatiebeveiliging Overheid, ofwel de BIO, die vanaf 2020 van kracht gaat. Veel meer dan bij de BIG helpt de BIO het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging en risicomanagement. Daarnaast zijn er ‘10 bestuurlijke principes voor informatiebeveiliging’ vastgesteld om het bestuur in hun rol te ondersteunen bij de implementatie van de BIO.
De tien bestuurlijke principes
Om bestuurders te helpen in het nemen van hun verantwoordelijkheid op het gebied van informatiebeveiliging, heeft de Vereniging voor Nederlandse Gemeenten (VNG) ‘De 10 bestuurlijke principes voor informatiebeveiliging’ ontwikkelt. De principes dienen als aanvulling op de nieuwe baseline, en gaat over waarden die daar bij horen. Het is belangrijk dat deze waarden aansluiten op de waarden van de eigen gemeente. Ze zijn randvoorwaardelijk voor een goede borging van informatiebeveiliging. Renco Schoenaker van IB&P zet de principes graag op een rij en maakt ze concreet en tastbaar.
Bestuurders bevorderen een (informatie)veilige cultuur
Bij een informatieveilige omgeving hoort ook een veilige (meld)cultuur. Zo is het belangrijk dat collega’s niet bang zijn om incidenten te melden. Tevens wil je bevorderen dat iedereen risico’s signaleert en deze ook meldt en elkaar aanspreekt op onveilig gedrag. Stimuleer als wethouders en raadsleden elkaar om melding te maken van incidenten of datalekken. Daarbij is de bijvangst van een incident om er iets van te leren, en je hierdoor zaken alleen maar kunt verbeteren of de gevolgen van een incident kunt beperken. Wees je als bestuurder bewust van je voorbeeldfunctie en draag dat ook uit naar de rest van de organisatie. Spoor lijnmanagement in de ambtelijke organisatie aan om hun verantwoordelijkheid als het gaat om risicomanagement te pakken.
Informatiebeveiliging is van iedereen
Naast de inzet van een technisch veilige omgeving zijn het de collega’s en hun handelen die de omgeving écht veilig (of onveilig) maken. Het veilig omgaan met informatie is de verantwoordelijkheid van alle collega’s. Met als verantwoordelijkheid van de werkgever om hier een stimulerende en toetsende rol in te spelen, bijvoorbeeld door het uitrollen van een bewustwordingscampagne. Belangrijk daarbij is dat een campagne herkenbaar moet zijn en in lijn met de business risico’s, ofwel ‘dichtbij’ is voor collega’s. Situaties moeten vergelijkbaar zijn met wat mensen in hun dagelijks werk tegenkomen op de werkvloer maar ook privé. Dit betekent dus ook specifiek maatwerk per afdeling of team. Maar met alleen een campagne ben je er niet. Bewustwording is namelijk meer dan alleen maar het ‘zenden’ van informatie. Je moet zorgen voor een blijvende en meetbare gedragsverandering, ook bij het bestuur. Hoe je dit succesvol doet, lees je in onze eerdere blog hierover. Zorg dat alle inhoudelijk betrokken functionarissen met elkaar samenwerken en dat er communicatie capaciteit beschikbaar is.
Informatiebeveiliging is risicomanagement
Als gemeente ben je afhankelijk van de beschikbaarheid van informatie en de continuïteit van de informatievoorziening voor je dienstverlening naar burgers en bedrijven. Informatiebeveiliging hoort dus thuis in de lijn want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Maak lijnmanagers verantwoordelijk voor risicomanagement en maar heldere afspraken over wat er van hen verwacht wordt. Zorg bijvoorbeeld dat risico’s geagendeerd worden en standaard onderdeel zijn van bestuurlijke documenten en dat lijnmanagers hierover rapporteren. Daarnaast dienst risicobewustzijn ook standaard onderdeel te zijn van samenwerkingen en uitbestedingen. Hoe je lijnmanagers in de juiste rol plaats lees je in de handreiking ‘Risicomanagement door lijnmanagers’ van de IBD.
Risicomanagement is onderdeel van de besluitvorming
Het is uiteraard belangrijk om risico’s en maatregelen te monitoren en te toetsen, zodat de maatregelen, indien gewenst per afdeling, verantwoordelijkheidsgebied of onderwerp, hierop kunnen worden bijgesteld. Maak risicomanagement daarom onderdeel van besluitvorming en laat lijnmanagement hierover rapporteren. Zorg daarnaast voor agendering op de bestuurlijke agenda. Op die manier kunnen de juiste vragen gesteld worden en kan er bijgestuurd worden (al dan niet op een passend (hoger) abstractieniveau). Bestuurders zijn verantwoordelijk voor kaderstelling (vaststellen). Tevens kan besluitvorming ook inhouden dat risico’s toch bewust, al dan niet tijdelijk, gelopen worden. Ook dan ben je ‘in control’. Zo is het bijvoorbeeld minder schadelijk als het stadsarchief tijdelijk niet beschikbaar is dan wanneer het GBA eruit ligt.
Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking
Als gemeente werk je met veel (keten)partners samen. Hierbij geldt ‘de ketting is zo sterk als de zwakste schakel’, juist als het gaat om informatiebeveiliging. Elke organisatie heeft immers in meer of mindere mate te maken met digitale dreigingen. Wanneer je met verschillende organisaties samenwerkt, vraagt dit dus niet alleen om een inschatting van de eigen risico’s, maar ook van die van andere. Als organisatie in een keten ben je afhankelijk van elkaar en daarbij is het belangrijk dat je ook in kaart hebt wat de risico’s van ketenpartners zijn. Zorg dat je de risico’s die een gevaar vormen voor de informatievoorziening van de bedrijfsvoering van de gemeente en de risico’s die voortkomen uit ketensamenwerking goed in kaart brengt. Ook bij diensten die je uitbesteedt, dienen de risico’s in kaart te worden gebracht. Ken verantwoordelijkheden toe en tref de juiste maatregelen. Dit is dus ook van toepassing op alle bestuurlijke samenwerkingen. Je kunt hiervoor gezamenlijk maatregelen treffen. In de handreiking ‘Start een Ketensamenwerking’ van het NCSC vind je richtlijnen hoe dit succesvol te doen.
Informatiebeveiliging is een proces
Informatiebeveiliging betekent niet eenmalig een checklist doorlopen (implementatie), alle vinkjes zetten en klaar. Het is een continu proces waar je als gemeente aan moet blijven werken. Elke dag brengt nieuwe uitdagingen, projecten, processen et cetera. Het vraagt om structurele borging en moet onderdeel worden van (bestaande) processen. Maak hierbij gebruik van een gedocumenteerd ‘Information Security Management System’ (ISMS). ISMS gaat uit van de Plan Do Act Check cyclus (PDCA-cyclus), een continu en interactief proces. Daarnaast moeten zaken gemonitord worden en moet je kunnen aantonen dat je informatiebeveiliging op orde is. Dit gebeurt onder andere middels ENSIA. Houd dus rekening met een veranderende omgeving en zorg dat risicomanagement structureel op de (bestuurlijke) agenda staat. Zo kun je reageren op veranderingen en daarop tijdig bijsturen.
Informatiebeveiliging kost geld
Risicomanagement vraagt niet om snelle acties maar om constante aandacht. En hiervoor moeten middelen beschikbaar worden gesteld. Je hebt als gemeente de morele verplichting om zorgvuldig en veilig met gegevens om te gaan. Een incident kan leiden tot (grote) materiële en immateriële schade voor je gemeente. Denk aan datalekken die grote gevolgen voor het imago en de bedrijfsvoering van je gemeente hebben, tevens legt het veel (politieke) druk op je gemeente wat weer kan leiden tot reputatieschade. Stel voldoende middelen beschikbaar zodat er maatregelen getroffen kunnen worden bij risico’s die een gevaar zijn voor de continuïteit van de bedrijfsvoering. Ja, informatiebeveiliging kost geld.
Onzekerheid dient te worden ingecalculeerd
De input voor risicomanagement is gebaseerd op wat er in het verleden is gebeurd (ervaringen) en op actuele informatie. Daarnaast dien je rekening te houden met wat je in de toekomst kunt verwachten. Dit is uiteraard lastiger in te schatten, houdt daarom rekening met eventuele beperkingen en onzekerheden die nu nog niet met zekerheid zijn vast te stellen en afhankelijk zijn van toekomstige ontwikkelingen. Op het moment dat er besluiten genomen moeten worden, dient er rekening gehouden te worden met deze risico’s. Dit vergt goede en actuele informatie over de risico’s die de gemeente loopt. Zorg dat er voldoende tijd, geld, uren en mensen ter beschikking zijn, die bijdragen aan het gestalte (kunnen) geven van risicomanagement.
Verbetering komt voort uit leren en ervaring
Het is niet de vraag of je als gemeente slachtoffer wordt van een incident, maar wanneer. Hoe goed je informatiebeveiliging ook is, incidenten zullen altijd voorkomen. Voorkomen ga je het dus niet. Het is daarom belangrijker om na te denken hoe je er mee omgaat en wat je ervan kunt leren. Zorg dat je veerkrachtig bent als organisatie (resilient) en rekening houdt met kansen en risico’s van nieuwe ontwikkelingen. Transparant zijn over incidenten helpt, leer ervan en realiseer en accepteer dat risico’s niet geheel zijn uit te sluiten. Reflecteer op risico’s en betrek ook de medewerkers bij het delen van hun ervaringen als het gaat om risico’s die processen binnen de informatievoorziening bedreigen. Zo zorg je dat de gemeente kan leren van incidenten en tevens leer je zo te ontdekken wat wel en wat niet werkt. Dit helpt bij het nemen van toekomstige besluiten.
Het bestuur controleert en evalueert
Tot slot, is het belangrijk om te controleren wat de status is van de implementatie van het informatiebeveiligingsbeleid en om te kijken of risicomanagement ook daadwerkelijk is ingebed binnen de organisatie. Dit kan door lijnmanagement hierover te laten rapporteren. Op die manier krijg je als bestuurder goed inzicht in waar de organisatie staat en komen verbeterpunten aan het licht. Laat daarnaast de gemeente op effectiviteit en efficiency toetsen, door een (externe) auditor. Zo krijg je een goed beeld van hoe het beleid in de praktijk uitwerkt en of je op schema loopt. Ook kunnen er zaken aan het licht komen, zoals toename van datalekken, Laat je goed informeren over risico’s en weeg belangen goed af, neem hierin als bestuurder verantwoordelijkheid om besluiten en maatregelen te (laten) nemen. Of neem een voorbeeld aan de gemeente Beemster, die in het nieuwe informatiebeveiligingsbeleid van de gemeente zelfs actief verwijzen naar de hier genoemde 10 bestuurlijke principes.
