ENSIA: duidelijkheid over informatieveiligheid

Project

Met een verregaande digitalisering van gemeenten, groeit de noodzaak voor adequate beveiliging. Niemand heeft er belang bij dat gevoelige informatie op straat terecht komt. Een van de maatregelen om grip op informatieveiligheid te houden, is een verantwoordingsstelsel via audits. Een tijdrovende opgave voor gemeenten, want verschillende instanties bevragen hen met verschillende vragenlijsten. Met een uniforme online vragenlijst en een slimme verbinding tussen horizontale en verticale verantwoording moet het project ENSIA (Eenduidige Normatiek Single Information Audit) hier een einde aan maken.

De digitale deur kiert

Dat informatiebeveiliging binnen gemeenten om de nodige aandacht vraagt, bewijst het grote aantal meldingen van datalekken dat er in 2017 alleen al is binnengekomen bij de Autoriteit Persoonsgegevens (AP): 10.009 (Jaarrapportage 2017 Autoriteit Persoonsgegevens). Soms stond de digitale deur alleen op een kier, in andere gevallen werd privacygevoelige informatie openbaar. Geen fijn idee, want gemeenten beheren veel persoonsgegevens en dat worden er door decentralisaties alleen maar meer. Ook de affaires rond DigiNotar en ‘Lektober, de maand van het privacylek’ hebben het onderwerp informatieveiligheid, prominent op de kaart gezet.

Aan de slag met Informatiebeveiliging

Met de resolutie 'Informatieveiligheid, randvoorwaarde voor de professionele gemeente' uit 2013 hebben gemeenten afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren, een belangrijke stap. Ook werd in 2013 de Taskforce BID opgericht om concreet met het thema aan de slag te gaan. In 2015 werd de Taskforce opgeheven en ENSIA is daar samen met iBewustzijn Overheid, de Visitatiecommissie en de werkgroep Normatiek uit voortgekomen.

Onmisbare feedback van de gemeenten

Een ENSIA Verantwoordingsjaar loopt van 1 juli tot en met 1 mei: Op 1 juli worden de vragenlijsten geopend, dan hebben gemeenten tot 31 december de tijd om de vragenlijsten in te vullen en in te leveren, waarna gemeenten tot 1 mei de tijd hebben voor de audit en het inleveren van de verantwoordingsrapportages. 

Samenwerken aan veiligheid

De afgelopen jaren heeft ICTU nauw samengewerkt met VNG, de Auditdienst Rijk, en de ministeries Sociale Zaken en Binnenlandse Zaken en Koninkrijksrelaties. En natuurlijk met de betrokken gemeenten, die veel kennis hebben op het terrein van informatieveiligheid. 

Op 1 juli 2020 start het nieuwe ENSIA verantwoordingsjaar weer. In de aanloop daarnaartoe draagt ICTU tevens het stokje over aan de VNG die de beheerfase verder zal vormgeven in samenwerking met de diverse betrokkenen.

Meer weten?