Overslaan en naar de inhoud gaan

ENSIA: duidelijkheid over informatieveiligheid

Project

Met een verregaande digitalisering van gemeenten, groeit de noodzaak voor adequate beveiliging. Niemand heeft er belang bij dat gevoelige informatie op straat terecht komt. Een van de maatregelen om grip op informatieveiligheid te houden, is een verantwoordingsstelsel via audits. Een tijdrovende opgave voor gemeenten, want verschillende instanties bevragen hen met verschillende vragenlijsten. Met een uniforme online vragenlijst en een slimme verbinding tussen horizontale en verticale verantwoording moet het project ENSIA (Eenduidige Normatiek Single Information Audit) hier een einde aan maken.

De horizontale verantwoording voor gemeenten bestaat uit een zelfevaluatie, een IT-audit, een verklaring van het College van B&W en een passage over informatieveiligheid in het jaarverslag. Over de BRP, PUN, Suwinet, BAG, BGT en DigiD moeten gemeenten ook verantwoording afleggen. Dit is de verticale verantwoording. Ook wordt ENSIA door het ministerie van Binnenlandse Zaken gebruikt voor de verantwoording over de niet-informatieveiligheids domeinen BAG, BGT en BRO.

De digitale deur kiert

Dat informatiebeveiliging binnen gemeenten om de nodige aandacht vraagt, bewijst het grote aantal meldingen van datalekken dat er in 2017 alleen al is binnengekomen bij de Autoriteit Persoonsgegevens (AP): 10.009 (Jaarrapportage 2017 Autoriteit Persoonsgegevens). Soms stond de digitale deur alleen op een kier, in andere gevallen werd privacygevoelige informatie openbaar. Geen fijn idee, want gemeenten beheren veel persoonsgegevens en dat worden er door decentralisaties alleen maar meer. Ook de affaires rond DigiNotar en ‘Lektober, de maand van het privacylek’ hebben het onderwerp informatieveiligheid, prominent op de kaart gezet. Projectleider Margot van der Linden: 'het kan dus beter, en het moet ook beter, dat illustreert de noodzaak om de manier waarop gemeenten informatieveiligheid hebben ingericht inzichtelijk te maken, zodat ze gericht verbeteringen kunnen doorvoeren.

Aan de slag met Informatiebeveiliging

Met de resolutie 'Informatieveiligheid, randvoorwaarde voor de professionele gemeente' uit 2013 hebben gemeenten afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren, een belangrijke stap. Ook werd in 2013 de Taskforce BID opgericht om concreet met het thema aan de slag te gaan. In 2015 werd de Taskforce opgeheven en ENSIA is daar samen met iBewustzijn Overheid, de Visitatiecommissie en de werkgroep Normatiek uit voortgekomen.

In de resolutie zijn afspraken gemaakt om de verantwoording over informatiebeveiliging te uniformiseren. Het project ENSIA gaat dat op vier manieren doen:

  • De verschillende vragenlijsten die gemeenten eerder moesten invullen op het gebied van informatieveiligheid zijn samengevoegd.
  • De vragenlijst is flink ingekort, o.a. door het weglaten van alle dubbelingen, en er is een aparte vragenlijst voor DigiD.
  • Het verantwoordingsproces over informatieveiligheid bij gemeenten is verder geprofessionaliseerd door nog maar op 1 moment per jaar een uitvraag te doen.
  • Het verantwoordingsproces is aangesloten op de gemeentelijke P&C-cyclus.

Onmisbare feedback van de gemeenten

Een ENSIA Verantwoordingsjaar loopt van 1 juli tot en met 1 mei: Op 1 juli worden de vragenlijsten geopend, dan hebben gemeenten tot 31 december de tijd om de vragenlijsten in te vullen en in te leveren, waarna gemeenten tot 1 mei de tijd hebben voor de audit en het inleveren van de verantwoordingsrapportages. 
‘Een eerste jaar is altijd spannend. Het is nieuw en mensen moeten wennen aan de tool. De afgelopen maanden is dan ook hard gewerkt aan het verbeteren van de vragenlijst en de tools', aldus Margot.

Samenwerken aan veiligheid

Binnen ENSIA werkt ICTU nauw samen met VNG, , de Auditdienst Rijk, en de ministeries Sociale Zaken en Binnenlandse Zaken en Koninkrijksrelaties. En natuurlijk met de betrokken gemeenten, die veel kennis hebben op het terrein van informatieveiligheid. 

Op 1 juli 2018 is het nieuwe ENSIA verantwoordingsjaar gestart. Vanaf dit moment is tevens de projectfase van ENSIA afgerond en is de beheerfase aangebroken. 
 

 

Meer weten?