Skip to main content

Heeft jouw gemeente het lef om te leren?


De afgelopen twee jaar heeft de VNG Visitatiecommissie Informatieveiligheid 120 gemeenten bezocht om het gesprek aan te gaan over informatieveiligheid. Op 28 september jl. heeft zij haar eindrapport ‘Durven leren’ met daarin niet één maar een dozijn aan boodschappen gepresenteerd. Je leest het goed, twaalf boodschappen op een rij die ik in deze blog graag voor je samenvat tot een top 3. Zo hoef jij het hele rapport niet te lezen, maar

ben je toch snel op de hoogte van de inhoud.

Top 3

De Visitatiecommissie is het gesprek aangegaan met gemeenten om een drietal zaken voor het voetlicht te brengen: het belang van de gemeentelijke aandacht voor informatieveiligheid, het bieden van een gemeentelijk handelingsperspectief én, niet onbelangrijk, toetsen of verplichtende zelfregulering in de gemeentelijke praktijk van alle dag ook echt werkt. Kortom, geen klassieke visitatiecommissie, maar een commissie die het leren van gemeenten wil en ook moet bevorderen. Als je achter de 12 boodschappen die zij in haar eindrapport gepresenteerd heeft kijkt, komen voor mij drie zaken scherp naar voren:

  1. Goed voorbeeld doet nog steeds volgen
  2. Het leggen van verbinding en verbanden is cruciaal
  3. Openheid doet pijn en.. het helpt enorm

1. Goed voorbeeld doet nog steeds volgen

De verantwoordelijkheid van gemeenten voor informatieveiligheid geldt over de gehele linie, van inhuurkracht tot raadslid, van leveranciers tot ketenpartners en vanuit diverse samenwerkingsverbanden. Het vergt een enorme inspanning om deze verantwoordelijkheid waar te maken. Actieve betrokkenheid van het gemeentebestuur is belangrijk voor de prioriteitstelling binnen de gemeentelijke organisatie en tussen gemeenten in samenwerkingsverbanden. Net als de positionering van de CISO in de organisatie. In het algemeen moet er meer bestuurlijke aandacht voor informatieveiligheid zijn. De introductie van de Eenduidige Normatiek Single Information Audit (ENSIA) maakt dit nóg meer noodzakelijk, dit om te voorkomen dat je als gemeente onvoldoende doet op dit beleidsterrein.

2. Het leggen van verbinding en verbanden is cruciaal

Het bewustzijn en het kennisniveau is de afgelopen jaren gegroeid, maar nog te vaak blijken gemeenten het wiel opnieuw uit te vinden. Kortom, het uitwisselen van kennis tussen gemeenten dient niet alleen gestimuleerd te worden vanuit gemeenten zelf, maar dient zeker ook gefaciliteerd te worden vanuit andere organisaties, zoals de IBD dit doet op de IBD-community. Gemeenten kunnen veel van elkaar leren, maar dat doen ze op dit moment nog te weinig, aldus de Visitatiecommissie. Het uitwisselen van kennis in landelijke en regionale netwerken moet veel structureler worden. De commissie ziet hiervoor overigens een breed draagvlak en roept VNG op om in het kader van Samen organiseren ook wat betreft het onderwerp informatieveiligheid een stimulerende en coördinerende rol te vervullen. Net zo belangrijk, en dat is een tweede boodschap van de commissie, is het leggen van verbinding tussen de verschillende onderwerpen als het gaat om bewustzijn op informatieveiligheidsvlak, denk bijvoorbeeld aan integriteit en privacy. Dit helpt gemeenten niet alleen om de aandacht te richten, maar ook om bewust keuzes te maken. Het is daarom van belang dat de aandacht voor informatieveiligheid structureel is. Tenslotte is het geen eenmalig project, maar een continu proces, een leven lang leren.

Van chaos naar orde

De Visitatiecommissie heeft niet voor niets geconstateerd dat gemeenten vaak nog te ongestructureerd werken aan informatieveiligheid. Uitvoering staat in de dagelijkse werkzaamheden voorop en het aanbrengen van structuur wordt hierbij vaak vergeten. Het is dan ook raadzaam om te werken volgens een vastgesteld informatiebeveiligingsbeleid, een jaarlijks op te stellen informatiebeveiligingsplan en een structurele verantwoordingslijn. Vanzelfsprekend dien je ook te toetsen of maatregelen de geïdentificeerde risico’s voldoende afdekken. Op basis daarvan dien je mogelijk je beleid en (vooral) je plan bij te stellen. Ofwel: een plan-do-check-act cyclus.

3. Openheid doet pijn en.. het helpt enorm

Bij het onderwerp informatieveiligheid bestaat er logischerwijs een spanning tussen de openheid die nodig is om te kunnen leren en de geslotenheid die nodig is om juist bescherming te bieden tegen dreigingen. Toch is een meer open houding noodzakelijk, omdat dit leidt tot een versnelling in het leren. Een goed ingericht en onderhouden Information Security Management Systeem (ISMS) zal daar zeker aan bijdragen. Belangrijk is dan wel dat je de gehele plan-do-check-act cyclus doorloopt en niet blijft hangen in ‘plan’ en ‘do’. Transparant zijn over incidenten helpt, leer ervan en realiseer en accepteer dat de risico’s niet geheel zijn uit te sluiten. Een actieve communicatie over de risico’s en incidenten draagt bij aan het besef dat 100% veilig niet mogelijk is. Meer openheid zal leiden tot een versnelling van het leren, door het delen van kennis en het samen leren van incidenten.

Informatieveiligheid vergt continu onderhoud

Het werken aan informatieveiligheid is dus ‘nooit af’. Een gevaar van die constatering is dat het beeld kan ontstaan dat er de afgelopen jaren te weinig gebeurd is bij gemeenten. Net als de commissie ben ik van mening dat dit zeker niet het geval is. Er gebeurt veel, maar omgekeerd geldt ook dat er evenveel nieuwe ontwikkelingen op gemeenten af zullen blijven komen. Vandaag.. en morgen. Ontwikkelingen die ervoor zorgen dat gemeenten dus geen rust kunnen nemen als het gaat om het onderwerp informatieveiligheid. Kortom, ‘schouders eronder en recht zo die gaat!’

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…