Informatiebeveiliging en privacy als businessvraagstuk

De maatschappij is steeds verder aan het digitaliseren en ook gemeenten moeten hierin meegaan. De druk op gemeenten en andere publieke organisaties om de informatiebeveiliging en privacy op orde te hebben, wordt daarmee steeds groter. Zo ook bij de gemeente Assen, waar de Rekenkamer onlangs het rapport informatieveiligheid heeft gepresenteerd. De resultaten van het rapport tonen aan dat er ruimte is voor verbetering. Dit zal waarschijnlijk

voor (veel) meer gemeenten gelden. Om er zeker van te zijn dat informatiebeveiliging en privacy van een gemeente voldoen aan de landelijke normen en wetten, adviseer ik om beide topics als businessvraagstuk op te pakken.

Voorbeeldrol

Als het gaat om de digitalisering van de maatschappij hebben alle overheden, ook gemeenten, een voorbeeldrol als het gaat om betrouwbare (digitale) dienstverlening. Burgers en bedrijven moeten zaken met de overheid veilig online kunnen doen. Informatie moet online beschikbaar zijn en de uitwisseling van gegevens goed beveiligd. De gemeente Assen beseft dit maar al te goed en heeft onlangs een verzoek voor extra financiële middelen ingediend om privacy en informatiebeveiliging binnen de gemeente te verbeteren. Er is incidenteel budget gevraagd voor een project en structureel meer budget voor informatiebeveiliging en privacy.
Hiermee gaat de gemeente onder andere een een plan van aanpak opstellen om de informatiebeveiliging van de gemeente te verbeteren aan de hand van de Baseline Informatiebeveiliging Gemeenten (BIG). Een goede zet naar mijn idee, al had de gemeente daar bij een eerder, vergelijkbaar rapport al mee moeten starten. Aan de hand van het plan van de gemeente wil ik toch een aantal kanttekeningen plaatsen.

Informatiebeveiliging versus privacy

In veel beleidsplannen worden informatiebeveiliging en privacy onder één noemer geplaatst. Toch is privacy een ander vraagstuk dan informatiebeveiliging. Beide vraagstukken zijn nauw met elkaar verbonden, maar vragen naar mijn mening een andere aanpak. Het plan van de gemeente Assen toont aan dat er binnen de gemeente geen formele plek is waar privacy belegd is of kan worden. Privacy én informatiebeveiliging zijn hier ondergebracht bij de afdeling IT. Een keuze die veel andere gemeenten ook hebben gemaakt.
Vermoedelijk maken zij deze keuze omdat informatie voornamelijk is opgeslagen in (technische) systemen. Een verstandige keuze? Naar mijn idee niet. Digitalisering is inmiddels zo diep in onze maatschappij doorgedrongen dat het nu cruciaal deel uit moet maken van het primaire organisatieproces. Het is daarmee een businessvraagstuk geworden. Hiervoor pleit ook Petra Oldengarm, directeur van de onlangs opgerichte brancheorganisatie Cyberveilig Nederland. Informatie is namelijk pas echt ‘veilig’ als de mensen in de organisatie op de juiste manier omgaan met de technische en organisatorische maatregelen.

Bewustzijn vraagt cultuurverandering

Juist omdat informatiebeveiliging en privacy nu deel uit moeten maken van het primaire organisatieproces, vraagt dit om een cultuurverandering in de organisatie. De meeste incidenten op het vlak van informatiebeveiliging en privacy worden namelijk nog steeds veroorzaakt door menselijke fouten. Bewustwording van de risico’s die er zijn, is daarom van essentieel belang voor een optimale informatieveiligheid in de organisatie. Wat je vaak ziet is dat bewustwording wordt gedegradeerd tot het “locken van je scherm” wanneer je van je werkplek weg loopt. Ervaring leert dat informatieveiligheid pas echt wordt bereikt als we allemaal, van hoog tot laag, doordrongen zijn van het belang én van de risico’s. Daar zit de echte oplossing. Dit vraagt om een verscherping van het bewustzijn en concrete sturing op zowel informatiebeveiliging als privacy. Dit bewustzijn moet tussen de oren van alle medewerkers komen. Met alleen een cursus, e-learning of workshop bereik je dat niet; het vraagt om een cultuurverandering in de organisatie. Een cultuur waarin commitment en voorbeeldgedrag van leidinggevenden centraal staan en waar het onderwerp besproken wordt in werkoverleggen en informele en formele gesprekken. Vragen over informatiebeveiliging en privacy worden nu al snel als (vooral) ‘technisch’ bestempeld en zijn daarmee vaak ongrijpbaar voor iemand die geen of weinig verstand heeft van techniek. In mijn optiek hoef je hiervoor echt geen specialist te zijn.

Weinig diepgang

Het mag duidelijk zijn dat de topics informatiebeveiliging en privacy voor veel gemeenten nog ongrijpbaar zijn, juist omdat beide onderwerpen als iets technisch worden ervaren. Ze zijn veelal bij een IT-afdeling belegd en maken (nog) geen onderdeel uit van het primaire organisatieproces. Daardoor worden de onderwerpen vaak te globaal en onvoldoende diepgang in een gemeenteraad besproken.
In het voorbeeld van de gemeente Assen geeft de gemeenteraad aan dat de informatiebeveiliging binnen de gemeente eind 2018 op orde moet zijn. Ook wil de raad dat de minimale privacyactiviteiten voor 25 mei a.s. zijn geïmplementeerd, want dan treedt immers de AVG in werking. Wat dit nu precies inhoudt, blijft onduidelijk.

Conclusie

Laten we hopen dat ENSIA de raad de mogelijkheid geeft om de rol als interne toezichthouder beter op te pakken en dat het handvatten geeft om betere sturing te geven aan informatiebeveiliging en privacy. Dat zal een positieve invloed hebben op de aandacht die er vanuit de ambtelijke organisatie is voor beide thema’s. En dan worden informatiebeveiliging en privacy straks alsnog als businessvraagstuk gezien.

Privacy-by-Design; 8 concrete en toepasbare strategieën
Gemeenten moeten kiezen tussen twee kwaden

Copyright © 2014-2019 IB&P B.V. - Informatiebeveiliging Gemeenten is een handelsnaam van IB&P B.V. 
Onze algemene voorwaarden & privacyverklaring.Ook handig: de sitemap