Skip to main content

Zeven ENSIA tips om (ook) te slagen voor de Suwinet audit


Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met hun informatie omgaat. Gemeenten moeten deze betrouwbaarheid kunnen waarborgen en jaarlijks aantonen dat hun informatieveiligheid op orde is. ENSIA helpt hierbij. Ik heb al veel geschreven over ENSIA (meest recente blog ), maar in praktijk zie je toch snel zaken over het hoofd is mijn eigen ervaring. In deze blog zoom ik uitsluitend in op Suwinet. Hopelijk heb je iets aan mijn tips!

ENSIA IT Audit

Alle gemeenten zijn sinds 1 juli jl. druk bezig met alweer het tweede jaar van verantwoording met ENSIA. De zelfevaluatie moet vóór 31 december aanstaande zijn ingeleverd, waarna in het voorjaar van 2019 binnen alle gemeenten het college verantwoording aan de gemeenteraad zal afleggen. In deze blog ga ik dieper in op de verantwoording specifiek over Suwinet . Suwinet en DigiD vallen binnen scope van de ENSIA IT audit. Het jaarlijkse DigiD beveiligingsassessment is niets nieuws onder de zon, maar de Suwinet audit wel degelijk zou ik willen beweren. En dit jaar is het allemaal wat scherper dan vorig jaar.

Verantwoording Suwinet

Gemeenten die Suwinet gebruiken, of dat hebben uitbesteed aan een samenwerkingsverband, moeten zich verantwoorden over informatiebeveiliging langs twee normenkaders: de Baseline Informatiebeveiliging Gemeenten en het specifieke Suwinet-normenkader voor afnemers. Gemeenten moeten dat verantwoorden volgens de ENSIA-systematiek. Hierbij geldt de BIG geldt voor alle systemen en gegevens (en fysieke beveiliging) in een gemeente en bij zijn opdrachtnemers. Het specifieke Suwinet-normenkader – de naam zegt het al – bevat aanvullende of strengere normen voor het werken met Suwinet.

Binnen ENSIA zijn beide normenkaders, afgeleid van de ISO27000 serie, op elkaar gelegd. Hierbij worden nog wel eens zaken over het hoofd gezien. En dit terwijl Suwinet juist veilig moet zijn. Er gaat immers dagelijks heel veel en heel gevoelige informatie over en weer. Het is dus belangrijk om bij de verantwoording over Suwinet op een aantal zaken (extra goed) te letten. Daarom onderstaand zeven tips om rekening mee te houden in het kader van de Suwinet verantwoording:

  1. Verantwoord Suwinet middels de keuzehulp
    Gebruik de Exceltool (keuzehulp)voor Suwinet-taken  van NOREA. Hierin staan de vragen uit de ENSIA-toolweergegeven die relevant zijn voor Suwinet. Per taak is een vragenlijstopgenomen. Op basis van de bijhorende beslisboom dient de relevante vragenlijst(en)te worden ingevuld. Op deze manier kan je de BIG-vragen in ENSIA ook echt metde ‘gemeentebrede’ bril op bekijken en beantwoorden voor de horizontaleverantwoording. Ja, dit advies ondermijnt de centrale gedachte van ENSIA, maarfeitelijk doe je niets anders dan bij DigiD. Ook hier heb je een specialevragenlijst voor de verticale verantwoording. De verticale toezichthouders wensen nogniet te leunen op de horizontale verantwoording.
  2. Stel vast of je ook DKD/Suwinet-Inlezen gebruikt
    Suwinet-Inlezen (daaronder verstaan we voor nu ook: DKD-Inlezen) maakt het voor overheidsorganisaties mogelijk om gegevens van diverse bronnen direct in de eigen bedrijfsapplicatie in te lezen en/of te laten voorinvullen op elektronische aanvraagformulieren. Het gaat dan vanzelfsprekend alleen om die gegevens die nodig zijn voor de uitvoering van de wettelijke taken. De Suwi-Inkijk omgeving van BKWI is reeds gevalideerd als ‘adequaat’, maar Suwinet-Inlezen is een heel ander verhaal. Binnen ENSIA dienen gemeenten zich te verantwoorden over alle vormen van Suwinet gebruik. Onderschat de scope van de Suwinet audit dus niet.
  3. Check op aansluitingen van niet-SUWI partijen
    Een aantal gemeentelijke afdelingen kan voor bepaalde wettelijke taken gebruik maken van Suwinet, te weten: RMC’s (alleen 39 contactgemeenten) , gemeentelijke gerechtsdeurwaarders, gemeentelijke samenwerkingsverbanden en de afdeling Burgerzaken. Over al deze aansluitingen en het gebruik van deze verschillende partijen op Suwinet moet gerapporteerd worden. Dit valt dus ook allemaal binnen scope van de Suwinet audit (voor zover er gebruik van wordt gemaakt). Zorg dat je dus goed zicht hebt op wie wat (niet) doet. Vooral bij uiteenlopende samenwerkingsverbanden is dit nog best lastig te ontrafelen.
  4. Ken het verschil tussen carve-in en carve-out
    Bij de carve-out methode wordt in een assurance-rapport een verwijzing opgenomen naar het assurance-rapport (de TPM) van een leverancier, dit is o.a. het geval bij het DigiD-assessment. Bij de carve-in methode, ook wel inclusive method genoemd, heeft jouw IT auditor, in tegenstelling tot carve-out, wél de beheersmaatregelen van je samenwerkingsverband binnen de scope van de IT-audit. Dat betekent niet dat jouw auditor het werk overnieuw hoeft te doen, maar hij zal de TPM inhoudelijk wel beoordelen om er een oordeel over te kunnen vellen.
  5. Houd rekening met de nieuwe general IT controls
    Voor Suwinet-Inlezen beheer je dus zelf de applicatie waarin je gegevens worden ingelezen (gepresenteerd). Om een uitspraak te kunnen doen over de betrouwbaarheid van deze informatievoorziening dient de gemeente aan een aantal randvoorwaarden, ook wel General IT Controls genoemd, te voldoen. Op deze manier kan de betrouwbaarheid worden gegarandeerd. In feite dus exacte hetzelfde als bij de audit jaarrekening . Het gaat hierbij in ieder geval om logische toegangsbeveiliging (applicatie en/of netwerk), logging en wijzigingsbeheer. Onderschat deze te nemen beheersmaatregelen (controls) niet. Ze zitten dit jaar voor het eerst expliciet in scope van de Suwinet audit.
  6. Voorkom handhaving door de Inspectie SZW
    Het eerste jaar van verantwoording met ENSIA in 2017 werd gezien als 0-meting, waarbij is besloten nog niet streng te handhaven. Opmerkelijk en in contrast met Logius. Vanaf dit jaar gaat Inspectie SZW wél handhavingsmaatregelen treffen conform het ‘Interventieprotocol Suwinet ENSIA’ (23 april 2018 vastgesteld). Zorg dus dat je alles op orde hebt en voorkom handhaving. Indien je gemeente niet voldoet aan de verantwoordingsplicht of het normenkader t.a.v. Suwinet niet naleeft, zullen er interventies plaatsvinden. Dat ziet er zo uit:
    – Attentiebrief (al ontvangen?)
    – Ambtelijk overleg
    – Voornemen tot aanwijzing
    – Aanwijzing
    – Onderzoek inspectie
    – Zelf in de zaak voorzien
    – Afsluiten Suwinet
  7. Weet dat verbeterplannen verplicht zijn
    Bij eventuele tekortkomingen in het kader van de zelfevaluatie is de gemeente verplicht om een verbeterplan op te stellen. In dit verbeterplan moeten verbetermaatregelen staan voor deze tekortkomingen. De IT auditor verifieert of de gesignaleerde bevindingen zijn geadresseerd in het verbeterplan. Dit verbeterplan gaat vervolgens ook mee richting de gemeenteraad voor de horizontale verantwoording. Daar kunnen dus vragen over komen. Daarnaast gaan de verbeterplannen ook naar de verticale toezichthouders. Vanuit Logius dien je hier direct op de acteren terwijl de Inspectie SZW vooralsnog coulanter lijkt (zie punt 6).

Ik hoop je met deze blog meer inzicht te hebben gegeven in de Suwinet audit. Heb je na het lezen van deze blog een specifieke vraag over ENSIA en/of de Suwinet audit? Laat het ons weten. Ik raad je sowieso aan deze beide documenten aandachtig te lezen:
Handreiking uitvoering ENSIA verantwoording 2018 (VNG Realisatie)
Handreiking ENSIA voor IT-auditors (RE’s), versie 2.0 (NOREA)

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…