Betoog: Eén overheid, één baseline voor informatieveiligheid

VNG Magazine nummer 7, 19 april 2019

Auteur: Melis van de Groep, burgemeester van Bunschoten


Rijk, gemeenten, provincies en waterschappen gaan per 1 januari 2020 over op één uniform normenkader voor informatiebeveiliging. Daarmee moeten bestuurders er meer grip op krijgen. Dat is nodig, betoogt Melis van de Groep, want informatieveiligheid is voor veel bestuurders een lastig onderwerp.

Onze gemeentelijke dienstverlening is anno 2019 sterk afhankelijk van informatiesystemen. Deze zijn in veel gevallen onderdeel van een ‘informatieketen’ waarin diverse (overheids)organisaties samenwerken. Daardoor kun je, wanneer je maar wilt, een afspraak maken bij de gemeente voor bijvoorbeeld een nieuw paspoort of het doorgeven van een verhuizing. Veel inwoners, ondernemers en de gemeentelijke organisatie zelf maken er dankbaar gebruik van. Dat vergt ook vertrouwen in alle digitale systemen die dit mogelijk maken. Inwoners, ondernemers en samenwerkingspartners van de gemeente verwachten dat hun informatie haast vanzelfsprekend op een veilige manier wordt beheerd. Net zoals een gemeente dat omgekeerd overigens ook verwacht. Dat vraagt om duidelijke afspraken over en weer met betrekking tot informatieveiligheid. Is de informatie betrouwbaar? Is de informatie te allen tijde beschikbaar? En zorgt iedereen ervoor dat er zorgvuldig met de informatie wordt omgegaan? Daarmee hebben we het over veel meer dan een puur technische aangelegenheid. Het vereist actieve bestuurlijke verantwoordelijkheid. 

Resolutie
Met de Resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente hebben gemeenten al in 2013 hun verantwoordelijkheid rond een goede informatiebeveiliging erkend. Sinds de algemene ledenvergadering van de VNG in dat jaar is er veel gebeurd. Gemeenten hebben hun organisatie ingericht volgens die resolutie, door de introductie van de gemeentelijk Chief Information Security Officer (CISO). Ook werkten we informatiebeveiliging verder uit op basis van de maatregelen in de Baseline Informatiebeveiliging Gemeenten. Andere overheidspartijen kenden een vergelijkbare ontwikkeling. Departementen en zelfstandig bestuursorganen (zbo’s) werkten op basis van de Baseline Informatiebeveiliging Rijksdienst, waterschappen op basis van de Baseline Informatiebeveiliging Waterschappen en provincies op basis van de Interprovinciale Baseline Informatiebeveiliging. Onderling zeer vergelijkbare normen en maatregelen, maar toch met een nét andere invalshoek.

De sterkere aandacht voor risicoanalyse is even wennen

De toenemende vernetwerkte overheidsdienstverlening maakt dat die verschillende baselines niet meer afdoende zijn om een veilige overheidsdienstverlening te waarborgen. Want hoe weet je dat de informatie van de gemeentelijke organisatie ook goed is geborgd bij een andere overheidsorganisatie en vice versa? Overheidsbreed is daarom de laatste jaren hard gewerkt om één gezamenlijke baseline voor informatieveiligheid vast te kunnen stellen. En dat is gelukt. Rijk, gemeenten, provincies en waterschappen gaan per 1 januari 2020 over op één uniform normenkader voor informatiebeveiliging. 
Dit normenkader, de Baseline Informatiebeveiliging Overheid (BIO), zal dan alle andere kaders vervangen. Dezelfde taal dus voor alle overheidsorganisaties, met een en dezelfde beveiligingsnorm. Het gemeentebestuur van Bunschoten heeft het gebruik van de BIO per 1 januari 2020 als een verplichte standaard aangemerkt. De baseline schrijft een aantal beheerdoelstellingen voor, maar laat in het midden hoe aan die doelstellingen wordt voldaan. Het idee is dat bestuur en management op basis van een risicoanalyse en samen met de gemeentelijk CISO bepalen hoe doelstellingen worden ingevuld. Dat is een bepalende rol voor de bestuurder. 

Beheersen van risico’s
De sterkere aandacht voor risicoanalyse is even wennen. Om overheidsorganisaties daarbij te helpen zijn tien bestuurlijke principes geformuleerd. De organisatie is daardoor flexibeler bij de toepassing van de BIO. En het vergemakkelijkt het bewust inregelen van de veiligheid van dienstverlening met een set maatregelen die past bij de gemeente. Dat maakt dat ik als bestuurder van de gemeente Bunschoten maatwerk voor mijn burgers en ondernemers kan inrichten, terwijl ik tegelijkertijd het vertrouwen van de partijen waarmee ik samenwerk borg.  
Laten we eerlijk zijn, informatiebeveiliging is voor veel bestuurders een lastig onderwerp. Maar nu word ik in het kader van de nieuwe baseline uitgedaagd om met mijn CISO te overleggen en krijg ik het gevoel meer grip op dit thema te krijgen. In ons gesprek gaat het over risico’s die samenhangen met het gebruik van moderne technologie. We analyseren bedreigingen, maar ook eventuele kansen, voor de gemeente, voor inwoners en voor ondernemers. De tien bestuurlijke principes helpen daarbij. 
Die risicobenadering helpt ook om ons als college aan de gemeenteraad te verantwoorden over de wijze waarop we informatieveiligheid borgen. De BIO vormt het normenkader voor het verantwoordingsstelsel ENSIA, dat we daar vanaf 2020 voor zullen gebruiken. We organiseren verder geregeld een interactieve presentatie over informatieveiligheid voor onze raad. Daarin is uitgebreid ruimte voor vraag en antwoord. Op die manier worden ook raadsleden meegenomen in de introductie van de BIO en kunnen ze hun rol als toezichthouder verder invullen.

De boel op orde
Gelukkig hoeven we de beweging naar de BIO niet alleen te maken. De VNG en in het bijzonder de Informatiebeveiligingsdienst (IBD) ondersteunen ons, zodat we in 2020 de boel op orde kunnen hebben. Zowel de gemeentelijke organisatie, als de bestuurder. Zo wordt in de regiosessie van de IBD voor CISO’s uitgebreid aandacht besteed aan de vraag hoe de BIO succesvol te implementeren. En voor hen en voor bestuurders komt er binnenkort een mindmap beschikbaar om het gesprek tussen de bestuurder en CISO te ondersteunen. Daarmee wordt de bestuurder in stelling gebracht om informatieveiligheid te borgen. Samen met de CISO zorgen we er dan voor dat de dienstverlening van onze gemeente naar inwoners, ondernemers en partners kan worden gegarandeerd. 

Melis van de Groep is lid van de VNG-commissie Informatiesamenleving.

Schrijf ook een betoog voor VNG Magazine: redactie@vngmagazine.nl