Betoog Frans Backhuijs: 'Voel je eigenaar van informatieveiligheid'

Nummer 15, 6 oktober 2017

In ruim twee jaar tijd bezochten Frans Backhuijs, Maarten Ruys (oud-gemeentesecretaris van Groningen) en Wim Blok (hoofd Veiligheid in Leiden) 123 gemeenten. Van Aa tot Hunze en van Amsterdam tot Maastricht hebben ze geprobeerd het thema informatieveiligheid op de bestuursagenda te krijgen. Vorige week presenteerden zij hun eindrapportage Durven leren. ‘Alles draait om data.’

Doel van onze bezoeken aan de gemeenten was bestuurders en de Chief Information Security Officers (CISO) samen om de tafel te krijgen. Om met de commissie het gesprek te voeren, het bewustwordingsproces over het belang van informatieveiligheid op gang te brengen en het besef te laten groeien dat gemeenten een schat aan privacy- en concurrentiegevoelige gegevens van inwoners en ondernemers onder hun hoede hebben. Die bewustwording en dat besef moeten leiden tot bestuurlijk eigenaarschap en de bereidheid tot het nemen van concrete maatregelen.

Bij die concrete maatregelen moet gedacht worden aan technische maatregelen. En informatiebeveiliging is voor een belangrijk deel ook de resultante van het juiste gedrag. Het gaat om de juiste combinatie van techniek en gedrag. De verantwoordelijkheid van gemeenten voor informatieveiligheid geldt over de hele linie, van inhuurkracht tot raadslid, voor leveranciers en samenwerkingsverbanden. Het vergt een enorme inspanning van gemeenten om samen met de Informatiebeveiligingsdienst voor gemeenten (IBD) en koepels (zoals de Vereniging van Gemeentesecretarissen, het Nederlands Genootschap van Burgemeesters en de Wethoudersvereniging) te werken aan blijvend bestuurlijk eigenaarschap van informatieveiligheid. Een continu proces van durven leren, niet alleen van incidenten, maar ook van elkaar, de wetenschap en de techniek.

Het gaat om de juiste combinatie van techniek en gedrag

Schatbewaarders

Met de overhandiging van ons rapport aan VNG-directeur Jantine Kriens is het werk van onze commissie afgerond. Maar als het om het ontwikkelen en uitvoeren van een informatiebeveiligingsbeleid bij gemeenten gaat, is er nog veel werk te doen. We zullen ons moeten realiseren dat in de informatiesamenleving alles draait om data. En dat gemeenten de schatbewaarders zijn van een breed scala aan data, zowel over hun inwoners als over ondernemers en andere organisaties. Daarom moeten raad en bestuur eigenaarschap tonen met een even grote interesse voor data als dat er nu al voor geld is. Ik pleit er daarom voor om data, net als financiën, een plek te geven op de gemeentelijke balans.

De 10 belangrijkste bevindingen van de visitatiecommissie Informatieveiligheid:


1. Gemeenten beschikken over een schat aan informatie van burgers en bedrijven. Er zijn aanwijzingen dat bedrijven bespioneerd worden via de informatie die over die bedrijven bij de gemeente rust.

2. Het werken aan informatieveiligheid, implementeren van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en het aansluiten op stap 4 bij IBD is ‘nooit af’ maar een continu proces.

3. Pas toe of leg uit; de BIG laat ruimte voor lokaal maatwerk, maar dan wel op basis van bewuste en gedragen keuzes. Dit neemt niet weg dat er wel een ondergrens is.

4. Een toegenomen aantal meldingen van incidenten in de gemeente is waarschijnlijk het gevolg van een vergroot bewustzijn in de organisatie en daarmee een goed teken.

5. We weten niet wat we niet weten, ofwel: There are also unknown unknowns – the ones we don’t know we don’t know. Daarom is het van belang structureel werk te maken van informatieveiligheid.

6. Informatie is vergelijkbaar met geld. College en raad moeten net zo actief op informatie sturen als op financiën.

7. Informatieveiligheid vraagt op drie vlakken aandacht: voor de techniek, voor een passende organisatie-inrichting en voor houding en gedrag bij alle medewerkers.

8. Het is van belang om actief te sturen op informatieveiligheid in formele samenwerkingsverbanden (denk aan: sociale dienst, belastingsamenwerking) en bij leveranciers.

9. Never let a good crisis go to waste.

10. Doe niet alles tegelijk: maak keuzes, stel prioriteiten en verzeker dat deze bestuurlijk gedragen zijn.

Frans Backhuijs is burgemeester van Nieuwegein en was voorzitter van de visitatiecommissie Informatieveiligheid.

Zie ook: Verslag Conferentie visitatiecommissie Informatieveiligheid (VNG-nieuwsbericht, 29 september 2017)