ENSIA

De ENSIA-methode is hét verantwoordingsinstrument over informatiebeveiliging en datakwaliteit. De ENSIA-methode geeft gemeenten inzicht in de risico’s op het vlak van informatiebeveiliging en helpt gemeenten om de juiste maatregelen te nemen.

Alle Nederlandse gemeentebesturen leggen jaarlijks, op één en hetzelfde moment, via één en dezelfde methode, verantwoording af over hun informatieveiligheid, datakwaliteit en data-integriteit. Zij doen dit via de ‘ENSIA-methode,’ en gebruiken die informatie voor de verantwoording aan de gemeenteraad en aan toezichthouders binnen de rijksoverheid (daar waar het gaat om het gebruik van landelijke voorzieningen).  

De ENSIA-rapportage is dan ook hét vaste jaarlijkse moment waarop het college ‘het goede gesprek voert’ over de informatiebeveiliging en, op basis van inzicht, risicogericht noodzakelijke verbeteringen doorvoert in de eigen organisatie.  

De raad kan op basis van de verantwoordingsrapportage haar controlerende rol invullen en vragen stellen over de inhoud van de rapportage en de maatregelen die de gemeente neemt. Dat er eens per jaar een ENSIA-verantwoordingsrapportage is, wil niet zeggen dat informatiebeveiliging maar eens per jaar aandacht vraagt; het is een continu proces in de vorm van plan- do- check- act en het is belangrijk dat gemeenten hier regelmatig bij stilstaan en het gesprek over voeren, bijvoorbeeld ook rondom de voorjaars- en de najaarsnota.

ENSIA is een initiatief van gemeenten en de ministeries van BZK en SZW. De ENSIA-methode richt zich op een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid en datakwaliteit. Naast gemeenten maken ook provincies, waterschappen en enkele onderdelen binnen de rijksoverheid gebruik van ENSIA voor de GEO-basisregistraties.

Alle Nederlandse gemeenten maken gebruik van de ENSIA-methode, om op hetzelfde moment en op een eenduidige manier verantwoording af te leggen aan gemeenteraad en toezichthouders binnen het Rijk. De verantwoording is gebaseerd op de normen die gelden voor de Nederlandse overheid, de BIO. De ENSIA-methode sluit aan op de planning en control-cyclus van de gemeente.

Uitgeschreven tekst

Het gemeentebestuur verantwoordt zich over informatiebeveiliging (BIO) naar de gemeenteraad. Daarnaast verantwoordt het gemeentebestuur zich over de stelsels BRP, Reisdocumenten, Suwinet, DigiD, BAG, BGT en BRO naar de gemeenteraad maar ook naar de toezichthouders Rijk.

Uitgeschreven tekst

De verantwoording via ENSIA verloopt in vier fasen: zelfevaluatie, opstellen, verantwoorden en versturen.

De fase Zelfevaluatie start op 1 juli 2024 en eindigt op 31 december 2024. In deze fase verantwoordt de gemeente zich over informatiebeveiliging over de Baseline Informatiebeveiliging Overheid (BIO) en over andere stelsels waarvoor domeinspecifieke vragenlijsten bestaan. Deze vragenlijsten worden door de ENSIA-coördinator namens de gemeente in ENSIA beantwoord. De  RvIG (BRP en Reisdocumenten) en het BWKI (Suwinet) hanteren hiervoor de BIO-vragenlijst. Logius (DigiD) en ook DGBRW (BAG, BGT, BRO) hanteren hiervoor domeinspecifieke vragenlijsten.

De fase Opstellen start op 1 januari 2025 en eindigt op 30 april 2025. In deze fase genereert de ENSIA-coördinator de verantwoordingsrapportages en vult deze aan. Voor DigiD en Suwinet stelt de ENSIA-coördinator een collegeverklaring op die door een auditor getoetst wordt. Het resultaat van deze fase is een collegeverklaring voor DigiD en Suwinet, een rapportage over de BAG, BGT en BRO, de Uittreksels BRP en Reisdocumenten en een rapportage over ENSIA aan de gemeenteraad. De collegeverklaringen en de verantwoordingsrapportages worden aan het college aangeboden.

De fase Verantwoorden start op het moment dat de collegeverklaringen en de verantwoordingsrapportages door het College van B&W worden behandeld. Dit moet voor 30 april 2025 gebeuren. Het College van B&W stelt de documenten vast en ondertekent ze. Daarna worden de rapportages in ENSIA geüpload. De rapportages voor BRP en Reisdocumenten worden echter via de Kwaliteitsmonitor van RvIG geüpload. Het resultaat van deze fase is dat de toezichthouders uiterlijk 30 april 2024 de gevraagde verantwoordingsrapportages ontvangen.

De fase Versturen heeft betrekking op het jaarverslag en de jaarrekening van de gemeente. Deze start op 1 mei 2025. Het college van B&W neemt in het jaarverslag in de paragraaf Bedrijfsvoering een aparte subparagraaf op over informatiebeveiliging. Hierin rapporteert het College aan de gemeenteraad over informatiebeveiliging. Nadat het College van B&W het jaarverslag heeft vastgesteld en de gemeenteraad het heeft goedgekeurd, worden de jaarstukken door het college aan de provincie verstuurd. Dit moet voor 15 juli.

Het ENSIA-team van de VNG wil het gemeenten gemakkelijk maken. Het team ondersteunt gemeenten bij het toepassen van de ENSIA methode, bij het voeren van ‘het goede gesprek’ over de inzichten met het college en bij het afleggen van verantwoording aan college en raad. Met praktische producten en diensten, een forum en een helpdesk. Het team stimuleert en faciliteert ook kennisuitwisseling tussen ENSIA-coördinatoren onderling. Het team beheert tot slot ook de ENSIA-tool; de basis voor de verantwoording door gemeenten.

De VNG faciliteert gemeenten ook met collectieve producten en diensten vanuit onder andere de Informatiebeveiligingsdienst (IBD) en vanuit het programma Agenda Digitale Veiligheid. Deze zijn onder meer gericht op het verkrijgen van inzicht en het verhogen van de digitale weerbaarheid en ondersteuning bij incidenten.  

De VNG stelt gemeenten in staat om collectief de uitdagingen van de toekomst het hoofd te bieden en behartigt de belangen van gemeenten richting rijk en onderhoudt contact met partners. Zo speelt de VNG in overleg met gemeenten in op toekomstige ontwikkelingen en onderzoekt het de integratie van bestaande en nieuwe wetgeving in de ENSIA-methode, om auditlasten te beperken.

Het ENSIA-forum biedt u de mogelijkheid om vragen te stellen en met collega’s uit andere gemeenten van gedachten te wisselen over alle zaken rondom ENSIA. Op dit forum, toegankelijk voor medewerkers van gemeenten en gemeentelijke samenwerkingsverbanden, treft u tevens nieuwsberichten, downloads, agenda-items aan en kunt u de updates nalezen.

Meld u zich aan voor een account op VNG Fora. U vindt het ENSIA forum onder de groep Dienstverlening en Informatiebeleid.

Wilt u in contact komen met het Beheerteam ENSIA van VNG Realisatie? Dat kan via ENSIA@vng.nl of bel met 070 250 2400.

Als u ons belt en wordt doorgeschakeld naar de voicemail, laat dan een bericht achter met uw naam en telefoonnummer. Het ENSIA-team krijgt dan een automatische melding van en belt u zo snel mogelijk terug.

• Ensia.nl - Het verantwoordingsportaal ENSIA
• Aanmelden en wijzigen gemeentelijke coördinator ENSIA
• Rapport Informatieveiligheid (ENSIA) op Waar Staat je gemeenten.nl