Een gemeenteraad die dankzij duidelijke rapportage inzicht heeft in de stand van de gemeentelijke informatieveiligheid: dat is het uiteindelijke doel van ENSIA. De eerste verantwoordingscyclus van ENSIA is afgerond. Tijd om terug te blikken maar vooral ook om vooruit te kijken, want er valt nog veel te verbeteren om dit doel te bereiken.
Door: Marieke Vos
ENSIA betekent via één systeem en in één keer verantwoording afleggen over informatieveiligheid, zowel via de gemeenteraad aan de inwoners van de gemeente als aan toezichthouders bij de Rijksoverheid. De eerste verantwoordingscyclus is bijna afgerond en tijdens het congres 'Slim verantwoorden' blikten gemeentelijke ENSIA-coördinatoren, toezichthouders en het projectteam van VNG Realisatie terug en vooruit.
Puntjes op de i
Het hoort bij professionals, zeker in het informatieveiligheidsdomein, om vooral te focussen op wat er beter kan. Edith van Ruijven, projectleider implementatie ENSIA, stelde op het congres echter dat we ook wel even mogen stilstaan bij wat er is bereikt: "Vrijwel alle gemeenten waren op tijd op alle drie de ENSIA-inlevermomenten. Dat is een wereldprestatie, want het was ontzettend veel werk. Er werd best sceptisch gekeken of gemeenten dit zouden kunnen. Ja, dus!" Ruim honderd ENSIA-coördinatoren uit het hele land, van Coevorden tot Schipluiden, waren aanwezig om openhartig over hun ervaringen te praten. Samen met de aanwezige toezichthouders van de Rijksoverheid werd het een levendige discussie. De winst van deze eerste verantwoordingsronde is vooral dat partijen elkaar hebben gevonden, zo bleek. "Ik had de belangrijkste spelers wel in beeld, maar door de ENSIA-vragenlijst die organisatiebreed ingevuld moest worden heb ik toch nieuwe betrokkenen gevonden. Ik denk dat we nu een heel goede nulmeting hebben waar we staan met de BIG," zei een aanwezige gemeentelijke coördinator. De BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten, die alle gemeenten moeten invoeren) is de basis van de ENSIA-vragenlijst. Omdat de vragen gemeentebreed worden beantwoord, is het overzicht van de informatieveiligheid completer, stelde een andere coördinator: "ENSIA zet de puntjes op de i. Je denkt misschien dat je het goed hebt geregeld, maar voor ENSIA moet je het bewijs leveren en dan kijk je toch wat dieper."
Nog geen tijdwinst
ENSIA vervangt allerlei losse audits, zoals die voor DigiD en Suwinet. Het zou daarom tijdwinst moeten opleveren, maar daar merken de coördinatoren nog weinig van. De ENSIA-vragenlijst was zeer uitgebreid en invullen met alle betrokkenen in de hele organisatie kostte veel tijd, stelde een aantal. Rein Zijlstra, wethouder in Zeewolde en lid van de ENSIA-stuurgroep, nuanceerde: "Door de losse audits te vervangen door één manier van verantwoording afleggen zullen gemeenten op den duur tijd besparen. Maar deze manier van verantwoorden vraagt samenwerking binnen de gemeente, omdat we het nu integraal doen. En samenwerken kost tijd, want het is complex." Hij stelde dat meerwerk in dit kader een relatief begrip is: "Kost ENSIA meer tijd vergeleken met vroeger, toen we nog niet zo bewust met informatieveiligheid bezig waren? Ja. Met ENSIA voeren we echter de VNG-resolutie uit waarin gemeenten zelf de verantwoordelijkheid nemen voor verantwoording in informatieveiligheid. Zonder ENSIA zou dat meer tijd kosten."
Onduidelijke vragen
"Wij hebben voor de invoering van ENSIA meteen teams gevormd vanuit alle afdelingen, zodat we de vragenlijst zo goed mogelijk konden invullen. Dat werkt heel goed voor het creëren van bewustzijn binnen de organisatie. Je moet dat wel bijhouden, anders verslapt de aandacht," vertelde Arno Koolen, door de gemeente Almere ingehuurd als projectleider ENSIA. Desgevraagd vertelde hij wat er beter kan: "De DigiD-audit begeleid ik al jaren en dat was, afgezien van het nieuwe normenkader wat wennen was, goed te doen. De vragen voor Suwinet waren nieuw voor mij en in mijn beleving veranderden de normen gedurende het traject. Dat was lastig. Daarnaast vond ik de ENSIA-vragen niet duidelijk." Die verbeterpunten pakt het ENSIA-projectteam op, zei Edith van Ruijven.
Gemeenteraad pakt regie?
Het uiteindelijke doel van ENSIA is dat raad en college hun verantwoordelijkheid kunnen nemen voor de gemeentelijke informatieveiligheid. Dankzij een heldere rapportage, zoals ze dat nu ook doen voor bijvoorbeeld de gemeentelijke financiën. Dat doel is echter nog niet bereikt en dat heeft meerdere redenen, zo bleek. Zo staat er in de opgeleverde rapportage nog veel jargon, dat raadsleden en bestuurders niet altijd begrijpen. "We begrepen zelf niet eens precies wat er in de collegeverklaring stond, het is echt audittaal. Maar we zeiden tegen ons college "teken het toch maar, want anders worden we afgesloten van DigiD en Suwinet", zei een coördinator. Ook de gemeenteraadsverkiezingen maakten het niet gemakkelijk om aandacht van de raad te krijgen, aldus een andere coördinator: "De oude raad had er geen interesse meer in en de nieuwe raad ook niet, want die willen vooruitkijken. Met hen praat ik over wat ik wil met informatieveiligheid, niet per se over ENSIA want daarmee kijk je achteruit."
Bij veel gemeenteraden en colleges ontbreekt kennis van IT en informatieveiligheid en daarom is het zo belangrijk dat de rapportages en verklaringen in heldere taal worden geschreven, zo was een conclusie. Gemeenten namen, in VNG-verband, in 2013 een resolutie aan dat informatieveiligheid van hun is. Dat was het begin van ENSIA, dat deze zogeheten horizontale verantwoording moet ondersteunen. Zover is het echter nog niet. "De VNG heeft daar zeker nog een rol te spelen, door gemeentelijke besturen te wijzen op hun verantwoordelijkheid en de gemeentelijke coördinatoren te ondersteunen in hoe zij het gesprek met hun raad en bestuur het beste aangaan," zei Pieter Weeder, plaatsvervangend directeur Informatiesamenleving bij de VNG.
Toezichthouders
"Het was een tumultueus jaar voor ons," zei Jorik van 't Hof van Logius. Eén van de taken van Logius is het toezicht houden op de aansluiting van organisaties op DigiD. "We hadden een nieuw normenkader, voor het eerst werd alle verantwoording digitaal aangeleverd en we deden natuurlijk mee met ENSIA." Logius kreeg uiteenlopende soorten documenten aangeleverd vanuit gemeenten en de informatie voor Suwinet liep er soms doorheen, wat verwerking niet makkelijk maakte. Ook was het voor gemeenten niet altijd duidelijk wat er van hen verwacht werd, zoals waar wel en waar niet een paraaf nodig was. Marion Bouhuis van Logius: "De afstemming met ketenpartners, waaronder ook de auditors, kan beter. Het is nu tijd om met de stofkam door het hele proces te gaan en te kijken wat er beter kan, zodat het voor alle partijen makkelijker wordt."
Stok
Het uiteindelijke doel van ENSIA is dat het toezicht verschuift van verticaal (door toezichthouders van de Rijksoverheid) naar horizontaal (de gemeenteraad controleert de eigen gemeente en gemeenten controleren elkaar). Niet alle aanwezige coördinatoren zien dat echter zitten. "Elke gemeente vindt informatieveiligheid van groot belang. Maar als we met bewijzen moeten komen hoe het precies is geregeld, dan blijkt in de praktijk dat er nog wel wat te doen is. Dat heeft te maken met beperkte capaciteit, er is zoveel wat gemeenten moeten doen. Het helpt als je wordt verplicht om dit te laten zien, dat er druk van buiten is. Ik ben er niet trots op, maar zo werkt het wel," zei een coördinator. ENSIA staat goed op de rails maar is nog niet af, zo was een conclusie. De implementatiefase is afgerond en het ministerie van BZK draagt ENSIA nu over aan de VNG, voor verdere doorontwikkeling en ondersteuning. Er valt nog genoeg te doen en bij te schaven, zo bleek op het congres. Zoals Rein Zijlstra het verwoordde: "Het project is zeker niet af, maar dat is informatiebeveiliging ook nooit. De winst van deze eerste fase is dat alle partijen samen aan de slag zijn gegaan. En dat informatieveiligheid en privacy nu worden genoemd in de nieuwe collegeakkoorden van gemeenten. Het onderwerp staat misschien nog niet bij elke raad duidelijk op het netvlies, maar dat gaat zeker gebeuren. En dan zal ENSIA ondersteunen."
