Omdat informatievoorziening voor gemeenten inmiddels cruciaal is, hoort de beveiliging daarvan op de agenda van het gemeentelijk bestuur en de gemeenteraad. Geheel vanzelfsprekend is dat echter niet. Ook niet in een gemeente waar een bestuurder en een raadslid veel aandacht hebben voor informatieveiligheid.

Door: Marieke Vos

Kees Duijvelaar is raadslid voor de VVD in IJsselstein en was tot zijn pensioen in 2017 senior beleidsadviseur informatiesamenleving bij de VNG. Mark Foekema is naast wethouder namens de lokale partij LDIJ ook manager bij IT-bedrijf Atos. "Maar ik wil niet beweren dat de aandacht die IJsselstein heeft voor informatieveiligheid alleen komt door ons tweeën, dat zou teveel eer zijn. Het onderwerp leeft in onze gemeente ook omdat we een goede security officer hebben, Koos Lefeber, die voor meerdere gemeenten werkt. Hij is een belangrijke drijvende kracht," zegt Foekema.

Aandacht

IJsselstein heeft, net als alle andere gemeenten, het eerste jaar volgens de verantwoordingsmethodiek ENSIA erop zitten: in 2018 legden ze verantwoording af over de stand van de informatieveiligheid in de gemeente in 2017. Dit jaar wordt verantwoording afgelegd over 2018. De ENSIA-rapportage is voor de gemeenteraad, want die moet toezicht houden op de stand van de informatieveiligheid van de gemeente. Informatieveiligheid staat echter niet vanzelfsprekend in elke gemeente op de raadsagenda. Ook niet in IJsselstein. Foekema vertelt dat de rapportage in de raad ter kennisgeving is aangenomen. "Er is helaas geen echte discussie over gevoerd," zegt Duijvelaar. "Dat snap ik wel, want zolang het goed gaat, geeft de raad prioriteit aan andere zaken. Maar het onderwerp zou af en toe best wat meer aandacht mogen krijgen." Hoe, daar hebben beide heren wel ideeën over. Bijvoorbeeld door het onderwerp voor raadsleden toegankelijker te maken. Niet iedereen heeft immers kennis van IT, laat staan informatieveiligheid. Dat het rapport in 'auditerstaal' is geschreven helpt ook niet. Foekema: "We willen daarom in de voorlichting aan de raad gaan werken met smileys."

Geen afvinklijstjes

De wethouder denkt erover om de inspanningen die de gemeente al doet om de eigen ambtenaren 'i-bewust' te krijgen, ook op raadsleden te richten. Zo werd de gemeente vorig jaar bezocht door een ingehuurde 'mystery guest', die met een vriendelijke glimlach tot bij de werkplekken in het gemeentehuis kon komen. Dit jaar zal de gemeente ethische hackers inhuren om te kijken of die de gemeentelijke systemen kunnen kraken. Foekema: "We hebben onze informatieveiligheid volgens de audits op orde, maar dat zijn afvinklijstjes. Informatieveiligheid gaat over mensen, veilig gedrag moet in het DNA van iedereen komen. Het is misschien een idee om raadsleden daar ook bij te betrekken." Duijvelaar vult aan: "We zullen dit onderwerp echt aantrekkelijk moeten maken voor de raad. Je verleidt de raad niet met saaie rapporten, maar wel met bijvoorbeeld een spannende uitkomst van een hack."

Foekema sluit af: "ENSIA was voor ons een aanleiding om heel kritisch te kijken naar welke toegangen tot systemen we in de gemeente gebruiken. We hadden een aansluiting op Suwinet, maar gebruikten die nauwelijks omdat we op het gebied van werk en inkomen samenwerken in een regionale sociale dienst. We hebben de aansluiting op Suwinet vanuit onze gemeente nu opgeheven. Dat is een manier van kijken naar risico's en afwegen of je iets wel of niet nodig hebt. Ongeacht de procedures of richtlijnen: dit soort dingen kun je gewoon doen, het gaat er vooral om hoe je er zelf in zit."

Dit artikel is een ingekorte versie. Het volledige artikel leest u in iBestuur nummer 30.