Informatiebeveiliging is zo'n onderwerp waarvan iedereen zegt dat het heel belangrijk is, maar dat ook een moeilijk en technisch imago heeft. De burgemeester en de gemeentesecretaris zijn door de bank genomen geen IT- of security-experts, maar ze dragen wel een grote verantwoordelijkheid als het gaat om veiligheid en risicobeheersing. De verantwoording over informatiebeveiliging door middel van ENSIA helpt hen daarbij.

Dubbelinterview Sjors Fröhlich en Bart Drewes,
door: Quita Hendrison

Er zijn nog steeds mensen die bij het horen van de naam Sjors Fröhlich aan de radio denken. Maar inmiddels is hij alweer dik een halfjaar burgemeester van zijn thuisgemeente Vijfheerenlanden. Met zijn gesprekspartner in dit interview, gemeentesecretaris van Bronckhorst Bart Drewes, deelt hij de bescheiden trots over het bereikte niveau van informatieveiligheid in hun respectievelijke gemeenten. "De Citrix-crisis toonde aan dat we goed voorbereid waren, dankzij onze CISO en de relatie met de Informatiebeveiligingsdienst (IBD) en leveranciers." "Als je het vergelijkt met de DigiNotar-hack van een paar jaar geleden zijn we als gemeenten gegroeid in alertheid en veerkracht", meent ook Drewes. "Het nadenken over en bewustwording van informatieveiligheid heeft een plek gekregen. En dat moet ook: inwoners en ondernemers verwachten een betrouwbare dienstverlening. Technologie biedt kansen, maar als we daar niet zorgvuldig mee omgaan, keert het tegen je." "Dan wordt het een monster dat je opvreet", voegt Fröhlich beeldend toe.

Omslag gemaakt

In tijden van corona komen daar nog meer aandachtspunten bij. Fröhlich: "Ons systeem kan het prima aan, 350 mensen die ineens thuiswerken. Maar daarnaast moet je regelen dat de collega's die over de jaarrekening 2019 gaan, dat wél via veilige verbindingen doen en niet in de achtertuin via de gammele wifi van de buren." Technologie, de menselijke factor en gezond verstand; samen vormen ze een goede bodem voor informatieveiligheid. "En daarbij heb je als gemeente een kader nodig", aldus Drewes. "Daarom is ENSIA (Eenduidige Normatiek Single Information Audit) zo van belang." ENSIA is de systematiek waarmee gemeenten verantwoording afleggen aan gemeenteraad en toezichthouders over hun informatiebeveiliging. Vertrekpunt is de Baseline Informatiebeveiliging Overheid (BIO). Het gemeentebestuur krijgt hiermee overzicht en inzicht in de stand van zaken van de informatieveiligheid en kan daar vervolgens op sturen. "Met ENSIA heb je een basisnormenkader om informatieveiligheid te borgen." Fröhlich: "Daarmee is een omslag gemaakt van vinkjes zetten bij de afgewerkte punten naar scenariodenken. Je checkt niet achteraf, maar denkt steeds een stap vooruit; het gaat om risicobeheersing en continuïteit."

Dankzij ENSIA kunnen overheden één basisniveau van informatiebeveiliging inregelen op een manier waarin ook de transparantie naar raad en college is gegarandeerd. Eén moment van verantwoording afleggen, bespaart bovendien tijd en administratieve lasten. Tijd en middelen die elders ingezet kunnen worden. Fröhlich: "Wij zijn een fusiegemeente waarin verschillende culturen en informatiesystemen worden samengevoegd. Met BIO en ENSIA beginnen we als het ware op nul, allemaal vanaf hetzelfde startpunt; dat helpt."

Open cultuur

Drewes en Fröhlich hebben beiden een helder beeld van hun eigen rol hierin. "Als gemeentesecretaris zorg ik ervoor dat het beleid meer is dan papier", verklaart Drewes. "Ik heb een actieve rol als het gaat om zaken als het inregelen van crisisbeheer, ervoor zorgen dat functionarissen als de CISO z'n werk goed kan doen. Ik moet het geheel overzien, ook in relatie tot de AVG." Fröhlich: "Ik zie het ook als mijn taak om te zorgen voor een open cultuur. Daar heb ik wel een voorbeeld van. We hadden in de gemeente te maken gehad met CEO-fraude: een collega van de financiële administratie krijgt een e-mail van 'de baas'. Die draagt hem op een bedrag over te maken naar een bepaalde rekening. In werkelijkheid komt het verzoek van een oplichter. Daar kan de direct betrokkene zich zo voor schamen dat het onder de pet blijft. Ik vind het belangrijk dat de cultuur zo is dat zo'n incident juist een voorbeeld wordt waarvan we kunnen leren. Dat wil ik stimuleren met als motivatie dat we de dingen beter willen maken voor de organisatie en de inwoners." Drewes onderstreept het belang van een open cultuur: "Daar hoort ook bij dat we streng zijn in het toetsen van elk collegebesluit: is er aan de veiligheid gedacht? Kies niet te snel voor alleen meer gemak." "Dat is soms wel dubbel hoor", vindt de burgemeester. "Bijvoorbeeld bij kwesties rond jeugdzorg word je weleens ongeduldig als privacy-issues directe hulpverlening tegenhouden. Dan probeer je toch te zoeken naar goede mogelijkheden om zaken sneller te laten lopen." "Gegevensuitwisseling blijft lastig, ik snap het", denkt Drewes met de burgemeester mee. "We moeten beseffen dat privacy een relatief recht is, afhankelijk van de opdracht of situatie. De legitimiteit valt of staat bij verantwoording achteraf, dat zien we nu met de coronacrisis ook weer. De balans gemak versus veiligheid moet je herijken in de tijd, want die balans kan verschuiven."

Eenvoudiger

Drewes: "Onze CISO heeft de lead in de verantwoording van de werkprocessen, het aanleveren van de gegevens, de rapportage van het college; horizontaal naar de raad en verticaal naar het rijk. Het mooie aan ENSIA is de beweging naar één overheid, naar één norm (de BIO), met één moment van uitvraag, met één tool. In de praktijk zie je die vereenvoudiging al. Wat ook helpt is een eenvoudigere collegeverklaring, vergezeld met de auditverklaring,  zodat het nog toegankelijker wordt voor raad en college." Fröhlich: "Voor mij is het de eerste keer dat ik dit meemaak en ik sta vanuit mijn positie wat meer op afstand van het proces. Maar het is volkomen duidelijk dat het enorm belangrijk is dat het college op een gestructureerde en gebundelde manier geïnformeerd wordt over de maatregelen over informatieveiligheid en daar z'n handtekening onder zet. Dat doet ook veel voor de bewustwording rond veiligheidsvraagstukken. Wat mij betreft kan het inderdaad wel nog wat makkelijker, nog gebruikersvriendelijker." "Daar wordt aan gewerkt", weet Drewes. "Via een Europese aanbesteding voor een gebruikersvriendelijke tool. Inhoudelijk betekent eenvoudiger wat mij betreft dat verantwoording op het juiste abstractieniveau wordt afgelegd, dus niet te veel op detailniveau, maar vanuit risicoanalyse." Fröhlich tot besluit: "Bottomline is: hoe wij het ook regelen, de inwoners moeten er vanuit kunnen gaan dat het deugt!"