V AN ONZE KE N N ISP AR TN E R Informatieveiligheid: Chefsache! Bewustwording, transparantie en ‘leren’ rode draad Met alleen al 5700 datalekken in 2016, wekelijkse meldingen van incidenten met ransomware en al dan niet geslaagde pogingen van hackers, inclusief extra maatregelen rond verkiezingen, staan de thema’s privacy en informatiebeveiliging inmiddels ook op de bestuurlijke agenda. Medio 2016 spreekt de Visitatiecommissie Informatieveiligheid van de VNG in hun jaarverslag nog over een wisselend kennisniveau bij bestuurders en topambtenaren. Persoonlijke interesse en achtergrond zijn vaak bepalend. Tekst: Wijnand Heijnen, principal adviseur bij M&I/Partners en Valerie Roos, senior communicatieadviseur programma BVGS bij VNG I n het sociaal domein is de laatste jaren veel aandacht geweest voor informatieveiligheid bij Suwinet. Zo heeft de Inspectie SZW een aantal onderzoeken naar het gebruik van Suwinet door gemeenten uitgebracht in 2015, 2016 en recent in 2017. In de beginperiode voldeed nog een zeer beperkt aantal gemeenten aan de gestelde essentiële normen. In 2017 kwam de Inspectie SZW tot de conclusie dat inmiddels alle gemeenten aan deze essentiële normen voldoen. In diezelfde periode hebben de ketenpartners UWV, SVB en gemeenten, vertegenwoordigd door de VNG in het programma Borging Veilige Gegevensuitwisseling Suwinet (BVGS), een aantal maatregelen uitgewerkt voor een veiliger gebruik van Suwinet. Medio 2016 waren de maatregelen gereed voor implementatie. Waar organisaties werken aan de verbetering van de informatieveiligheid, valt op dat er vaak keuzes moeten worden gemaakt. Organisaties moeten een balans vinden tussen enerzijds de primaire processen van de organisatie en anderzijds de eisen die aan het werk gesteld worden vanuit onder meer informatieveiligheid. Positionering Het komt nog regelmatig voor dat de functionarissen belast met informatieveiligheid, zoals een CISO of Security Offi cer, op afstand staan van de uitvoeringsorganisatie. Waar dat voor de technische invulling van informatieveiligheid goed verklaarbaar is, vragen onder meer awareness, opleidingen en de organisatorische inrichting van informatieveiligheid meer interne afstemming en verankering. Borging van informatieveiligheid vergt een goede samenwerking van uitvoering, management en security offi cer. 46 wie een relatie is in het kader van de participatiewet, vergt een initiële (tijds)investering. Terwijl de extra betrouwbaarheid niet meteen meetbaar is en de tijdsbesparing in bijvoorbeeld de rapportagecyclus pas zichtbaar wordt nadat de investering is gedaan. Een investering in informatieveiligheid leidt doorgaans niet meteen tot een besparing binnen dezelfde organisatie. Borging van informatieveiligheid vraagt van bestuurders commitment en keuzes om een goede balans te creëren. Administratieve last Of het nu om een nieuw normenkader voor Suwinet gaat of nieuwe technische voorzieningen die de informatieveiligheid sterk vergroten, vaak worden dergelijke onderwerpen als extra last ervaren. Er ligt al zo veel werk en dit komt er nog bovenop. Businesscases voor informatieveiligheid lijken op het eerste oog vaak ongunstig: een investering in tijd of geld betaalt zich niet zichtbaar uit, maar komt ten goede aan betrouwbaarheid en betere dienstverlening. Whitelisting, een maatregel in het programma BVGS, die ervoor zorgt dat gemeenten alleen gegevens kunnen inzien voor personen met KOSTEN VOOR INFORMATIEVEILIGHEID MOETEN IN BALANS ZIJN MET DE RISICO’S DIE EEN GEMEENTE ONDERKENT
47 Online Touch Home