materiewetten die zij uitvoeren, zoals de Participatiewet, WW of WIA (Wet werk en inkomen naar arbeidsvermogen). Deze wetten bepalen de doelbinding bij het gebruik van gegevens. Denk hierbij aan de relatie met normenkaders voor informatieveiligheid en de specifi eke eisen waaraan een organisatie moet voldoen. Het wordt al snel duidelijk dat informatieveiligheid een complex geheel vormt. Dit doet een groot beroep op de organisatie. Ten aanzien van deskundigheid, maar ook op het vlak van eenvoudige en eenduidige communicatie. Vaktaal Bij de borging van informatieveiligheid zijn veel personen betrokken. In de eerste plaats de medewerkers die werken met de persoonsgegevens en hun leidinggevenden. De afdeling ICT voor de technische en functionele inrichting, de I&A-coördinator of -manager, maar ook de security offi cer, CISO, de functionaris gegevensbescherming en tot slot de IT-auditor. Al deze medewerkers hebben hun eigen jargon op het terrein van informatieveiligheid . Het blijkt in de praktijk lastig elkaar goed te begrijpen. Optimalisering van informatieveiligheid vraagt heldere communicatie en het zich kunnen verplaatsen in elkaars belevingswereld, met begrip voor elkaars invalshoeken. Ook hierin speelt awareness een grote rol. Organisatiebreed Veel organisaties en zeker gemeenten hebben een breed takenpakket. Vraagstukken rond informatieveiligheid zijn vaak vanuit een bepaalde taak of afdeling georganiseerd. De vraagstukken bij Suwinet bij een sociale dienst zijn anders dan die rond Wmo of Jeugdwet in een wijkteam en weer anders dan bij Burgerzaken en de Basisregistratie Personen (BRP). Maatregelen worden vaak binnen een organisatieonderdeel ingezet, maar hebben een organisatiebrede verankering nodig. Voorbeelden zijn activiteiten op het gebied van ibewustzijn of personeelsbeleid bij oneigenlijk gebruik of misbruik van gegevens. Vaak nog komt het voor dat eisen aan gemeenten ook verkokerd vanuit het Rijk worden gesteld. Een project als ENSIA moet daarin verdere harmonisatie brengen. Complexiteit Veel wetten raken informatieveiligheid bij het gebruik van Suwinet. Allereerst natuurlijk de WBP (Wet bescherming persoonsgegevens) en vanaf 2018 de AVG (Algemene Verordening Gegevensbescherming). Vervolgens is er een Wet SUWI die zowel de taken van de organisaties beschrijft, alsook de wijze van gegevensuitwisseling tussen die organisaties. In de onderliggende regelgeving worden eisen gesteld aan de inrichting van deze gegevensuitwisseling. Daarnaast hebben organisaties te maken met de Tijd en capaciteit Hoeveel tijd mag informatieveiligheid kosten? Zichtbaar is dat veel organisaties meer en meer investeren in informatieveiligheid. Er zijn helaas ook nog steeds CISO’s die nauwelijks uren beschikbaar hebben voor de betreffende taken, of gemeenten die zeer kritisch kijken naar de tijdsinspanning voor een instrument als de Whitelist voor Suwinet. Ook hier geldt dat de kosten voor informatieveiligheid in balans moeten zijn met de risico’s die een gemeente onderkent. Ruimte of regulering Slechts een deel van de maatregelen binnen het project BVGS zijn verplicht. Zo is het nieuwe normenkader Suwinet een verplichting, maar een maatregel als de Whitelist is niet in normenkader of in bijvoorbeeld de regeling Suwi opgenomen. Weliswaar veronderstellen de WBP en de AVG dat organisaties zich richten naar de actuele stand van de techniek en schrijft de AVG privacy by default voor. Deze eisen laten echter meer ruimte dan een directe verplichting. Vergaande regulering beperkt enerzijds de ruimte en doet te weinig een beroep op de eigen verantwoordelijkheid van bestuurders en medewerkers. Anderzijds kan het verplicht stellen van bepaalde maatregelen helpen om sneller capaciteit en middelen vrij te spelen binnen organisaties. Informatieveiligheid is dus Chefsache en vormt integraal onderdeel van de publieke dienstverlening. De implementatie van BVGS, en dat geldt ook voor de BIG (Baseline Informatiebeveiliging Nederlandse Gemeenten) en ENSIA, zijn het komend jaar onderwerpen voor de gehele organisatie, zowel, bestuur, management als uitvoering. Meer aandacht voor informatieveiligheid kan vergroot worden door in te zetten op bewustwording, transparantie en ‘leren’ op alle niveaus van de organisatie. Door informatieveiligheid nadrukkelijk te positioneren als kernwaarde van publieke dienstverlening, neemt de kwaliteit in de uitvoering toe, worden risico’s en incidenten voorkomen, maar kan vooral de burger rekenen op een betrouwbare overheid die zorgvuldig met zijn of haar gegevens omgaat. Meer weten? M&I/Partners is het onafhankelijke adviesbureau voor management en ICT www.mxi.nl
48 Online Touch Home