Interview met Paulien van der Hoeven en Jan Roodnat

Doelmatiger verantwoordingsproces informatieveiligheid

Gemeenten moeten verantwoording afleggen aan de gemeenteraad over de inrichting en werking van de informatieveiligheid. Daarnaast moeten gemeenten zich naar de rijksoverheid verantwoorden over een veelheid aan onderwerpen die met informatieveiligheid verband houden, zoals DigiD, basisregistraties personen, gebouwen en adressen, paspoortuitgifte, SUWINET, et cetera. Dat kan efficiënter en effectiever dan nu gebeurt. We spreken met Paulien van der Hoeven en Jan Roodnat, twee personen die betrokken zijn bij het verbeteringstraject op dit terrein.

In November 2013 heeft de Vereniging van Nederlandse Gemeenten (VNG) een resolutie aangenomen waarin ten eerste het belang van informatieveiligheid wordt onderstreept door middel van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en ten tweede de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) wordt opgeroepen om de audit- en verantwoordingsinspanning bij de gemeenten drastisch in te perken. Hier is het project ENSIA (‘Eenduidige Normatiek Single Information Audit’) uit voortgekomen. Deze zomer zijn de eerste pilots van het ENSIA-project bij enkele gemeenten gestart. We spreken over het project met projectleider Paulien van der Hoeven en Jan Roodnat, die namens de Auditdienst Rijk het ministerie van BZK adviseert en in die hoedanigheid is opgenomen in de ENSIA-Stuurgroep.

Verantwoordingsproces over informatieveiligheid verder professionaliseren

In 2013 heeft het ministerie van BZK de Informatiebeveiligingsdienst (IBD) opgezet. Dat leidde tot de publicatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten. Projectleider Paulien van der Hoeven: ‘Veel gemeenten maken in de praktijk werk van de implementatie van de BIG, maar worstelen met de grote verantwoordingsinspanning die moet worden geleverd voor diverse projecten en verschillende departementen. Dat kost erg veel capaciteit en daardoor wordt de aandacht te veel versnipperd. Het project ENSIA is een gezamenlijk project van het ministerie van Binnenlandse Zaken, het ministerie van SZW, het ministerie van I&M, de VNG, Kwaliteitsinstituut Nederlandse Gemeenten (KING), de IBD en diverse gemeenten. Het project heeft tot doel de gemeenten te helpen het verantwoordingsproces over informatieveiligheid verder te professionaliseren. Dit gebeurt door het verdeelde toezicht te bundelen en te laten aansluiten op de gemeentelijke planning en control-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken met betrekking tot informatieveiligheid en kan het hier ook beter op sturen.’

Audit- en verantwoordingsinspanning drastisch inperken

Paulien geeft een nadere toelichting op het verantwoordingsstelsel van ENSIA, zoals dat ter besluitvorming aan de Stuurgroep is voorgelegd. ‘De basis is de “horizontale verantwoording” richting gemeenteraad. Die moet zo worden ingericht dat deze informatie tevens bruikbaar is voor de “verticale verantwoording” richting departementen en toezichthouders. We zijn in overleg gegaan met enkele auditors als Bas de Wit (Gemeente Rotterdam), Robert Flinterman (Gemeente Den Haag), Anton Slijkhuis (ministerie SZW/SUWI) en Jan Roodnat (Auditdienst Rijk) die op basis van hun praktijkervaring met ons meedenken over de effectieve en doelmatige inrichting van het verantwoordingsstelsel. Het betrekken van de audit community is een belangrijke stap in het project, omdat zowel de toezichthouders als de gemeenten zich realiseren dat vreemde ogen dwingen. We organiseren pilots in Arnhem, Edam-Volendam, ’s-Hertogenbosch, Tiel, Zaanstad, Zeewolde en de Regio Leeuwarden. Deze pilots kunnen aanleiding geven tot aanpassingen in het verantwoordingsstelsel.’

schermafbeelding-2016-09-20-om-15-19-45

ENSIA-verantwoording informatiebeveiliging

Het jaarlijkse ENSIA-verantwoordingsproces is weergegeven in figuur 1. De ENSIA-verantwoording gaat uit van het principe van Single Information, Single Audit (SISA). Het College van B&W legt in het jaarverslag verantwoording af over de informatiebeveiliging. Deze verantwoording komt in het jaarverslag tot uitdrukking in de Collegeverklaring Informatiebeveiliging, waarover een attest/-assurancerapport wordt uitgebracht door een RE. Met deze verklaring geeft het College van B&W aan in hoeverre de gemeente voldoet aan de afspraken die gemaakt zijn voor de ENSIA-verantwoording Informatiebeveiliging, de normen van de BIG en de normen van BRP, PUN, DigiD, SuwiNet, BAG en BGT. Ook worden de eventuele verbetermaatregelen vermeld die de gemeente gaat treffen. Deze Collegeverklaring wordt integraal opgenomen in het jaarverslag. De gemeenteraad stelt de jaarstukken vast, waaronder het jaarverslag. De ingevulde zelfevaluatievragenlijst vormt de basis voor het opstellen van de Collegeverklaring. Het assurancerapport geeft aanvullende zekerheid over de Collegeverklaring en de ingevulde zelfevaluatievragenlijst voor afgesproken aandachtsgebieden van de IT-audit.

Het SISA-principe wordt verder ingevuld door vanuit een centraal punt alle rapportages over de zelfevaluatie digitaal ter beschikking te stellen. Dit betreft de Collegeverklaring en het assurancerapport aan de minister van BZK en de minister van I&M ten behoeve van het toezicht op de BRP, de PUN en DigiD, respectievelijk het toezicht op de BAG en de BGT. Verder bieden gemeenten transparantie aan de beheerder van het SUWInet (BKWI), zodat deze een totaaloverzicht van de beveiliging van het SUWInet kan opstellen. De Inspectie SZW houdt onafhankelijk signalerend toezicht op het functioneren van het stelsel van werk en inkomen. Als de Inspectie daartoe aanleiding ziet, kan zij onderzoek doen naar de beveiliging van SUWInet bij gemeenten en daarbij gebruikmaken van de ENSIA-verantwoording.

Verdeeld toezicht bundelen en laten aansluiten op P&C-cyclus

Met de zelfevaluatie stelt het College van B&W vast of de informatiebeveiliging aan de normen voldoet. Bij het opstellen van de vragenlijst voor de zelfevaluatie is vastgesteld waar de normen van BRP, PUN, DigiD, SUWInet, BAG en BGT aansluiten op de BIG-normen en of er dus volstaan kan worden met vragen die gebaseerd zijn op de BIG-normen. Voor specifieke normen van BRP, PUN, DigiD, SUWInet, BAG en BGT zijn aanvullende vragen geformuleerd. Per saldo is het aantal te beantwoorden vragen flink gereduceerd.

IT-audit en assurancerapport

Een RE controleert de zelfevaluatie en de collegeverklaring op een aantal in het strategisch gremium ENSIA afgesproken aandachtsgebieden. Op basis van een nader te bepalen normenstelsel wordt over de zelfevaluatie en de daarop gebaseerde collegeverklaring een assurancerapport uitgebracht aan de hand van  Richtlijn ISAE-3000, hierdoor ontstaat een redelijke mate van zekerheid voor de gebruikers van deze verklaring.

Jan Roodnat: ‘Het is van groot belang dat de voor de IT-audit benodigde financiële middelen zo gericht mogelijk op de hoogste risico’s worden ingezet. Jaarlijks maken vertegenwoordigers van gemeenten en betrokken departementen in het strategisch gremium ENSIA afspraken over de reikwijdte van de IT-audit en het normenkader dat daarvoor zal worden gebruikt. Dit noemen we de aandachtsgebieden van de IT-audit. Dit zijn de systemen en applicaties die de objecten van onderzoek vormen. De scope wordt verder bepaald door de thema’s en kwaliteitsaspecten uit de BIG. De laatste variabele is de diepgang van het onderzoek. We beginnen met de beoordeling van opzet en bestaan maar uiteindelijk moet ook de werking van het stelsel worden beoordeeld. Het voorstel is om voor de pilots en het eerste jaar de zogenoemde key controls van de ISO-standaard 27002 plus aanvullende aspecten die voor DigiD van belang zijn als uitgangspunt voor de aandachtsgebieden van de IT-audit te nemen. Daarbij gebruiken we natuurlijk ook de ervaringen en inzichten die de afgelopen jaren zijn opgedaan met de uitvoering van de DigiD-assessments. Met de NOREA-DigiD Werkgroep heeft daarover ook al overleg plaatsgevonden.’

Groeipad naar informatieveiligheid

‘Voor 2018 zal het strategisch gremium de aandachtsgebieden herijken. De Collegeverklaring biedt in combinatie met het assurancerapport volgens Richtlijn ISAE-3000 de mogelijkheid om op een positief-kritische wijze gezamenlijk te werken aan een nog betere informatiebeveiliging bij gemeenten. De aandachtsgebieden moeten inspelen op actuele risico’s, leiden tot een “rationele opdracht” voor de IT-auditor, behapbaar zijn voor zowel grote als kleine gemeenten en passen in het streven om de informatiebeveiliging bij de gemeenten te optimaliseren via dit groeipad naar informatieveiligheid, aldus Jan Roodnat.

 

Gebruikte afkortingen

  • BAG: Basisregistraties Adressen en Gebouwen
  • BIG: Baseline Informatiebeveiliging Nederlandse Gemeenten
  • BGP: Bruto Gemeentelijk Product = rekenfactor gebaseerd op Verklaringsmodel Lokale Economie
  • BGT: Basisregistratie Grootschalige Topografie, digitale kaart waarop gemeenten infrastructuur op éénduidige wijze moeten vastleggen
  • BRP: Basisregistratie Personen
  • BZK, (ministerie van) Binnenlandse Zaken en Koninkrijksrelaties
  • DigiD: Digitale Identiteit (voor overheidsdiensten en zorgverleners)
  • ENSIA: Eenduidige Normatiek Single Information Audit
  • ISAE-3000: International Standard on Audit Engagements 3000 (ook wel COS/Richtlijn 3000)
  • PUN: Paspoort Uitvoeringsregeling Nederland
  • SUWI(net): Netwerk voor gegevensuitwisseling tussen overheidsorganisaties op basis van de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen
  • SZW: (ministerie van) Sociale Zaken en Werkgelegenheid
  • VNG: Vereniging van Nederlandse Gemeenten

Geef een reactie