Vele gemeenten zijn afgelopen weken weer druk geweest met het doorlopen van de DigiD-audit. Voor sommige gemeenten is het nog even haastwerk. Gemeenten hebben nog tot 1 mei a.s. om de documentatie aan Logius door te geven.
Velen hebben reeds de goedkeuring van de auditor ontvangen voor de openstaande punten van de DigiD-audit. Samen met de aanvullende informatie, zoals TPM’s en SLA’s, is het wachten op het oordeel van Logius of men weer geslaagd is voor de DigiD-audit. Ik ben als adviseur direct betrokken bij een groot aantal gemeenten met de begeleiding van dit soort audittrajecten. Tot grote vreugde van de gemeente zelf overigens, die deze vorm van ontzorging erg kan waarderen. Vaak ontstaat er in de informele sfeer een “informatiebeveiligingspraatje”, met vragen als: “Hoe moeten we die informatiebeveiliging nu aanpakken?”, of: “Heb je die BIG gezien, het is wel veel hè?”
Ja, het is veel
Vergeet niet dat we met de e-overheid al 15 jaar actief bezig zijn met het digitaliseren van de lokale overheid. Met alle veranderingen die gemeenten hebben ondergaan, waren de I&A-functionarissen allang blij als de basisfunctionaliteiten goed werkten. Zaken als informatiebeveiliging bleven hierdoor jarenlang onderbelicht. Op het gebied van informatiebeveiliging moet een inhaalslag van minimaal 15 jaar gemaakt worden. Gelukkig begint dit besef ook te komen bij onze gemeentebesturen en MT’s. Informatiebeveiliging en privacy krijgen een steeds voornamere functie binnen de lokale overheid. In alle eerlijkheid: dit wordt ook voor een deel gestuwd door de media en de nieuwe ontwikkelingen binnen het sociaal domein, waarbij steeds meer taken bij de lokale overheid komen te liggen.
Waar beginnen we?
Begin met oriënteren, kijk bij je buurgemeente, vraag om hulp, maar dit is natuurlijk allang gedaan! Misschien wel de gemakkelijkste: kijk op sites zoals IBDgemeenten.nl en sluit je aan bij de IBD. Met 4 stappen ben je volledig aangesloten, wordt je geholpen door de IBD en vind je allerlei waardevolle informatie. Toch blijft het veel werk.
Heb je wel eens naar de GAP-analyse gekeken? De eerste keer klikte ik hem open en gelijk weer dicht. Maar liefst 302 vragen, waar ik bij de beantwoording ook hulp van anderen nodig heb. Ik bracht de GAP-analyse dan ook eigenhandig terug naar 56 punten, zonder verlies van informatie van de originele GAP-analyse van de IBD. Meer behapbaar en samen met de juiste groep mensen in 2 uur door te nemen! Binnen 3 maanden het operationele deel van de BIG implementeren, dat is stappen maken. Deze aanpak heeft zich al meerdere malen bewezen in diverse gemeenten.
Invoeren van een BIG (Baseline Informatiebeveiliging voor Nederlandse Gemeenten) is en blijft een lang traject, houdt hierbij rekening met ongeveer twee jaar. Dit is nodig om een selecte groep gemeenteambtenaren (nog niet eens alle ambtenaren) mee te nemen in de ‘wondere wereld’ van informatiebeveiliging en de operationele zaken en verbeteringen aan te brengen in de gemeentelijke organisatie. Trap dus niet in de valkuil dat het vooral ICT-systemen zijn en dus een I&A-feestje. Laat ik een publiek geheim verklappen: ICT-systemen en aanpassingen daarop zijn het simpelst, het moeilijkste is de gedragsverandering en bewustwording van de medewerkers. Hulp vragen, in welke vorm dan ook, kan zeker geen kwaad!
Meer weten?
John Vloemans, adviseur bij Telengy, is gespecialiseerd in informatiebeveiliging en privacyrichtlijnen voor lokale overheden. U kunt hem bereiken via tel. nr. 06 54 34 50 89 of via e-mail: j.vloemans@telengy.nl.