10 bestuurlijke principes voor informatiebeveiliging bij gemeenten
Met de intrede van de Baseline Informatiebeveiliging Overheid (BIO), die vanaf 2020 van kracht is, krijgen gemeenten een krachtig hulpmiddel om hun informatiebeveiliging en risicomanagement te versterken. In tegenstelling tot de BIG (Baseline Informatiebeveiliging Gemeenten), biedt de BIO meer ondersteuning voor lijnmanagement bij hun verantwoordelijkheid voor informatiebeveiliging. Daarnaast zijn er door de Vereniging van Nederlandse Gemeenten (VNG) ‘10 bestuurlijke principes voor informatiebeveiliging’ ontwikkeld om bestuurders te ondersteunen bij de implementatie van de BIO.
De tien bestuurlijke principes
De 10 bestuurlijke principes helpen bestuurders bij hun rol in het waarborgen van een veilig informatiebeheer. Deze principes sluiten aan op de BIO en bieden waarden die essentieel zijn voor een goede borging van informatiebeveiliging binnen de gemeente. Het is belangrijk dat deze waarden aansluiten op de kernwaarden van de organisatie. Renco Schoenaker van IB&P zet deze principes graag om in concrete handvatten, zodat ze tastbaar en toepasbaar zijn binnen jouw gemeente.
Bestuurders bevorderen een (informatie)veilige cultuur
Een informatieveilige gemeente begint met een veilige meldcultuur. Medewerkers moeten zich comfortabel voelen om incidenten of risico’s te melden zonder angst voor negatieve gevolgen. Stimuleer collega’s om risico’s te signaleren en elkaar aan te spreken op onveilig gedrag. Voor bestuurders is het belangrijk om een voorbeeldrol te vervullen. Wees zichtbaar en spoor lijnmanagement aan om hun verantwoordelijkheid te nemen in risicomanagement. Incidenten bieden niet alleen uitdagingen, maar ook leermomenten waarmee processen kunnen worden verbeterd en schade kan worden beperkt.
Informatiebeveiliging is van iedereen
Een veilige organisatie vraagt niet alleen om technische maatregelen, maar vooral om bewust en veilig gedrag van medewerkers. Werkgevers hebben de taak om dit te stimuleren, bijvoorbeeld door bewustwordingscampagnes die herkenbaar en relevant zijn. Campagnes moeten aansluiten op de dagelijkse praktijk van medewerkers en specifieke risico’s binnen teams of afdelingen. Maar bewustwording alleen is niet genoeg. Zorg voor meetbare gedragsveranderingen en betrek alle betrokken functionarissen om gezamenlijk een informatieveilige cultuur te creëren.
Informatiebeveiliging is risicomanagement
Informatiebeveiliging is risicomanagement. Gemeenten zijn afhankelijk van betrouwbare informatievoorziening voor hun dienstverlening. Maak lijnmanagers verantwoordelijk voor risico-identificatie en zorg dat risico’s standaard worden geagendeerd in bestuurlijke documenten. Risicomanagement hoort thuis in besluitvorming, zodat maatregelen tijdig kunnen worden genomen of risico’s bewust kunnen worden geaccepteerd. Gebruik de handreiking ‘Risicomanagement door lijnmanagers’ van de IBD voor praktische ondersteuning.
Risicomanagement is onderdeel van de besluitvorming
Het is uiteraard belangrijk om risico’s en maatregelen te monitoren en te toetsen, zodat de maatregelen, indien gewenst per afdeling, verantwoordelijkheidsgebied of onderwerp, hierop kunnen worden bijgesteld. Maak risicomanagement daarom onderdeel van besluitvorming en laat lijnmanagement hierover rapporteren. Zorg daarnaast voor agendering op de bestuurlijke agenda. Op die manier kunnen de juiste vragen gesteld worden en kan er bijgestuurd worden (al dan niet op een passend (hoger) abstractieniveau). Bestuurders zijn verantwoordelijk voor kaderstelling (vaststellen). Tevens kan besluitvorming ook inhouden dat risico’s toch bewust, al dan niet tijdelijk, gelopen worden. Ook dan ben je ‘in control’. Zo is het bijvoorbeeld minder schadelijk als het stadsarchief tijdelijk niet beschikbaar is dan wanneer het GBA eruit ligt.
Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking
Gemeenten werken met veel (keten)partners samen, waarbij geldt: ‘de ketting is zo sterk als de zwakste schakel’. Elke organisatie krijgt te maken met digitale dreigingen, waardoor het belangrijk is risico’s van zowel je eigen organisatie als die van ketenpartners in kaart te brengen. Dit geldt ook voor uitbestede diensten. Zorg dat risico’s die de informatievoorziening van de gemeente of de ketensamenwerking bedreigen, duidelijk zijn. Ken verantwoordelijkheden toe en neem passende maatregelen. Dit geldt ook voor bestuurlijke samenwerkingen, waar gezamenlijke maatregelen vaak nodig zijn. De handreiking ‘Start een Ketensamenwerking’ van het NCSC biedt praktische richtlijnen om dit succesvol aan te pakken.
Informatiebeveiliging is een proces
Informatiebeveiliging is geen eenmalige checklist, maar een continu proces dat blijvende aandacht vraagt. Nieuwe uitdagingen en projecten maken structurele borging essentieel. Integreer informatiebeveiliging in bestaande processen met behulp van een gedocumenteerd Information Security Management System (ISMS), gebaseerd op de PDCA-cyclus (Plan-Do-Check-Act). Dit interactieve proces zorgt voor monitoring en het aantoonbaar op orde hebben van informatiebeveiliging, bijvoorbeeld via ENSIA. Houd rekening met een veranderende omgeving en zorg dat risicomanagement structureel op de bestuurlijke agenda staat. Zo kun je tijdig inspelen op veranderingen en risico’s effectief beheersen.
Informatiebeveiliging kost geld
Risicomanagement vereist constante aandacht en voldoende middelen. Gemeenten hebben de morele plicht om zorgvuldig en veilig met gegevens om te gaan. Incidenten, zoals datalekken, kunnen grote materiële en immateriële schade veroorzaken, inclusief reputatieschade en politieke druk. Stel daarom voldoende middelen beschikbaar om risico’s die de continuïteit van de bedrijfsvoering bedreigen, aan te pakken. Het voorkomen en beheersen van incidenten is essentieel, ook al brengt informatiebeveiliging kosten met zich mee.
Onzekerheid dient te worden ingecalculeerd
De input voor risicomanagement is gebaseerd op wat er in het verleden is gebeurd (ervaringen) en op actuele informatie. Daarnaast dien je rekening te houden met wat je in de toekomst kunt verwachten. Dit is uiteraard lastiger in te schatten, houdt daarom rekening met eventuele beperkingen en onzekerheden die nu nog niet met zekerheid zijn vast te stellen en afhankelijk zijn van toekomstige ontwikkelingen. Op het moment dat er besluiten genomen moeten worden, dient er rekening gehouden te worden met deze risico’s. Dit vergt goede en actuele informatie over de risico’s die de gemeente loopt. Zorg dat er voldoende tijd, geld, uren en mensen ter beschikking zijn, die bijdragen aan het gestalte (kunnen) geven van risicomanagement.
Verbetering komt voort uit leren en ervaring
Incidenten zijn onvermijdelijk, hoe goed je informatiebeveiliging ook is. Het is daarom belangrijker om te bepalen hoe je hiermee omgaat en wat je ervan kunt leren. Zorg dat je als organisatie veerkrachtig bent en rekening houdt met kansen en risico’s van nieuwe ontwikkelingen. Transparantie over incidenten helpt om ervan te leren en te accepteren dat risico’s nooit volledig uit te sluiten zijn. Betrek medewerkers bij het delen van ervaringen over risico’s in processen. Dit versterkt de leerprocessen binnen de gemeente en helpt bij het nemen van betere besluiten in de toekomst.
Het bestuur controleert en evalueert
Het is belangrijk om de status van het informatiebeveiligingsbeleid en de implementatie van risicomanagement te controleren. Lijnmanagement kan hierover rapporteren, zodat bestuurders inzicht krijgen in verbeterpunten. Laat de gemeente toetsen op effectiviteit en efficiëntie, bijvoorbeeld door een externe auditor, om te zien of het beleid in de praktijk werkt en of je op schema ligt. Dit kan ook trends, zoals een toename van datalekken, aan het licht brengen. Laat je goed informeren over risico’s en neem verantwoordelijkheid bij besluiten en maatregelen. Een goed voorbeeld is de gemeente Beemster, die in hun informatiebeveiligingsbeleid actief verwijzen naar de 10 bestuurlijke principes voor informatiebeveiliging.
Meer weten?
Wil je meer weten over de implementatie van de 10 bestuurlijke principes of hoe Key2Control jouw gemeente kan ondersteunen bij bijvoorbeeld risicomanagement of informatiebeveiliging? Neem contact met ons op! We gaan graag met je in gesprek.