Informatieveiligheid voor Raadsleden

Incidenten rond informatieveiligheid kunnen grote gevolgen hebben. Of dit nu komt door onzorgvuldige medewerkers of hackers met kwade bedoelingen. Wat gebeurt er bijvoorbeeld als gevoelige informatie van de gemeente op straat komt te liggen. Of de digitale dienstverlening aan bewoners niet meer mogelijk is? Naast financiële en technische gevolgen kunnen deze gebeurtenissen ook het imago van de gemeente beïnvloeden.

Zo komt er als gevolg van de decentralisaties een groeiende hoeveelheid privacygevoelige informatie bij gemeenten. Als deze gegevens onbedoeld op straat komen te liggen, dan kan dit ook het imago van de gemeente en van de bestuurlijk verantwoordelijken uiteraard beïnvloeden. Het kan zelfs leiden tot een verlies aan vertrouwen bij burgers. Burgers mogen immers van hun gemeente verwachten dat zij de zaken op orde heeft. Kortom, de continuïteit van de dienstverlening en het vertrouwen van burgers moeten centraal staan als het om informatieveiligheid gaat. Zeker nu de landelijke politiek digitale overheidsdienstverlening als speerpunt heeft gekozen.

Om aandacht te vragen voor informatieveiligheid heeft minister Plasterk in februari 2013 de Taskforce Bestuur en Informatieveiligheid Dienstverlening voor een periode van twee jaar in het leven geroepen. Het doel van de Taskforce BID is om het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders en topmanagement van alle overheidslagen. Zowel qua bewustwording als sturing. Dit vanuit het perspectief van Verplichtende Zelfregulering per overheidslaag.  Eind vorig jaar hebben gemeenten hiertoe al een belangrijke stap gezet. Zo is tijdens de Buitengewone Algemene Leden Vergadering (BALV) van de Vereniging van Nederlandse Gemeenten (VNG) de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeenten’ met een grote meerderheid van stemmen aangenomen. De Resolutie houdt onder meer in dat iedere gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), die is opgesteld door de Informatiebeveiligingsdienst voor gemeenten (IBD).

Toezicht op informatieveiligheid

Voor u als raadslid is het belangrijk zicht te hebben op hoe uw gemeente omgaat met informatieveiligheid en met de risico’s die zij loopt, zowel technisch als bestuurlijk. Is uw gemeente in control als het om informatieveiligheid gaat?

U hoeft zeker geen informatieveiligheidsspecialist te zijn om deze verantwoordelijkheid goed uit te kunnen voeren. Het gaat er immers niet om dat u als raadslid weet hoe de gemeentelijke organisatie informatieveiligheid tot in de details borgt, het gaat er vooral om dat u weet dat het wordt geborgd en dat de gemeente stuur zet op het onderwerp. Om u hierbij te helpen heeft de Taskforce BID een aantal vragen voor u samengesteld, waarmee u kunt controleren of uw gemeente stuur zet op informatieveiligheid.

Welke set van vragen kunt u aan uw college stellen?

1.     Hoe heeft het college de punten van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ opgepakt? Geldt de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als norm voor het basis beveiligingsniveau van onze gemeente?

In de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ is vastgelegd dat iedere gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de BIG. Deze norm helpt gemeenten om het informatiebeveiligingsbeleid te implementeren.  Als raadslid kunt u vragen of de gemeente een start heeft gemaakt met de punten van de resolutie, zoals de implementatie van de BIG en of de gemeente is aangesloten bij de Informatiebeveiligingsdienst voor gemeenten (IBD), een initiatief van de Vereniging van Nederlandse Gemeenten (VNG) en het Kwaliteitsinstituut Nederlandse Gemeenten (KING).

Met een GAP-analyse kunnen gemeenten controleren of en in welke mate de maatregelen uit de tactische variant van de BIG zijn geïmplementeerd. Het resultaat van deze analyse geeft het verschil weer tussen het bestaande en het gewenste niveau. Dit is de input voor de vervolgstap; het maken van een realistische planning op basis van de algemene financiële uitgangspunten. Afhankelijk van de specifieke situatie, dient een evenwichtige afweging te worden gemaakt tussen de risico’s, de te nemen maatregelen en de daarvoor benodigde middelen. Raad en College geven richting door te kiezen voor een top-X van maatregelen. In het daaruit volgende informatiebeveiligingsplan voor gemeenten wordt dit allemaal vastgelegd.

2.     Hoe is het informatiebeveiligingsbeleid vormgegeven binnen uw gemeente? Wie zijn er als verantwoordelijken aangesteld en is er aandacht voor bewustwording?

Het college van Burgemeester en Wethouders (B&W) is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente en stelt het informatiebeleid vast. Als Raadslid wilt u in ieder geval weten  op welk managementniveau informatieveiligheid is belegd. Is er bijvoorbeeld een Chief Information Security Officer (CISO) in uw gemeente aangesteld? Daarnaast is het van belang dat iedereen in de organisatie het informatieveiligheid kent en zich bewust is van de risico’s in relatie tot informatieveiligheid.

3.      Welke risico’s accepteert het college voor de eigen gemeente en welke niet? Welke politiek-bestuurlijke en maatschappelijke gevolgen kan dit hebben in geval van een incident? Is de privacy van onze burgers gegarandeerd?

100% Veiligheid bestaat niet. Doel is dat iedereen in de organisatie het voor hen relevante beleid op gebied van informatieveiligheid kent en zich bewust is waar hij of zij een rol kan spelen bij het verkleinen van de risico’s in relatie tot informatieveiligheid. Desalniettemin blijft een aantal risico’s over, daar heeft de gemeente bewust voor gekozen. U wilt als raadslid echter wel zeker weten dat eventuele financiële en technische schade van deze risico’s bij een incident beperkt blijft en dat de privacy van burgers of de intregriteit van de gemeente nooit in het geding zijn.

4.     Functioneert de cyclus van informatieveiligheid binnen onze gemeente? Vindt er een jaarlijkse toetsing plaats om na te gaan of uw gemeente in control is op het gebied van informatieveiligheid via peer reviews, audits of self-assessment? Wat zijn de resultaten van deze toetsing? Wordt de cyclus jaarlijks bijgesteld  op basis van lessons learned?

Gemeenten hebben in de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ vastgelegd dat gemeenten zich moeten verantwoorden over de informatieveiligheidscyclus binnen de organisatie en daarbuiten. Dit houdt in dat informatieveiligheid bestuurlijk en organisatorisch geborgd is in de bestaande planning- en controlcyclus. Toetsing vindt jaarlijks plaats via self-assessments, peerreviews of audits. In de Resolutie is afgesproken dat gemeenten zich in het jaarverslag verantwoorden over het te voeren informatieveiligheidsbeleid. Als raadslid kunt u vragen of deze toetsing plaatsvindt, wat de resultaten zijn en wat de gemeente met deze resultaten doet.

5.     Hebben we binnen onze gemeente procedures opgesteld voor incidenten? Welke risico’s loopt de gemeente in geval van verstoring of cyberaanval, ook wanneer deze verstoring elders in de keten plaatsvindt? Hoeveel incidenten zijn er in de afgelopen periode (maand/half jaar) geweest? Melden wij die incidenten bij de IBD?

Het is van groot belang dat uw gemeente noodscenario’s opstelt voor incidenten met hoge impact. Dergelijk incidenten kunnen de dienstverlening in ernstige mate verstoren. Het is belangrijk deze risico’s inzichtelijk te maken even als de maatregelen die de gemeente treft om zich hiertegen te wapenen. Als Raadslid kunt u bijvoorbeeld vragen of uw gemeente de (informatie)beveiliging regelmatig toetst en de incidentprocedures periodiek oefent. Hier horen ook vragen bij als: Wanneer stelt het college van B&W de gemeenteraad op de hoogte? Hoe is de verantwoording aan de gemeenteraad over beheersing van een incident of crisis geregeld?