Problemen bij project voor verbeteren informatieveiligheid
ENSIA is een gezamenlijk project van de VNG, gemeenten en verschillende ministeries. Het project streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid.
ENSIA wordt sinds 1 juli 2017 door verschillende Nederlands gemeenten (WAAR/DOOR WIE) gebruikt om efficiënter te werken. Zes bestaande verantwoordingsprocedures – voor DigiD, de Basisregistratie Personen, de PUN, de BAG, de BGT en Suwinet – werden gebundeld. Gemeenten vullen jaarlijks een zelfevaluatielijst in om zo in één keer verantwoording af te leggen over het gebruik van zes systemen.
Accountantsbureau BDO, dat bij meerdere gemeenten actief is, schreef een rapport naar aanleiding van de recente ervaringen. Hieruit blijkt dat het bewustzijn van én de organisatie rondom informatieveiligheid bij gemeenten fors is toegenomen. Maar dat de verwachte efficiëntieverbetering nog niet is gehaald.
Dit komt doordat het belang van informatieveiligheid nog moet doordringen tot alle werknemers. Medewerkers mijden vaak nog de eigen verantwoordelijkheid. Zoals een medewerker die even wegloopt van zijn pc zonder deze te vergrendelen. Een cultuuromslag is dus nodig om de meerwaarde van ENSIA in te zien.
Daarnaast zijn procedures binnen gemeenten vaak nog versnipperd, waardoor het verzamelen van bewijsstukken voor een audit veel werk en tijd kost.
Volgens BDO zijn het geen onoverkomelijke problemen. In het rapport staan enkele suggesties om problemen te verhelpen:
- draag het thema breder uit in de organisatie, zodat iedereen zich met het verbeteren van informatieveiligheid bezighoudt;
- zorg voor eenduidig beleid en eenduidige procedures; en gebruik ENSIA niet alleen om aan verplichtingen te voldoen, maar zie het als een instrument tot verbetering.