KPN Consulting: Dataveiligheid gemeenten onder druk

19 februari 2014 Consultancy.nl

Door de drie grote decentralisaties zal de druk op de ICT van gemeenten de komende jaren fors toenemen. Met name op het gebied van informatieveiligheid ligt hier een grote uitdaging, stelt Tom Rensink, adviseur bij KPN Consulting. Naar aanleiding hiervan geeft hij gemeenten 3 tips hoe ze kunnen zorgen voor een veilige informatievoorziening.

Begin 2013 schetste minister Plasterk voor het eerst zijn decentralisatieplannen aan het kabinet. In zijn plannen werd aangekondigd  dat Nederland verandert van een verzorgingsstaat naar een participatie-samenleving. Voor betere en directere sturing hevelt het kabinet Rutte de AWBZ per 2015 over naar de WMO en legt de uitvoering van de participatiewet (WWB, Jeugdzorg, Wajong) bij de gemeenten.

U als gemeente wordt hierdoor niet alleen meer verantwoordelijk voor verschillende beleidsterreinen maar krijgt ook de verantwoordelijkheid voor het beschikbaar en veilig stellen van gevoelige informatie over burgers aan derden. Daar komt nog bij dat alle gemeenten in 2017 volledig digitaal moeten zijn. Gemeenten staan op het gebied van informatieveiligheid dan ook voor grotere uitdagingen dan ooit.

Overheid

Informatieveiligheid

Het is dus ook niet voor niets dat oppositiepartijen zich druk maken over de informatieveiligheid van gemeenten. Recentelijke gebeurtenissen hebben aangetoond dat informatiebeveiliging bij gemeenten nog in de kinderschoenen staat. Maar liefst 4% van alle gemeenten in Nederland hebben voor het opvragen van Suwinet gegevens beveiligingsmaatregelen getroffen en recent is gebleken dat veel gemeenten niet door het  DigiD assessment zijn gekomen. Deze schokkende uitkomsten raken dan ook meteen de legitimatie van het werk van de gemeentelijke bestuurder. Gemeenten functioneren als één groot informatiehuis waarbij het niet juist beveiligen van informatie kan leiden tot grote onrust, met als mogelijk gevolg dat de burger het vertrouwen in de gemeente verliest.

U als gemeente vraagt zich waarschijnlijk af wat voor sancties de overheid hiervoor gaat opleggen. Wordt de DigiD-koppeling afgesloten, wat eigenlijk neerkomt op het sluiten van de gemeente , of worden er financiële consequenties opgelegd?  Wat het gevolg hiervan ook is, als ik u was zou ik hier niet op wachten maar zorgen dat vandaag uw gemeentelijke informatiehuishouding veilig is voor de dag van morgen.

KPN Consulting - Dataveiligheid gemeenten

3 basisstappen voor behalen van een veilige informatievoorziening


Stap 1 Beleid
Informatieveiligheid begint bij een duidelijk beleid en bewustwording van mogelijke risico’s. Daarbij stap ik af van de gemeenten-werkwijzen waarbij informatiebeveiliging wordt gezien als alleen een technische aangelegenheid. Informatiebeveiliging vraagt om visie, focus en draagvlak waardoor het misschien wel meer bestuurlijke dan technische aspecten vertoont. Door het opstellen van een goed informatiebeveiligingsbeleid wordt er een basis gelegd voor het “in control” zijn van IT-beveiliging.

In het beleid worden aspecten zoals eigenaarsstructuren, beheer van bedrijfsmiddelen, fysieke beveiliging, toegangsbeheer, beveiligingsincidenten en bedrijfscontinuïteit beschreven. Door taken en verantwoordelijkheden juist te beleggen, met inachtneming dat belangen worden gescheiden, kunnen risico’s beter geïnitieerd  worden en de aansprakelijkheid en continuïteit van informatieveiligheid worden gewaarborgd. Hierbij moet als uitganspunt de betrouwbaarheid, integriteit en vertrouwelijkheid van informatie altijd centraal staan.

Stap 2 Voer uit wat je bedacht hebt
Na het opstellen van een informatiebeveiligingsbeleid moet er een planning worden gemaakt hoe u het beleid gaat implementeren. U zult zien dat bij de implementatie van het beleid verschillende bestaande processen aangepast moeten worden. Hierbij kan worden gedacht aan incidentmanagement, inkoopmanagement, in- en uit dienst treden van medewerkers, autorisatiemanagement, data classificatie, etc. Door deze processen en eigenaarsstructuren op het beleid af te stemmen wordt de informatieveiligheid minder afhankelijk van ICT.  Dit neemt niet weg dat er een optimale chemie moet worden gecreëerd tussen techniek en overige organisatorische aspecten.

Tom Rensink - KPN Consulting

Stap 3 De mens maakt het verschil
Als laatste is bewustwording bij uw medewerkers essentieel in dit verhaal. Beveiligingsincidenten ontstaan meestal door menselijk handelen. Voor een optimaal informatiebeveiligingsbeleid is het noodzakelijk dat de gehele organisatie erbij betrokken wordt. Dit kan bijvoorbeeld worden gedaan door middel van interactieve games, waarbij deelnemers door middel van een spel direct ervaren wat mogelijke risico’s zijn en tegelijkertijd hierop leren te anticiperen. Uiteindelijk staat of valt informatiebeveiliging bij het bewustzijn en het handelen van de mens.

Kortom, er zijn spannende en risicovolle tijden aangebroken voor uw gemeente met betrekking tot de decentralisatie. De gemeenten gaan namelijk meer gevoelige persoonsgegevens beheren en dat zal in de toekomst alleen maar toenemen. De legitimiteit van de gemeenten staat of valt dan ook bij het veilig aanbieden van hun diensten. De uitdaging hierin ligt in het voldoende waarborgen van de veiligheid van gegevens om zo het vertrouwen van de samenleving in de gemeente niet in gevaar te brengen.  Nederland gaat anders niet van een verzorgingsstaat naar een participatiesamenleving maar van een verzorgingsstaat naar een zorgelijke staat.

Een artikel van Tom Rensink, Business Consultant bij KPN’s adviestak, KPN Consulting.

Nieuws

Meer nieuws over