07/01/20
Voor het uitvoeren van diensten vragen gemeenten inwoners om persoonlijke informatie. Maar is die informatie bij gemeenten wel in goede handen? De op 1 januari 2020 ingevoerde Baseline Informatiebeveiliging Overheid (BIO) moet daaraan bijdragen. PwC’er Martine Koedijk legt uit waarom de BIO belangrijk is en wat gemeenten kunnen doen om de veiligheid van informatie te verbeteren.
Gemeenten slaan steeds meer gegevens digitaal op. Het gaat dan om de basisadministratie met burgerservicenummers en persoonsgegevens van inwoners, maar ook om de uitkeringenadministratie, eventuele schuldsanering, parkeergegevens of vergunningen. ‘Gemeenten hebben de plicht te zorgen dat deze vertrouwelijke informatie veilig is. Ze moeten laten zien dat ze het vertrouwen van burgers waard zijn’, zegt Koedijk. ‘De beveiliging van gegevens loopt vaak achter bij het proces van digitalisering dat bij gemeenten aan de gang is.’
Koedijk knikt instemmend. ‘De informatieveiligheid is bij gemeenten nog onvoldoende op orde. Stel dat er een incident is met de persoonlijke gegevens van inwoners en de Autoriteit Persoonsgegevens vindt het verwijtbaar wat er is gebeurd, dan kan een gemeente op grond van de Algemene verordening gegevensbescherming (AVG) een forse boete opgelegd krijgen. Daarnaast is er de aanzienlijke schade aan het imago en het vertrouwen, die is eigenlijk nog ernstiger. Kijk bijvoorbeeld naar de ransomware-aanval vlak voor kerst bij de universiteit van Maastricht. Die werd meerdere dagen breed uitgemeten in de landelijke media.’
Koedijk: ‘De recente rapporten van de rekenkamercommissies hebben het bewustzijn op dit punt ongetwijfeld vergroot. Die onderzoeken laten zien dat gemeenten de afgelopen jaren te weinig aandacht hadden voor informatieveiligheid. De digitalisering is doorgegaan, maar de beveiliging is achtergebleven. De Vereniging van Nederlandse Gemeenten (VNG) helpt haar leden ook om hun informatiebeveiliging te verbeteren. De VNG heeft recent het GGI-Veiligraamcontract afgesloten met specialisten die gemeenten kunnen ondersteunen op het gebied van informatiebeveiliging. PwC is een van de partijen waaraan dat contract is gegund.’
Koedijk: ‘De BIO is een normenkader voor de beveiliging van informatie dat vanaf nu door alle lagen van de overheid gebruikt moet worden. De BIO komt in de plaats van deels verouderde standaarden voor informatiebeveiliging, zoals de BIWA, BIG, BIR en IBI en sluit aan bij de actuele ISO-standaarden 27001 en 27002. Met de BIO hebben alle overheidslagen nu dezelfde normen voor het beveiligen van informatie.’
‘Een normenkader is een set doelstellingen die je als overheid wilt bereiken’, legt Koedijk uit. ‘Elke overheidsorganisatie en elke gemeente kan zich op basis van de BIO afvragen: wat betekent dit voor ons? Gemeenten moeten zelf onderzoeken en bepalen wat ze, afhankelijk van het eigen risicoprofiel, moeten doen om zich beter te beschermen tegen risico’s.’
Koedijk: ‘De wethouder bedrijfsvoering of ICT is eindverantwoordelijk op dit terrein en de gemeentesecretaris of de directeur bedrijfsvoering moet dit met hulp van de chief information security officer (CISO) goed regelen. De raad heeft een toezichthoudende rol. Als er iets misgaat, wordt de wethouder daarop aangekeken en de raad zal hem of haar daarover dan vragen stellen. Nog beter is het als de raad een actieve onderzoekende houding aanneemt en de wethouder sowieso op dit thema bevraagt ter voorkoming van incidenten.’
Koedijk: ‘De meesten vinden het een ingewikkeld onderwerp. B en W vertrouwt op de ambtelijke organisatie. Het is echter heel moeilijk om goede mensen aan te trekken op dit gebied. Gemeenten nemen wel allerlei initiatieven, maar meestal ontbreekt de samenhang en is er geen integraal “plan-do-check-act-proces” waarop een organisatie kan bijsturen.’
Koedijk: ‘Vanuit de top van gemeentelijke organisaties moet er aandacht komen voor dit onderwerp. Er moet een integrale risicoanalyse worden gemaakt en op basis daarvan moet er een plan komen en dat moet met voorrang worden uitgevoerd, gemonitord en aangepast waar nodig. De verantwoordelijkheden moeten duidelijk zijn. Er moeten mensen komen die het kunnen doen. Maar helaas is het vinden van mensen met de juiste kennis een groeiend probleem. Soms moet het met inhuur worden opgelost en het is dan best lastig om die kennis goed in de organisatie te verankeren.’
Koedijk: ‘Het begint met een goede analyse, waarbij gemeenten kijken welke gegevens er zijn en hoe kwetsbaar die zijn. Wat is belangrijk en wat is minder belangrijk? Wat zijn de gevolgen als een specifieke groep gegevens op straat komt te liggen? Is er dan imagoschade of financiële schade? Kunnen processen en de dienstverlening stil komen te liggen?’
‘Vervolgens stellen gemeenten vast welke gegevens met prioriteit beveiligd moeten worden’, legt Koedijk uit. ‘Ook wordt een technische analyse uitgevoerd om te bepalen welke beveiligingsmaatregelen er al getroffen zijn voor die belangrijke gegevens en hoe effectief die zijn. Als daaruit tekortkomingen blijken, kun je gericht verbeterplannen maken en die uitvoeren. Als de cruciale gegevens veilig zijn, kun je daarna een meeromvattend plan maken voor de hele organisatie.’
Koedijk: ‘Tenslotte is het belangrijk om voorbereid te zijn. Onderdeel van de verbetering van de veiligheid is het creëren van bewustzijn bij medewerkers over onveilig gedrag. Veel incidenten vinden hun oorsprong bij de eigen mensen. Daarnaast is het invoeren van een protocol belangrijk. Daarin staat beschreven hoe er moet worden gereageerd als zich een incident voordoet. Wat doe je dan om het incident het hoofd te bieden? Hoe voorkom je dat een virus zich verder verspreidt? Zijn er back-upsystemen? Is er een communicatieplan waarin staat hoe medewerkers en de buitenwereld geïnformeerd moeten worden? Afhankelijk van de omvang van een incident komt het in het publieke domein terecht en dan moet een gemeente weten wat er gezegd moet worden en wat niet.’
Partner en sectorvoorzitter Lokale Overheden, PwC Netherlands
Tel: +31 (0)61 830 45 41