De gemeente Doetinchem heeft informatiebeveiliging hoog op de agenda staan en kijkt daarbij verder dan de verplichte audits alleen. In haar laatste risicoanalyse - die door Centric is uitgevoerd - heeft de Achterhoekse gemeente bijvoorbeeld ook het digitale werken meegenomen. Een thema dat (voor sommige onderdelen) bij de gemeente tegelijk met de verhuizing naar het gerenoveerde stadhuis wordt ingevoerd. Françoise van den Ham, teamleider Informatiemanagement bij de afdeling Services: “Door proactief over informatiebeveiliging na te denken, krijg je realistischere plannen en voorkom je dat je achter de feiten aan loopt.”
Françoise vertelt: "We willen veel informatie delen omdat we het burgers zo gemakkelijk mogelijk willen maken. Tegelijkertijd schept dat de verplichting om zorgvuldig met die gegevens om te gaan. Op het gebied van privacy, maar ook wat betreft de kwaliteit en beschikbaarheid van gegevens. Als je geen goede procedures hebt om de juistheid van gegevens te waarborgen, snijd je jezelf onherroepelijk in de vingers. Stel; je hebt al je systemen aan elkaar gekoppeld en ergens zit een fout. Dan zit die fout overal. Informatiebeveiliging gaat verder dan alleen techniek. Het gaat om kwaliteit, beschikbaarheid, integriteit en vertrouwelijkheid. Die samenhang is essentieel wil je gegevens veilig en tijdig delen. Daar willen wij als gemeente rekening mee te houden."
Vooruit kijken
Gemeenten worden periodiek gecontroleerd of aan alle voorwaarden, voorschriften en protocollen wordt voldaan. Dit gebeurt op basis van audits. "Om hierop voorbereid te zijn, heeft de gemeente Centric een risicoanalyse laten uitvoeren", zegt Françoise. "Behalve naar de Code voor Informatiebeveiliging (CvIB) en de Wet bescherming persoonsgegevens (Wbp) zijn in 2010 ook de Wet Gemeentelijke Basis Administratie (GBA), de Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI) en de Basisadministratie Persoonsgegevens en Reisdocumenten (BPR) onder de loep genomen. Bovendien hebben we Centric gevraagd onderzoek te doen naar zaken die in eerste instantie niet in het standaardonderzoek zijn opgenomen, zoals flexwerken, social media en de Basisadministratie Adressen en Gebouwen (BAG). Waarom? Er zijn twee manieren om iets te doen: je kunt wachten tot iets verplicht gesteld wordt en het vervolgens uitvoeren of je neemt al voor iets verplicht is maatregelen. Wij proberen altijd vooruit te kijken. Want op het moment dat je iets oppakt en het nog niet verankerd is in allerlei regelingen, kun je het beheerst - en dus beter - uitvoeren of inplannen."
Derde partij
De gemeente Doetinchem is via een aanbestedingstraject bij Centric uitgekomen. "We hebben bij drie partijen offertes opgevraagd. Centric had kwalitatief het beste voorstel en staat bekend als zeer vakbekwaam. Kijk, in het geval van informatiebeveiliging is er sprake van specifieke wet- en regelgeving. Ik vind het persoonlijk niet nodig dat we per gemeente bijhouden wat er op dat gebied allemaal verandert. Ik heb veel liever dat we dit soort zaken inkopen. Bovendien vind ik het feit dat je je door een externe partij laat toetsen van grote meerwaarde. Centric is namelijk objectiever dan dat wij dat zijn. Natuurlijk mogen wij onze afdelingshoofden advies geven - dat is zelfs onze rol - maar in sommige gevallen voelt het toch een beetje als het testen van je eigen collega’s."
Risicoanalyses
De consultants van Centric van de afdeling Security & Continuity Services hebben de risicoanalyse ingevuld door alle betrokkenen te interviewen. Het voordeel van deze aanpak is volgens Françoise dat de managers zo aan de hand genomen worden om zich actief te verdiepen in de beveiligingsmaatregelen van hun afdeling. "Natuurlijk moet een manager kunnen vertrouwen op degene die het beleid uiteindelijk uitvoert, maar je bent wel eindverantwoordelijk. Zo'n risicoanalyse is voor managers met veel personeel een stimulans, een formele gelegenheid om periodiek na te denken of ze bepaalde zaken op beveiligingsgebied geregeld hebben." Centric heeft een gestructureerde aanpak om datgene wat relevant is voor degene die geïnterviewd wordt te behandelen. "Alleen zo haal je alles boven wat gecontroleerd moet worden." Uit de risicoanalyse die in 2010 is uitgevoerd, bleek dat de gemeente op dit moment qua informatiebeveiliging weinig tekortkomingen kent. "Wel kwam naar voren dat het instellen van een eigen privacybeheerder een goede stap zou zijn." De gemeente koopt ieder jaar op voorhand een aantal ondersteuningsuren in. "Zo houdt Centric de vinger aan de pols. Ik koop eigenlijk de prikkel, de stok achter de deur. Die krijg ik ook wel via de jaarlijkse accountantscontrole, GBA-audit en de SUWI-audit, maar niet alle actiepunten zijn in die audit verankerd."
Met de tijd mee
Op verzoek van de gemeente zijn ook social media in de risicoanalyse meegenomen, hoewel de gemeente hierover nog geen officieel beleid heeft. "We willen met de tijd mee, maar geen onnodige risico’s lopen. Centric is voor ons nagegaan of en in welke mate de afdelingshoofden met social media-vraagstukken bezig zijn. We hebben geconstateerd dat ze wel degelijk over social media nadenken. Maar nadenken is één, concrete stappen zetten is een tweede. Dat geldt ook voor digitaal werken. Tot voor kort had iedereen de beschikking over zijn eigen papieren dossiers, maar als we straks terugverhuizen naar het gerenoveerde stadhuis is het merendeel alleen digitaal beschikbaar. We worden kortom steeds afhankelijker van het digitale netwerk. Een partij als Centric helpt ons deze ontwikkeling in goede en veilige banen te leiden."
