16 april 2014

Informatie- en informatieveiligheidsbeleid

image for Informatie- en informatieveiligheidsbeleid image

‘Informatie’ is voor de overheid niet slechts een bedrijfsmiddel of eeKees Duijvelaarn synoniem voor het dienstverleningsloket. Het schept duidelijkheid wanneer een lid van onze bestuurscolleges aanspreekbaar is op het informatiebeleid.

‘Informatie’ is voor de overheid niet slechts een bedrijfsmiddel of eeKees Duijvelaarn synoniem voor het dienstverleningsloket. Het schept duidelijkheid wanneer een lid van onze bestuurscolleges aanspreekbaar is op het informatiebeleid.

Tijdige basisinfrastructuur
Goede en veilige informatievoorziening is de komende vier jaar vooral essentieel voor het welslagen van de ontwikkelingen op de beleidsterreinen zorg en welzijn, werk en inkomen en jeugdzorg – de decentralisaties in het sociale domein –, op het terrein van economische stimulering en voor de ruimtelijke ordening, gelet op het nieuwe omgevingsrecht dat in 2018 zijn beslag moet krijgen. De uitvoerbaarheid van nieuwe wet- en regelgeving op deze terreinen hangt in hoge mate af van de tijdige beschikbaarheid van een basisinfrastructuur voor veilige en geautoriseerde uitwisseling van gegevens en voor de ontsluiting van gegevens uit (basis)registraties en bestanden van de overheid, de wetenschap en maatschappelijke organisaties.

Verschillende programma’s en wetten
Voor het informatie- en informatieveiligheidsbeleid als zodanig zijn verschillende programma’s en ontwikkelingen in de wet- en regelgeving van belang. Die brengen met zich mee dat de komende jaren financiële voorzieningen en organisatorische maatregelen getroffen moeten worden. In dit verband zijn de volgende ontwikkelingen van belang:

  • Voltooiing van het programma i-NUP (implementatieagenda van het Nationaal Uitvoeringsprogramma Dienstverlening en e-Overheid) dat gericht is op verbetering van de elektronische dienstverlening, door met name de aansluiting op en het gebruik van basisregistraties (Adressen en Gebouwen, Handelsregister, Kadaster, Topografie) en door gebruik van voorzieningen voor identificatie (eID-kaart), autorisatie (DigiD) en gegevensuitwisseling (DigiKoppeling, DigiMelding en DigiLevering).
  • Ontwikkeling van het implementatieprogramma Digitaal 2017. Dit programma gaat i-NUP opvolgen. Het voorziet in voorzieningen en flankerende maatregelen waardoor het voor burgers en bedrijven mogelijk, of zelfs verplicht wordt om zaken met de overheid langs elektronische weg te regelen. Dit is bijvoorbeeld het geval bij het aanvragen en verkrijgen van vergunningen. In verband hiermee is ook nieuwe wetgeving op til die de bestuurlijk-juridische basis gaat leggen onder voorzieningen als e-Herkenning, het Ondernemersplein en het Ondernemingsdossier.
  • De Wet basisregistratie personen voorziet in de vervanging van de huidige GBA door de Basisregistratie Personen. Persoonsgegevens mogen alleen nog maar in de BRP worden geregistreerd en vandaaruit worden verstrekt aan in- en externe afnemers.
  • De Wet meldplicht datalekken en de aanscherping van de Wet bescherming persoonsgegevens. De Richtsnoeren van het CBP zijn al flink aangescherpt; de overheid kan aansprakelijk worden gesteld voor de schade als gevolg van datalekken en kan hoge boetes worden opgelegd. Informatievoorzieningen moeten verplicht aan een privacy impact assessment worden onderworpen; al bij de ontwikkeling van informatievoorzieningen moet met informatieveiligheid rekening worden gehouden. Veel overheidsorganisaties zullen een data security officer moeten aanstellen.
  • De Wet melding inbreuken elektronische informatiesystemen verplicht tot het melden van inbreuken in systemen in vitale sectoren en vitale infrastructuur – denk aan energievoorziening en waterbeheer.
  • De Nationale Cyber Security Strategie legt verplichtende zelfregulering op met betrekking tot informatieveiligheid. Voor gemeenten is deze zelfregulering omschreven in de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente, die door de algemene ledenvergadering van de VNG eind 2013 is aangenomen. De resolutie verplicht gemeenten onder meer tot het toepassen van de Baseline Informatiebeveiliging Gemeenten en aansluiting bij de Informatiebeveiligingsdienst Gemeenten (IBD).
  • Verplicht ondergaan van ICT-beveiligingsassessments, vooral op DigiD, en voldoen aan de veiligheidseisen voor het gebruik van SUWI-net. SUWI-net geeft toegang tot gegevens over personen die sociale uitkeringen genieten. Veel gemeenten maken daar oneigenlijk gebruik van. Volgen van het Verbeterprogramma – en om te beginnen, het afleggen van de zelftest – moet verbetering brengen.
  • De ontwikkeling van het eID-stelsel, in het kader waarvan de DigiD-kaart wordt ingevoerd.
  • Verplichte elektronische bekendmaking en publicatie van algemeen verbindende regels en van besluiten: het gebruik van respectievelijk de Centrale Voorziening Decentrale Regelgeving en van de Gemeenschappelijke Voorziening Overheidspublicaties.
  • De toegankelijkheid van websites moet naar een hoger niveau worden getild als gevolg van de Webrichtlijnen 2.0.
  • In 2015 wordt de Wet stelsel openbare bibliotheekvoorzieningen van kracht. Deze wet legt de rijksrol in de landelijke digitale bibliotheek vast en reguleert de functies en activiteiten waaraan de lokale bibliotheek invulling moet geven om deel te nemen aan het landelijke netwerk.
  • Verantwoording van het college van B&W aan de raad van de (geordende en toegankelijke) staat van de archieven, in het kader van de Wet revitalisering generiek toezicht. De VNG heeft een model van Kritische Prestatie Indicatoren (KPI’s) ontwikkeld om het verslag te structureren. KING heeft voor de digitale informatiehuishouding een baseline gemeentelijke informatiehuishouding uitgebracht.
  • Digitaal, zaak- en procesgeoriënteerd documenteren en archiveren. Het programma Archief2020 dat door het Nationaal Archief wordt uitgevoerd, en het project Archiefinnovatie Decentrale Overheden (AIDO) dat vanuit de VNG opereert, ondersteunen de digitale vernieuwing.

Wat heeft de raad in handen?
Deze lopende en nieuwe programma’s en regels brengen met zich mee dat veel (keten)processen herontworpen zullen moeten worden; ze moeten aansluiten op en gebruik maken van landelijke voorzieningen en ze moeten voldoen aan een hoger niveau van informatieveiligheid en -bescherming. Om aan eisen van professionaliteit, efficiency en veiligheid te kunnen voldoen zullen veel processen moeten worden opgeschaald naar regionale samenwerkingsverbanden van overheden en maatschappelijke organisaties. Dat maakt kaderstelling en controle over de uitvoering van het informatie- en informatieveiligheidsbeleid lastig. Aan welke knoppen kan een gemeenteraad nog draaien?

Ten eerste heeft de raad het budgetrecht: hij moet, in het licht van de komende ontwikkelingen, tijdig toereikende budgetten beschikbaar stellen en kan daar voorwaarden aan verbinden. Wat informatieveiligheid betreft, kan de raad het college van B&W houden aan de resolutie Informatieveiligheid. Hij kan vragen naar de uitkomsten van audits, zoals de DigiD-audit. Wat de bescherming van de privacy betreft, kan de raad het college wijzen op de Richtsnoeren van het CBP en op het verbeterprogramma SUWInet en vragen hoe de gemeente uit de zelftest komt. Voor controle over de archieven kan de raad het college wijze op de verslagleggingsplicht aan de hand van de KPI’s.

Zo kan de raad controleren of de gemeente ‘in control’ is. Nu staat de raad op grotere afstand, wanneer het gaat om uitvoering van taken die is opgedragen aan gemeenschappelijke regelingen en andere samenwerkingsverbanden. Daarom is het zaak dat de raad erop let dat bij het aangaan van een gemeenschappelijke regeling en het sluiten van samenwerkingsovereenkomsten de veiligheidseisen, kwaliteitsnormen en verantwoordingsplichten waar de gemeente aan is gebonden, ook opgelegd worden aan de samenwerkingspartners.

Iedereen medeverantwoordelijk
Er staat de komende jaren heel wat te gebeuren en dat raakt ook de mensen in de organisatie. Zij zullen de inhoud van hun taken en hun plaats in de organisatie zien veranderen. Zij zullen zich nog meer bewust moeten zijn van het grote belang van veilige, betrouwbare en duurzame informatievoorziening. Iedereen in de organisatie is medeverantwoordelijk om daar goed invulling aan te geven. Van DIV- en Archiefmedewerkers mag worden verwacht dat zij een voorbeeldfunctie vervullen.

kees.duijvelaar@vng.nl, Kees Duijvelaar is redactielid Od.