9 juni 2022

Zoektocht naar afstemming bij de gemeente Apeldoorn

image for Zoektocht naar afstemming bij de gemeente Apeldoorn image

Wet- en regelgeving rond informatiebeveiliging en privacy zijn in de praktijk nadrukkelijk op elkaar afgestemd. Maar de afstemming met informatiebeheer is in de praktijk nog een zoektocht. In dit artikel verkennen we de raakvlakken van vooral informatiebeveiliging en informatiebeheer en geven we een inkijk in hoe de gemeente Apeldoorn beiden organiseert.

Doel van informatiebeheer is het beschikbaar stellen van de juiste informatie op het juiste moment voor de juiste persoon binnen de kaders van informatiebeveiliging, privacybescherming en risicobeheersing. De aandacht van bestuur en management voor dit terrein is er vooral gekomen door nieuwe wetgeving[1]. Met de omslag van analoog naar digitaal werken zien we dat DIV-organisatieonderdelen worden afgebouwd of verdwijnen, waarbij de (digitale) postkamer en kernfuncties als de informatieadviseur en recordmanager overblijven. Iedereen in de organisatie wordt geacht zelf ‘zijn’ dossiers digitaal te vormen en te beheren.
Het is spannend of lijnmedewerkers in staat zijn om dit beheer compliant aan wet- en regelgeving uit te voeren en of ze iets aan kwaliteitscontrole doen. Informatiebeheer beperkt zich niet tot het DMS. Ook in andere, vaak domeinspecifieke informatiesystemen wordt informatie verwerkt die kan worden aangemerkt als formele overheidsinformatie waarop wet- en regelgeving van toepassing is. Is het beheer van de content van deze systemen compliant? Wat gebeurt er met de informatie als systemen worden vervangen of uitgefaseerd? Wat bewaren we waar (in welke omgeving, welke systemen), voor wie en voor hoe lang (is er een bewaarstrategie)? Wie let er op dat deze informatie ook correct wordt beheerd? In Apeldoorn komen we er steeds meer achter dat correct informatiebeheer niet meer alleen vanuit één vakdiscipline goed is te organiseren, maar dat een integrale benadering nodig is.

Informatiebeveiliging in ontwikkeling
Informatiebeveiliging heeft als doel informatie zodanig te beschermen dat 1) deze beschikbaar is volgens daarover gemaakte afspraken; 2) de informatie correct is (integriteit) en 3) er op de juiste manier omgegaan wordt met vertrouwelijke informatie. Op basis van risicoanalyses wordt per categorie informatie bepaald wat het juiste niveau is voor de beschikbaarheid, integriteit en vertrouwelijkheid (de zogenaamde BIV-classificatie). Daarna volgt de selectie van een set van maatregelen die ervoor moet zorgen dat het vastgestelde niveau ook gehaald wordt.
Het vakgebied informatiebeveiliging ontwikkelde zich apart van de bestaande regelgeving rond fysieke archieven. Halverwege de jaren ’90 ontstond in Engeland het eerste normenkader met daarin best practices voor de beveiliging van digitale informatie: de door de BSI (British Standard Institution) ontwikkelde standaard BS7799. Aan zo’n document was grote behoefte omdat elke organisatie die met geautomatiseerde systemen werkte tegen dezelfde vraagstukken aanliep. Deze BS7799 werd wereldwijd al snel door zowel commerciële als overheidsorganisaties gebruikt en ontwikkelde zich tot de huidige versie van de ISO 27001 norm.
De ISO 27001 vormt ook het uitgangspunt voor de in Nederland voor overheidsorganisaties verplichte normen uit de Baseline Informatiebeveiliging Overheid[2]. Daarnaast kent elk land natuurlijk eigen wetgeving over de beveiliging van de informatie.

ENSIA-paraplu
Het huidige wereldwijd gebruikte normenkader voor informatiebeveiliging heeft zich vooral ontwikkeld vanuit de IT-organisatie. Daardoor is in eerste instantie niet of nauwelijks gekeken naar bestaande normenkaders voor bijvoorbeeld archivering, maar veel onderwerpen zijn in beide vakgebieden terug te vinden, waaronder bijvoorbeeld:

  • Fysieke beveiliging
  • Toegangsbeveiliging
  • Bedrijfscontinuïteit bij calamiteiten
  • Back-up van informatie
  • Geheimhouding
  • Bescherming van vertrouwelijke informatie
  • Actueel houden van informatie
  • Mate van correctheid van informatie
  • Bewaren van informatie.

    Door een aantal beveiligingsincidenten is er steeds meer aandacht voor het onderwerp informatiebeveiliging. Zo zijn gemeenten verplicht deel te nemen aan het ENSIA-verantwoordingstraject, waarbij aangetoond moet worden dat de kwaliteit en beveiliging van informatie op orde is. Onder ENSIA vallen momenteel onder andere al een groot aantal basisregistraties (BRP, PUN, BAG, BGT en BRO). Er wordt verkend of in de toekomst ook de verplichtingen uit de Archiefwet onder de ENSIA-paraplu gehangen kunnen worden.

Samenwerking en afstemming
In Apeldoorn loopt een aantal ontwikkelingen die helpen om het aandachtsveld informatie beter in de gemeentelijke organisatie te positioneren. Onze directie ziet informatie als een belangrijk aandachtsveld bij de uitvoering van de gemeentelijke taken. Zij heeft daarom de gemeenteraad een informatievisie laten vaststellen, heeft functies als een Central Informatie Officer (CIO), Concern Informatie Security Officer (CISO) en Concern Privacy Officer (CPO) ingesteld en heeft bepaald dat de organisatie-eenheden moeten voldoen aan de eisen voor informatiebeveiliging, privacy en informatiebeheer.
In de eenheidsplannen moeten de lijnmanagers aangeven wat ze met deze eisen gaan doen. Ook moeten ze periodiek rapporteren over de uitvoering van verbetermaatregelen. Daarnaast is er een Stuurgroep Dienstverlening en Informatie, waarin strategische en tactische informatievoorstellen worden besproken waarover wordt besloten. Deze stuurgroep fungeert als een SIO, Strategisch Informatie Overleg, waarvan de CIO voorzitter is met een aantal lijnmanagers als leden. Er zijn vier informatiemanagers aangesteld die de CIO, Stuurgroep en directie adviseren welke maatregelen wanneer genomen moeten worden.

Positie versterken
De directie wil een meer zakelijke cultuur, waarbij we laten zien welke resultaten zijn behaald en elkaar meer bevragen en aanspreken als deze niet overeenkomen met wat we hebben afgesproken. Daarvoor wordt de Planning- en Controlcyclus strakker ingericht, zowel binnen de ambtelijke organisatie als ook naar college en raad.
In deze nieuwe context kunnen we als adviseurs en toezichthouders voor de drie informatiedomeinen veel effectiever samen onze positie in de organisatie versterken. Om te voldoen aan de eisen voor de informatiehuishouding hebben we een aantal uitgangspunten en maatregelen genomen:

  1. De Concern Privacy Officer (CPO), Chief Information Security Officer (CISO) en gemeentearchivaris hebben een gezamenlijk jaarplan met daarin de belangrijkste speerpunten waaraan we vanuit onze (toezichts)rollen aandacht geven, zoals het beleggen van de vakgebieden in de organisatie, het inrichten van een continu proces van bewustwording, de inrichting van een Planning & Control-cyclus en de informatieclassificatie (BIV) kritische processen en vroegtijdige betrokkenheid bij nieuwe ontwikkelingen. Ook brengen we kwartaalrapportages uit aan ons eigen mt en aan de directie over de uitvoering van het jaarplan. Het streven is om te komen tot één gezamenlijk risicoregister waarin we verbeteracties (risico’s) bundelen die vanuit de drie vakgebieden nodig zijn. Hierdoor ontstaat ook voor de leidinggevenden één integraal overzicht van de verbeteracties die voor hun afdeling nog open staan.
  2. Voor de organisatorische inrichting van de informatiehuishouding en de borging van het vereiste kwaliteitsniveau gaan we uit van het principe van three lines of defence[3]. In de eerste lijn zijn eenheidsmanagers integraal verantwoordelijkheid voor de organisatiebeheersing in de eenheid. In de tweede lijn faciliteren de juridische control, de hrm-control, de ict-control, de financial & business-control en de CPO en CISO de eerste lijn maar denken vanuit hun adviesrol ook kritisch mee en tegen. In de derde lijn hebben de concerncontroller, de Functionaris Gegevensbescherming, gemeentearchivaris en IC-functie een toetsende, signalerende, Initiërende en adviserende rol met betrekking over de kwaliteit en het functioneren van de eerste en tweede lijn.
  3. Gelijktijdig met dit inrichten gaan we door met de verfijning in het richten. We werken aan de vertaling van algemene wet- en regelgeving naar lokale regelgeving en beleid en de verbetering van ons meetinstrumentarium. Beleid dat vanuit éen van de vakgebieden ontwikkeld wordt, gaat ook ter review naar de vakgenoten uit de andere aandachtsgebieden. Zo creëren we aansluiting op elkaars beleid en voorkomen we overlap. We ontwikkelen kritieke prestatie-indicatoren om te kunnen vaststellen in hoeverre we voldoen en rapporteren vanuit de drie vakgebieden daarover in gezamenlijke rapportages.
Figuur 2: Schema van Three Lines of Defence bron: Visie op controlfunctie, Gemeente Apeldoorn, Maarten Koldewijn, 2020

Integreren
In de praktijk ligt er nog een uitdaging om de drie aandachtsgebieden informatiebeheer, privacymanagement en informatiebeveiliging optimaal met elkaar te laten integreren. Wet- en regelgeving rond informatiebeveiliging en privacy zijn in de praktijk al nadrukkelijk op elkaar afgestemd. De afstemming met informatiebeheer is in de praktijk nog een zoektocht. De verwachting is echter dat op termijn in alle organisaties deze drie vakgebieden zeer nauw met elkaar zullen gaan optrekken vanwege de grote overlap die tussen de vakgebieden aanwezig is.

*Dit artikel is geschreven door Martin Jochems en Chantal Meijerink en verscheen oorspronkelijk in Od 5 op 26 juni 2020.


[1] Vooral de Algemene verordening gegevensbescherming, Omgevingswet, Wet open overheid, Wet hergebruik overheidsinformatie, wetten voor basisregistraties, maar ook de Baseline Informatiebeveiliging Overheid en de verplichte deelname aan ENSIA-verantwoordingstraject (ENSIA staat voor Eenduidige Normatiek Single Information Audit).

[2] De Baseline Informatiebeveiliging Overheid (BIO) is geheel gestructureerd volgens NEN-ISO/IEC 27001:2017, bijlage A en NEN-ISO/IEC 27002:2017. Het Forum Standaardisatie heeft deze normen opgenomen in de ‘pas toe-of-leg uit’- lijst met verplichte standaarden voor de publieke sector, volgens het comply or explain principe. Dit betekent dat de overheid deze normen toepast tenzij er expliciet geformuleerde redenen zijn om dat niet te doen.

[3] Three lines of defence. Zie: https://efk.nl/three-lines-defence-beknopte-uitleg/ (29-04-2020).