Informatiebeveiliging staat bovenaan de agenda van de Nederlandse gemeenten. Het wordt expliciet benoemd als ‘belangrijke voorwaarde’ en aandachtspunt. In 2012 richtten gemeenten daarom gezamenlijk de IBD op: een informatiebeveiligingsdienst waarbinnen bestuurders in 2013 afspraken de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) te hanteren. Een norm, of hulpmiddel, om aan alle eisen op het gebied van informatiebeveiliging te kunnen voldoen. Nausikaä Efstratiades, hoofd van de IBD, gaat in op het belang van informatiebeveiliging, de BIG en implementatie hiervan bij gemeenten.
Implementatie van de BIG
Iedere Nederlandse gemeente onderschreef in de resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ een informatieveiligheidsbeleid vast te stellen aan de hand van de BIG. Ook verplichtten zij zich tot de implementatie hiervan. Belangrijk, aangezien gemeenten veel persoonsgegevens beheren die uiteraard goed beveiligd moeten worden. Volgens Efstratiades zijn binnen alle gemeenten op het gebied van informatiebeveiliging sinds 2013 grote stappen gezet, op zowel technisch, organisatorisch als fysiek gebied. Zo stelde iedere gemeente een informatiebeveiligingsbeleid op en namen ze allemaal een informatiebeveiligingsfunctionaris aan. De praktische invulling van de BIG laat hier en daar nog wel op zich wachten: “Natuurlijk zijn er verschillen. Sommige gemeenten zijn verder dan anderen.” Dat is overigens geen kwestie van de grootte van een gemeente, wat nog weleens wordt gesuggereerd. Natuurlijk hebben grote gemeenten meer capaciteit, maar dat zou geen verschil mogen maken. De kleinere gemeenten moeten meer gaan samenwerken, zodat de expertise gedeeld kan worden. Kortom; er moet nog een hoop werk verricht worden, maar dat is logisch. “Informatiebeveiliging is immers nooit af.”
Belang informatiebeveiliging
De afgelopen jaren zijn er meer taken belegd bij gemeenten. Onder meer het uitwisselen van (persoons-)gegevens tussen en met verschillende partijen buiten gemeenten vroeg om extra aandacht voor informatiebeveiliging. Het opnemen van informatiebeveiliging als kwaliteitscriterium voor een gezonde bedrijfsvoering bij gemeenten is niet langer een keuze, maar een noodzaak, aldus Efstratiades. “Data zijn de grondstoffen van een gemeente. Die moet je goed beveiligen. Anders gaat het rigoureus mis. Een datalek zit in een klein hoekje. Denk maar eens aan een verkeerd verzonden e-mail, een verloren usb-stick, een virus of ransomware-aanval.”
Gemeenten versus bedrijven
Volgens Efstratiades verschilt informatiebeveiliging bij gemeenten in de uitvoering niet wezenlijk van informatiebeveiliging bij de zakelijke markt. Wel verschillen de uitgangspunten en randvoorwaarden. Een bedrijf kan er aan de voorkant voor zorgen dat het minder informatie hoeft te beveiligen. Zo kun je er als organisatie bewust voor kiezen om bepaalde informatie van klanten niet te vragen en dus ook niet op te slaan. Als je de informatie niet hebt, hoef je deze immers ook niet te beschermen. Gemeenten daarentegen zijn gebonden aan wettelijke taken, waarbij ze belangrijke informatie zoals persoonsgegevens, financiële gegevens en zorggegevens moeten vragen, opslaan en soms ook delen met andere partijen. Daarbij komt dat de burger geen keuze heeft als het gaat om dienstverlening van zijn gemeente. “Wanneer een bedrijf het niet zo nauw neemt met de bescherming van je data, dan stap je op. Die mogelijkheid heb je niet bij je gemeente.”
BIG
De BIG moet gemeenten helpen om aan alle eisen op het gebied van informatiebeveiliging te kunnen voldoen. Hierbij is de Baseline Informatiebeveiliging Rijksdienst (BIR), eveneens een variant van de ISO 27001-norm, als basis genomen. Vanuit daar is een vertaalslag gemaakt naar een richtlijn voor de gemeentelijke markt. De BIG bestaat uit een set beveiligingsmaatregelen, inclusief fysieke beveiliging, waarmee gemeenten op een vrij eenvoudige manier een basic beveiligingsniveau kunnen halen. De set beveiligingsmaatregelen kan worden opgedeeld in drie onderdelen: een strategische en een tactische baseline voor verschillende afdelingen en functies binnen een gemeente én een groep operationele producten. Deze operationele producten bieden gemeenten concrete handvatten en formats voor de implementatie van de BIG. Efstratiades denkt dat de BIG vooral houvast biedt, waardoor niet iedere gemeente het wiel opnieuw hoeft uit te vinden om haar informatiebeveiliging op orde te krijgen. De BIG-documentatie is beschikbaar voor alle gemeenten op de website van de IBD. Iedere gemeente kan dit gebruiken bij de implementatie van de BIG. Efstratiades stelt dat dit een proces is dat blijvend mankracht, investeringen en bewustzijn binnen een gemeente vergt. De BIG is in de praktijk op veel fronten cyclisch. Voor een succesvolle implementatie dient een gemeente de zogenaamde ‘Plan Do Check Act’ (PDCA- cyclus) te doorlopen. Allereerst moet vastgesteld worden wat nodig is voor de implementatie van de verschillende onderdelen van de BIG. Op basis hiervan dienen bepaalde maatregelen getroffen te worden. Vervolgens moet gecontroleerd worden of deze maatregelen het gewenste effect hebben. Hebben de maatregelen dat niet? Dan kan de controle direct aanleiding geven tot bijsturing. Ook het totaal van eisen, maatregelen en controle kan aan revisie toe zijn. Dat komt naar voren in een proces van evaluatie. “Alleen het goed doorlopen van de gehele kwaliteitscirkel zorgt voor het gewenste beveiligingsniveau.”
Nooit klaar
Is de implementatie van de BIG op enig punt eigenlijk wel voltooid? Absoluut niet, zegt Efstratiades. “Het is een misverstand om te denken dat je op enig moment klaar bent met beveiligen.” De BIG is niet slechts een set aan technische maatregelen. Gemeenten werken niet zozeer toe naar een implementatie van 100 procent, maar werken aan een voortdurende beveiliging van informatie. De BIG is een norm voor diverse gebieden die continu aan verandering onderhevig zijn. Daarmee vragen deze gebieden om een voortdurende check-up. “Verandert er iets binnen de organisatie? Dan verandert er iets in de informatievoorziening en –beveiliging. In de praktijk is informatiebeveiliging dus cyclisch en nooit af.”