In control raken op het terrein van informatieveiligheid en privacy. Hoe organiseren gemeenten dit? In RPO-verband wisselden controllers, strategen en CISO’s ervaringen uit bij een kennisbijeenkomst in de gemeente West Betuwe.
Susan Ligtenberg heeft de CISO-rol in de gemeente Zoetermeer, ze vertelt hoe zij het heeft georganiseerd. Informatiebeveiliging, Privacy en Informatiebeheer (IPI) zijn in 1 loket samengevoegd. Op deze manier is IPI zichtbaar, wat bijdraagt aan het bewustzijn in de organisatie. Bewuste medewerkers en afdelingen vormen de eerste verdedigingslinie tegen hacks of datalekken. IPI-adviseurs en control toetsen of de afdelingen werken volgens de regels. De derde ‘dijk’ is toezicht in de vorm van audits en certificering.
Ligtenberg, van oorsprong registeraccountant, is in haar rol als CISO de ‘tolk’ tussen I&A en de afdelingen. Ze streeft na dat de dienstverlening altijd kan doorgaan. ‘We willen het zo organiseren dat het risico op datalekken en hacks zo klein mogelijk is. Niet door ons te verschuilen achter checklists zoals de BIO, maar door informatieveiligheid in het DNA van de organisatie te krijgen. Het IPI-loket ondersteunt bij het optimaliseren van taken, processen en systemen, en traint medewerkers. Ook is er een plan B voor als het toch misgaat. De gemeente Zoetermeer gebruikt veel producten en diensten van de IBD (Informatie Beveiligingsdienst).
De nieuwe herindelingsgemeente (sinds 2023) Land van Cuijk werkt met een ‘control framework’, een softsysteem om informatiebeveiliging en privacy te sturen en te beheersen. Informatieveiligheid is een prioriteit. De pijlers van de aanpak zijn:
Basis op orde
Risico-gebaseerd werken
Bewust verantwoordelijk
‘In de nieuwe organisatie moet alles wat we bedenken informatieveilig zijn. Dit lukt aardig,’ zegt CISO Matthijs Masolijn. Het control framework geeft de afdelingen houvast of ze in control zijn. ‘Het is een tool om het goede gesprek te voeren, en om op wezenlijke punten goed door te vragen.’ De implementatie van het systeem kost tijd en moeite. Maar het draagvlak groeit. ‘Wij zien het als een strategische olievlek. Afdelingen die werken met veel privacygevoelige informatie vinden het belangrijk om te kunnen aantonen dat de informatieveiligheid op orde is.’ Met die afdelingen zijn ze dan ook gestart.
Presentatie Zoetermeer (pdf, 512 kB) (1)
Presentatie Land van Cuijk (pdf, 663 kB) (2)
VNG-dossier Digitale veiligheid en privacy (3)
(1) https://vng.nl/sites/default/files/2024-01/organisatie-informatiebeveiliging-gemeente-zoetermeer-rpo-18jan24.pdf
(2) https://vng.nl/sites/default/files/2024-01/presentatie-land-van-cuijk-accoris-sparcc-v2.pdf
(3) https://vng.nl/rubrieken/onderwerpen/digitale-veiligheid-en-privacy
