Door de toenemende digitalisering, cyberaanvallen en het gebruik van sociale media en berichtendiensten is informatieveiligheid een steeds relevanter thema voor gemeenten om actief op te sturen en op te monitoren. Beveiligingsincidenten kunnen immers grote gevolgen hebben voor het schenden van vertrouwelijkheid van informatie inclusief de privacy van burgers en medewerkers. Ook kan de veiligheid in het geding zijn door het compromitteren van de integriteit en beschikbaarheid van informatie. Data kunnen niet alleen worden gestolen of openbaar gemaakt maar ook vervalst, veranderd, vernietigd of misbruikt worden. Tot slot kunnen cyberaanvallen de beschikbaarheid en continuïteit van dienstverlening van gemeenten aantasten. Al deze verschillende vormen van inbreuk op de informatieveiligheid kunnen grote impact hebben op de reputatie, financiën, of operationele processen van een gemeente. En op burgers. Informatieveiligheid werd tot dusver vaak gezien als een voornamelijk technisch probleem. Nu de maatschappelijke relevantie toeneemt, hebben recentelijk hebben veel gemeenten en gemeentelijke rekenkamer(commissie)s nader onderzoek uitgevoerd naar de stand van de informatieveiligheid en de controlerende rol van het bestuur.
Het is van belang om een goed inzicht te krijgen hoe de gemeenten Achtkarspelen en Tytsjerksteradiel op het punt van de informatieveiligheid (vanuit verschillende invalshoeken) voldoen aan wet- en regelgeving en algemeen geldende eisen rond informatieveiligheid. Omdat informatieveiligheid steeds meer van een technisch naar een maatschappelijk vraagstuk verschuift, is het logisch dat ook de aandacht bij de volksvertegenwoordigers voor dit onderwerp toeneemt. Tegelijkertijd is het een zeer specifiek onderwerp waarbij het de vraag is op welke wijze de raden in staat worden gesteld zich een beeld en een oordeel te vormen over hoe het ervoor staat in de eigen gemeente.
De rekenkamercommissies hanteren als globaal toetsingskader de onderstaande (zes) invalshoeken, aspecten die in totaal het domein ‘informatieveiligheid’ afdekken. Mede om aan te geven dat bij informatiebeveiliging niet de technische dimensie dominant is, maar dat het een domein betreft met meerdere gelijkwaardige dimensies. Van organisatorische maatregelen tot en met bewustzijn en cultuur. Deze zes invalshoeken worden wereldwijd (ISO) erkend als toetssteen voor een volwassen uitvoering van informatiebeveiligingsbeleid.
Leiderschap en aansturing (governance)
Compliance, voldoen aan wet en regelgeving
Risico-inschatting en -beoordeling
Continuïteit en weerbaarheid
Technologie en procedures
Organisatiecultuur en i-bewustzijn
Een toets op de verschillende invalshoeken op het terrein van informatieveiligheid geeft een beeld van de volwassenheid die de organisatie kenschetst. Maar dat is nog niet genoeg, er moet vooral ook een houding aanwezig zijn om constant te willen leren en bij te sturen. Plan do check act. Het onderzoeksbureau heeft deze invalshoeken uitgewerkt in onderzoeksvragen en in een normenkader (hoofdstuk 2 en bijlage 3), dit ook op basis van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). In de BIG staan de feitelijke veldnormen waaraan een gemeente (minimaal) zou moeten voldoen. In de BIG zijn ook weer de 6 bovenstaande invalshoeken terug te vinden. Ook geldt uiteraard wetgeving als de AVG.
Deze publicatie is ook te vinden in het dossier Informatiebeveiliging.
bron: NVRR
