Burgemeesters zijn verantwoordelijk voor alles wat er binnen hun gemeenten gebeurt tot ver achter de voordeur. Dat geldt ook voor informatiebeveiliging, tenminste, dat zou je denken. Burgemeesters hebben bij informatiebeveiliging in feite pas een taak als de openbare orde en veiligheid in het geding is. Gelukkig zijn ze zich ook bewust van het belang van zorgvuldige omgang met informatie, alhoewel een verantwoordelijkheid daarvoor meestal ligt bij één of meerdere wethouders. Gemeenten zijn organisaties die grote hoeveelheden privacygevoelige informatie verzamelen, verwerken en uitwisselen. De burgemeester heeft als taak toe te zien op de tijdige voorbereiding, vaststelling en uitvoering van het gemeentelijke beleid. Precies hier zit ook de verantwoordelijkheid voor en de betrokkenheid van de bestuurder bij het onderwerp informatiebeveiliging.
Bestuurders in alle soorten en maten
Het rapport van de visitatiecommissie informatieveiligheid geeft, op basis van een ronde langs bestuurders van 120 gemeenten, als een van haar aanbevelingen al aan dat de bewustwording bij bestuurders nog verder versterkt kan worden. Bij de IBD krijgen we van de CISO’s van gemeenten regelmatig te horen dat het niet eenvoudig is om de bestuurder bewust te maken en te houden voor het onderwerp informatiebeveiliging.
Bestuurders zijn er in alle soorten en maten. Aan de ene kant zijn er die aangeven ‘niets met digitalisering te hebben’ en sommigen gaan daar zelfs prat op. Aan de andere kant zijn er ook bestuurders die wakker liggen van de risico’s van een groot datalek of het idee de loketten een aantal dagen te moeten sluiten omdat de systemen niet meer functioneren. Bestuurders zijn zich meestal terdege bewust van een dringend gewenste aanscherping van de aandacht, maar struikelen toch vaak over de vele hakken in het zand van een starre gemeenteraad. Nog weer extra budget voor preventie ten koste van dat speeltuintje voor de kinderen in de achterstandswijk of van de jeugdzorg met zijn ellenlange wachtlijsten: die keuze is eigenlijk niet te maken, maar moet gemaakt worden. Burgemeesters vragen wel eens om het onderwerp informatiebeveiliging uit de ‘zeurmodus’ te halen. Het kost energie en geld, in plaats van dat het resultaten oplevert. En het is niet goed voor hun imago, denken ze. Gemeenten kunnen zich immers niet onderscheiden van andere gemeenten, omdat ze zo goed bezig zijn met informatiebeveiliging. Bedrijven kunnen dat wel. Tja…. Informatiebeveiliging is nu eenmaal niet vrijblijvend, geen extraatje, het is een noodzakelijke voorwaarde voor goed en verantwoord bestuur. Leuker kunnen we het niet maken…. wel veiliger.
CISO als sleutelfiguur
De CISO heeft een uitdagende taak, maar vaak een moeilijke positie binnen de gemeente. Hij is verantwoordelijk voor het adviseren van de gemeente om met een samenhangend pakket aan maatregelen informatie goed te beschermen. Een misverstand is dat de CISO verantwoordelijk is voor de informatiebeveiliging, terwijl het de gemeentelijke lijnmanagers en afdelingshoofden zelf zijn die verantwoordelijk zijn voor de processen en systemen. De CISO adviseert en ondersteunt daarbij. Ik zou de bestuurders willen vragen de contacten met de CISO’s aan te halen en zich op regelmatige basis te laten informeren over de dreigingen en risico’s. Dan kunnen zij u vast nog wel voorzien van zaken die in het oog springen, die goed gaan, van succesjes, waar u mee voor de dag kunt komen en misschien zelfs positief in de media verschijnt.
Sterker: bestuurders moeten daarmee aan de slag. Want als het geen hackers zijn die gehakt van uw gemeente maken, dan ligt ook nog een toezichthouder op de loer!
De toezichthouder werkt aan het eigen imago
Het nieuwsbericht van de Autoriteit Persoonsgegevens (AP) van 2 november 2017 stelt dat op grond van de nieuwe privacywetgeving, die in mei 2018 van kracht wordt, de gemeente alleen persoonsgegevens mag verwerken, indien dit nodig is voor de nakoming van een wettelijke verplichting of voor de goede invulling van een publiekrechtelijke taak. Vermelding van persoonsgegevens in openbare stukken zal in de regel voor een goede vervulling van een publicatieverplichting op grond van de Gemeentewet of de Wob niet noodzakelijk zijn, staat in datzelfde nieuwsbericht te lezen. De mist daalt pas echt neer, als we lezen dat de gemeente van geval tot geval moet nagaan of het doel ook via minder ingrijpende middelen bereikt kan worden. Als een gemeente met de verwerking van persoonsgegevens volgens de AP een fout maakt, kan de AP een boete opleggen. Van de toezichthouder valt voor de gemeente dus weinig heil te verwachten. Geen heldere aanwijzing of hulp, of leren van gemaakte fouten, nee: boetes! Laten we het er maar op houden dat de toezichthouder werkt aan het eigen imago. Misschien is dat bij een tamelijk nieuwe organisatie met weinig eigen gezicht onvermijdelijk en wordt dat anders, als ze deze groeistuip voorbij is.
Voorlopig is daarom een goede, heldere informatievoorziening op het gebied van informatiebeveiliging door een deskundige, uw eigen CISO van vitaal belang. Geef hackers geen kans door uw techniek, processen en organisatie veilig in te richten en geef het AP geen kans gehakt van u en uw gemeente te maken. De kennis is er, mede dankzij de CISO, het morele kompas en het besef dat er iets te winnen valt heeft u zelf.
Nausikaä Efstratiades, Hoofd Informatiebeveiligingsdienst voor gemeenten (IBD)