Drie tips voor het continu agenderen van Informatieveiligheid

Op 29 november 2013 heeft de VNG tijdens een bijzondere algemene ledenvergadering de Resolutie Informatieveiligheid ‘Randvoorwaarde voor de professionele gemeente’ vastgesteld. Als professionele, meest nabije overheid zijn gemeenten zelf verantwoordelijk voor het op orde hebben van hun informatieveiligheid. En deze verantwoordelijkheid strekt verder dan de eigen organisatie. Gemeenten hebben er namelijk als collectief belang bij dat alle gemeenten hun informatieveiligheid op orde hebben. De ketting is immers zo sterk als de zwakste schakel. Kortom, informatieveiligheid is een functionele randvoorwaarde voor onze dienstverlening aan inwoners en ondernemers.

 

Nu bijna drie jaar later is het de vraag: Waar staan gemeenten nu? Voor ‘What’s In IT For Me?’ schrijf ik dit jaar vier blogs over dit onderwerp. Ik hoop je daarmee te kunnen helpen om in jouw werk informatieveiligheid als absolute randvoorwaarde voor overheidsdienstverlening neer te zetten. Om te beginnen geef ik je vandaag drie tips over hoe je informatieveiligheid continu kunt agenderen:

 

1. Zorg dat je de gemeentesecretaris of de verantwoordelijke manager van jouw organisatie alle sleutelfiguren regelmatig gezamenlijk aan tafel zet

Informatieveiligheid is één van de belangrijkste zaken waar elke gemeente komende jaren in moet investeren. Gemeenten zijn meer en meer informatie verwerkende, dienstverlenende organisaties geworden. Onze dienstverlening is afhankelijk van de kwaliteit van onze informatie, maar ook van de mate waarin we die informatie beschermen. Informatieveiligheid is daarom een randvoorwaarde voor onze dienstverlening. Dit levert echter ook een gekke paradox op. Enerzijds dienen gemeenten hun informatie namelijk te beschermen tegen oneigenlijk gebruik, zoals identiteitsfraude. Maar tegelijkertijd willen we ook open en transparant zijn, zodat onze overheidsinformatie altijd, en dus digitaal, beschikbaar is. Het zijn precies deze botsende belangen die het vraagstuk tot paradoxaal maken. Vandaar dat ik vind dat er op directieniveau, of soms zelfs op bestuurlijke niveau, aandacht moet worden gevraagd voor de afweging van deze belangen. Voorkom dat het in de gemeentelijke organisatie slechts als een louter informatietechnisch onderwerp wordt behandeld. Het gaat uiteindelijk wel over de randvoorwaarde voor continue en kwalitatief goede dienstverlening.

 

Het klinkt misschien heel logisch dat je vanuit dit grote belang voor de continuïteit en kwaliteit van dienstverlening, als eindverantwoordelijke gemeentesecretaris de gemeente hierop aanstuurt. Maar de complexiteit van dit onderwerp is zo groot dat je daar als gemeentesecretaris veel moeite voor moet doen om te zorgen dat het ook echt op jouw bureau terecht komt. Alleen dan kun je beslissingen nemen die er voor zorgen dat er op een juiste en veilige manier met informatie wordt omgegaan. In de veelheid aan onderwerpen die op het bureau van een gemeentesecretaris komen, kan dit onderwerp snel naar de achtergrond verdwijnen. Over de juiste zaken op informatieveiligheidsvlak beslissingen nemen, gaat feitelijk over het oplossen van  de interne belemmeringen waar medewerkers tegenaan lopen, om datgene te doen om informatieveiligheid te organiseren. Laat je als gemeentesecretaris daarom regelmatig informeren door alle sleutelfiguren, op hetzelfde moment. 

 

2. Zorg dat informatieveiligheid de hoogste prioriteit krijgt

Het is natuurlijk makkelijk als je een gemeentesecretaris of verantwoordelijke leidinggevende treft die het belang van dit onderwerp inziet. Maar hoe trek je de aandacht voor informatieveiligheid als je organisatie nog niet zover is en het belang er nog niet of onvoldoende van inziet? In dat geval is het belangrijk om vanuit je vakmanschap met een groep sleutelfiguren dit onderwerp op de directie of managementagenda te krijgen. Schets dan vooral de risico's voor de continuïteit van de dienstverlening en benoem het politiek-bestuurlijke afbreukrisico. Je ziet dit regelmatig fout gaan: medewerkers die zich te weinig bewust zijn van de risico’s op informatieveiligheidsvlak en te weinig aandacht hebben voor de gevolgen. Zoals dat het openen van een geïnfecteerde e-mail ervoor kan zorgen dat de dienstverlening van de gemeente voor één of meer werkdagen onderbroken moet worden, om de systemen weer schoon te krijgen. De nieuwe wet Meldplicht Datalekken die sinds 1 januari van kracht is, is uiteraard een mooi hulpmiddel om het belang van informatieveiligheid op directieniveau te onderstrepen en om het ook de prioriteit te geven die het onderwerp informatieveiligheid nodig heeft. 

 

3. Zorg ervoor dat informatieveiligheid een zaak is én blijft van de gemeentesecretaris

Vanwege het grote belang is én blijft informatieveiligheid een zaak van de gemeentesecretaris. Natuurlijk delegeert hij of zij de werkzaamheden. Dat is natuurlijk prima! Maar... hoe blijft hij of zij op de hoogte? Hoe blijf je continu werken vanuit het idee dat informatieveiligheid een randvoorwaarde voor gemeentelijke dienstverlening is? Iets waarvan de basis continu op orde moet zijn en wat daarnaast blijvend aandacht nodig heeft op directieniveau? Pas op dat zaken niet tussen de afdelingen vallen, nadat het gedelegeerd is. Geef daarom met regelmaat rapportages over de vorderingen van het actieplan aan de gemeentesecretaris. Daarnaast dien je er natuurlijk voor te zorgen dat jouw gemeentesecretaris begrijpt dat je als gemeente aangesloten moet zijn bij de Informatiebeveiligingsdienst voor gemeenten (IBD) en dat je gemeente de (BIG-)producten van deze collectieve gemeentelijke organisatie gebruikt. Tenslotte zorg je daarbij dat jouw eigen kennis en ervaring op dit gebied ‘state of the art’ is en verdiep je je zo in het onderwerp dat je technische begrippen begrijpelijk maakt.

En wil je weten wat echt helpt om informatieveiligheid een zaak te laten zijn van de gemeentesecretaris? Dat is het feit dat hij of zij niet met technische begrippen of complexiteit overtuigd wordt, maar dat hij of zij weet én begrijpt wat het handelingsperspectief is als gemeentesecretaris wanneer er een incident plaatsvindt, zoals een datalek of een computervirus. Hanteer je deze aanpak? Dan kun je ervoor zorgen dat het onderwerp ‘top of mind’ blijft bij jouw gemeentesecretaris!

 

Tot slot

Nu ben ik benieuwd welke van deze drie tips voor jou gelden en waarover je meer zou willen weten. Laat het weten via info@soulmade.nl.

 

Groeten,

Alexander Meijer