ENSIA; Samen in control!

Door de toenemende digitalisering en de ontwikkeling van e-dienstverlening, is het zorgvuldig omgaan met de gegevens van burgers en bedrijven voor je gemeente van groot belang. Ook de samenwerking met andere overheden in ketens en de contacten met burgers en bedrijven wordt steeds vaker digitaal van aard. Dit legt, deels nieuwe, eisen op aan de kwaliteit van je informatievoorziening. Ik merk dat we in onze eigen gemeenten, Culemborg, Geldermalsen en Tiel, veel tijd kwijt zijn om deze kwaliteit te meten en/of te controleren. Uiteraard belangrijk, want een goede borging van informatieveiligheid zorgt immers voor een grotere betrouwbaarheid van de informatievoorziening en een grotere continuïteit van de gemeentelijke bedrijfsvoering.

 

Jaarlijkse audits

Als gemeente ben je daarom verplicht om jaarlijks audits uit te laten voeren. Het vervelende is echter dat het onderwerp informatieveiligheid door al deze verschillende audits steeds vanuit een net iets ander perspectief wordt benaderd. Daarnaast zijn de audits gedeeltelijk vaak overlappend. Dit kost ons als gemeenten Culemborg, Geldermalsen en Tiel veel tijd en extra inspanning en levert daarnaast ook vaak logistieke en budgettaire problemen op bij de uitvoering van de audits. Bij het aannemen van de VNG Resolutie in 2013 hebben alle gemeenten via de VNG dan ook niet voor niets aan BZK gevraagd om zich in te spannen voor een vermindering van de audit- en verantwoordingslast. Hier wordt invulling aan gegeven via het project ENSIA: Eenduidige Normatiek Single Information Audit. Centraal staat hierin het uitgangspunt van Single Information, Single Audit (SISA). Vanuit dit project en dit uitgangspunt is een onderzoek verricht. Onder andere naar in hoeverre de BIG overlap heeft met de door beleidsdepartementen gevraagde verantwoording omtrent aspecten van informatieveiligheid in het kader van BRP, PUN, SUWI, BAG, BGT en DigiD. En hier zit dus inderdaad overlap in. Dit maakt het mogelijk om de auditlast te verminderen en het verantwoordingsstelstel voor informatieveiligheid efficiënt en effectief in te richten en te implementeren (doel van ENSIA).

 

Nog maar één audit?

ENSIA heeft als doel om te komen tot het terugdringen van de verantwoordings- en auditinspanning bij de overheden. Het streven is om de ENSIA-methodiek vanaf 2017 stapsgewijs in te gaan voeren bij gemeenten. Maar wat krijg je straks en wat betekent deze invoering voor je gemeente?

  

ENSIA regelt straks het proces van de uitvraag en levert je gemeente een instrument aan, namelijk één standaard vragenlijst (self-assessment) met 250 generieke vragen + specifieke aanvullende vragen. Op basis hiervan is het mogelijk om een in control verklaring op te stellen die opgenomen wordt in het gemeentelijk jaarverslag, waarmee het college horizontaal verantwoording aan de raad aflegt. Op deze wijze wordt inzichtelijk in hoeverre de organisatie in control is. De wijze waarop dit door ENSIA wordt gefaciliteerd via een ontdubbelde vragenlijst, maakt het mogelijk om de beschikbare gemeentelijke resources doelmatig in te zetten, waardoor de auditlast wordt verminderd – en verantwoording kan worden afgelegd aan de desbetreffende instanties. Want, je moet je uiteraard wel nog steeds over alle normen verantwoorden… 

 

Normaliter worden de zelfevaluaties van de BRP en de PNIK (PUN) door de afdeling Burgerzaken opgepakt, DigiD door de DigiD-collega’s en de BAG door de BAG-beheerders. Straks gaan we het als gemeente natuurlijk vanuit de BIG aanvliegen, maar wie gaat dit dan coördineren? Belangrijk dus om hier als gemeente wel over na te denken. ENSIA ontwikkelt een instrument om de auditlast te verminderen, maar gemeenten moeten intern de organisatie hierop afstemmen om ook minder auditlast te ervaren. Je krijgt één keer de complete vragenlijst aangeleverd, die intern strak gecoördineerd dient te worden. Bijvoorbeeld: je krijgt een vraag over hoe de back-up is geregeld? Dat is een generieke vraag, en deze staat in de BIG. Maar deze vraag wordt bijvoorbeeld ook gesteld vanuit Burgerzaken. Dus iemand moet nagaan hoe dit bij Burgerzaken is geregeld, maar wellicht ook bij ICT? Kortom, je moet de vragen dus meervoudig uitzetten binnen de organisatie, om te kunnen onderzoeken hoe dit organisatie-breed geregeld is.

 

Je moet jezelf dus nu al afvragen hoe je dit gaat organiseren om ervoor te zorgen dat je alle vragen straks intern in één keer goed kan wegzetten, zodat de afdelingen die hier antwoord op moeten geven dit ook in één keer voor het geheel kunnen doen. Wie zet de vragen uit? Wie levert wat aan? En waar ligt het eigenaarschap? Kortom, hoe kunnen we de efficiency die ENSIA ons aanreikt ook daadwerkelijk doorvoeren? De vragenlijst is één, maar wil je hier als gemeente ook daadwerkelijk efficiency uithalen en de auditlast verminderen, dan dien je dit proces intern strak in te richten. Ter voorbereiding op de ENSIA-aanpak zijn wij daarom vanuit Culemborg, Geldermalsen en Tiel bezig met het optuigen van een organisatorische inrichting, om uiteindelijk ‘samen in control’ te komen.

 

Tips voor ENSIA

Wil je als gemeente ook goed voorbereid zijn op de invoering van de ENSIA-aanpak? Dan heb ik onderstaand een aantal tips voor je:

 

  1. Maak een proces-/auditplan.

  2. Stel iemand verantwoordelijk die dit proces gaat coördineren en hier dus verantwoordelijk voor is (de CISO). Heb je geen CISO? Waar komt de vragenlijst dan binnen, en wie zet de vragen uit?

  3. Sorteer de vragen voor en bepaal welke vraag naar welke afdeling moet en bij welke persoon je de vraag dan uitzet.

  4. Zorg ervoor dat deze mensen hun input ook daadwerkelijk aanleveren. Betrek hun in het proces-/auditplan.

  5. Zorg voor eigenaarschap binnen de verschillende afdelingen. Maak met lijnmanagers van afdelingen afspraken, zodat zij dit eigenaarschap voelen, houden en die verantwoordelijkheid ook nemen.

  6. Maak een ‘mini’ in-control statement per afdeling. Het self-assessment wordt vertaald in een ‘in-control’ statement ten behoeve van de horizontale en verticale verantwoording. Om dit binnen de gemeente ook naar de afdelingen terug te geven, maken wij op afdelingsniveau voor elke manager een ‘mini’ in-control statement. Zo krijgt een afdeling ook zicht in de status van de kwaliteit van zijn/haar afdeling en de verbetermaatregelen die uit het assessment zijn gekomen. Op deze manier maak je elke afdeling verantwoordelijk voor zijn/haar aandeel van het geheel.

 

Kortom, get in control! Bereid je tijdig voor en richt een proces in om straks ook daadwerkelijk efficiency te behalen. Een goed begin is ook hier het halve werk...

‘If you fail to plan, you plan to fail..’

Groeten uit Culemborg!