Hoe veilig zijn mijn gegevens binnen een gemeente?

Privacy staat voor de meeste organisaties hoog in het vaandel, sterker nog: goede privacy is verplicht. Om dit te kunnen waarborgen is een goede informatiebeveiliging een múst. Online ‘lees’ je vaak de algemene voorwaarden en de privacyverklaring en met een vinkje geef je akkoord, zonder vaak te weten wat het nou precies inhoudt. Maar hoe gaat het nou met je gegevens als je verder geen akkoord geeft en er toch met jouw (soms privacygevoelige) informatie wordt gewerkt, zoals bij een gemeente? Voor ons als trainees en eigenlijk ook gewoon als burger en inwoner van een gemeente is het interessant om te weten hoe hiermee omgegaan wordt.

Informatiebeveiliging bij overheidsorganisaties

Onlangs heb ik mijn opdracht als ondersteuner van de ENSIA-coördinator bij de gemeente Zwolle afgerond. ENSIA? Ehm wat? Dat dacht ik dus ook. Heel ingewikkeld gezegd is dit de ’Eenduidige Normatiek Single Information Audit’, oftewel: een check volgens een bepaalde methode om te zien of overheidsorganisaties hun informatiebeveiliging op orde hebben en dus goed omgaan met de gegevens van burgers.

Gemeenten hebben veel informatie van hun burgers opgeslagen om alle taken goed te kunnen uitvoeren. Denk aan de ‘gewone’ gegevens uit de basisregisatratie (BRP), maar ook van mensen met een beperking, zodat zij de juiste ondersteuning kunnen krijgen. Het loopt erg uiteen, van gegevens voor een parkeervergunning tot schuldhulpverlening. Er liggen zo veel gegevens bij gemeenten en vaak zijn de inwoners van de gemeente ook verplicht om deze gegevens af te geven. Deze inwoners moeten er natuurlijk op kunnen vertrouwen dat er netjes en voorzichtig met hun informatie wordt omgegaan en hiervoor zijn gelukkig wetten opgesteld. Dit zijn ze Algemene Verordening Gegevensbescherming (AVG), de Wet Basisregistratie Personen (BRP) en de Autoriteit Personen (AP). Deze weten bepalen hoe de gemeenten de gegevens van personen moeten en mogen gebruiken en ook hoe er op gecontroleerd moet worden.

Baseline Informatieveiligheid Gemeenten

Veel gemeenten hadden eigen manieren bedacht om zo goed en veilig mogelijk om te gaan met alle gegevens van de burgers, maar het liep nogal uiteen. In het jaar 2013 is er toen de BIG geïntroduceerd, de Baseline Informatieveiligheid Gemeenten. Een duidelijke richtlijn, zodat er één lijn getrokken werd voor alle gemeenten, waaraan zij zich moesten houden op het gebied van informatieveiligheid en elk jaar een verantwoording over moeten afleggen. Zo komen we aan bij het onderdeel waar ik me op focuste tijdens mijn opdracht bij de gemeente: de ENSIA. Een gezamenlijk project van het ministerie van Binnenlandse Zaken, de VNG en het ministerie van Sociale zaken & Werkgelegenheid.

Van elke gemeente legt het college van Burgemeester en Wethouders een verantwoording af aan de gemeenteraad over de informatiebeveiliging, door middel van de ENSIA-verklaring. Hier gaat een heel proces aan vooraf. Ga maar eens na, waar begint informatiebeveiliging? Natuurlijk is het belangrijk dat op alle computers binnen het gemeentehuis een goede bescherming is, maar eigenlijk begint het al bij de fysieke beveiliging van een gebouw. Wie kan er überhaupt naar binnen? En hoe goed je alles ook beveiligd hebt, wat als medewerkers zich niet bewust zijn van de juiste werkwijze en de risico’s die dat met zich meebrengt? Je moet ontzettend breed kijken, wil je alle informatie binnen een gemeente goed beveiligen. En zelfs als je óveral aan hebt gedacht, is het nooit voor honderd procent waterdicht.

Twee gescheiden werelden komen samen; Fysieke en ICT beveiliging

Waar eerst twee gescheiden werelden waren, die van de fysieke beveiliging en die van de ICT, komen deze nu samen. Door de automatisering van de afgelopen jaren werd de beveiliger bij de ingang vervangen door een geautomatiseerde poort. Daar deed de ICT al haar intrede in de wereld van de fysieke beveiliging, terwijl andersom nu ook steeds belangrijker wordt. De fysieke beveiliging wordt toch ook weer steeds weer waardevoller in de ICT. Het beschermen van de systemen tegen hackers en diefstal gebeurt grotendeels door mensen. Mensen die kwaad willen doen bij een organisatie zijn vaak bereid om ver te gaan, bijvoorbeeld door ‘social engineering’ toe te passen, maar ook het ‘per ongeluk’ achterlaten van ‘besmette’ USB-sticks, het plaatsen van afluisterapparatuur of simpelweg het stelen van laptops. Om dit zo goed mogelijk tegen te gaan en een samenwerking van de fysieke beveiliging en de ICT van groot belang.

De ENSIA-verklaring

Het grootste gedeelte van dit hele proces van beveiliging is opgenomen in de BIG, waar ik al eerder over schreef, en voor alle afdelingen binnen de gemeente waar met gegevens over personen wordt gewerkt, geldt dat zij zich eraan moeten houden. Dit wordt eens per jaar getest aan de hand van de ENSIA. Aan alle afdelingen die verantwoording moeten afleggen worden een aantal vragen gesteld over de beveiliging, zowel op fysiek als ICT-gebied. Zij zijn verplicht hierop eerlijk antwoord te geven en leveren dit weer in bij de ENSIA-coördinator. De gemeente huurt vervolgens een auditor in.

Deze auditor toetst of de ingevulde antwoorden wel echt waar zijn en in welke mate de gemeente dus daadwerkelijk voldoet aan de gestelde eisen op het gebied van informatiebeveiliging. Na het toetsen van de informatieveiligheid van de gemeente, stelt de auditor een rapport op. Dit is het rapport waar het allemaal om draait, de ENSIA-verklaring. Deze gaat namelijk naar het college van Burgemeester en Wethouders, waarmee zij vervolgens de verantwoording kunnen afleggen aan de gemeenteraad en zo kunnen aantonen of de informatiebeveiliging op orde is. Is dit voldoende, dan is het voor dit jaar afgerond en kan er eigelijk direct weer worden begonnen met het proces opnieuw opstarten voor het volgende jaar. Mocht het rapport uitwijzen dat er onvoldoende bescherming wordt geboden aan de informatie binnen de gemeente, moeten er verbeterplannen worden opgesteld en uitgevoerd.

Wat een proces, wat een werk. Wat zijn hier veel mensen mee gemoeid en elk jaar weer opnieuw. Ik heb mijn ogen uitgekeken en had nooit verwacht dat het zó ver en breed gaat. Dit alles gebeurt om een optimale beveiliging te bieden aan de gegevens van iedereen die in de gemeente woont. Je merkt er in het gewone leven waarschijnlijk niets van, maar achter de schermen is altijd een doorlopend proces gaande om jouw gegevens veilig te bewaren, verwerken en jouw privacy te waarborgen. Eén ding is me zeker duidelijk geworden: de veiligheid staat of valt door de mensen die met de gegevens moeten werken. Bewustwording over informatieveilig werken bij medewerkers is op dit vlak gigantisch belangrijk, omdat anders het grootste deel van de veiligheidsmaatregelen voor niets zijn geweest.

;