GHMKENTfí HKI.1 .BNIX)()RN Behand.:
3INK15284
IHIIIIIIHH
115 NOV 2013
/Mdm-rplN. reeks7vTvVr(r Brief aan de leden T.a.v. het c o l l e g e e n de r a a d
informatiecentrum tel.
uw kenmerk
(070) 373 8393
Vereniging van Nederlandse Gemeenten
bíjlage(n)
2
betreft
ons kenmerk
datum
Resolutie Informatieveiligheid,
BABVI/U201301281
31 oktober 2013
randvoorwaarde voor de
Lbr. 13/084
professionele gemeente
Samenvatting
Gemeenten zijn als professionele, meest nabije overheid verantwoordelijk voor het op orde hebben van hun informatieveiligheid. Deze verantwoordelijkheid strekt verder dan de eigen organisatie. Gemeenten hebben er als collectief belang bij dat de gehele gemeentelijke branche informatieveiligheid op orde heeft zoals past bij ons imago. Dit zullen en mogen burgers en bedrijven, maar ook de ketenpartners, van gemeenten verwachten. Tijdens de Buitengewone Algemene Ledenvergadering (BALV) op 29 november vraagt de V N G haar leden om in te stemmen met de bijgevoegde resolutie 'Informatieveiligheid, randvoorwaarde voor de professionele gemeente". De V N G heeft u in juni via een ledenbrief over deze resolutie geïnformeerd (kenmerk: BABVI/U201300696).
Vereniging van Nederlandse Gemeenten
A a n de leden
informatiecentrum tel.
uw kenmerk
bijlage(n)
ons kenmerk
datum
Resolutie Informatieveiligheid,
BABVI/U201301281
31 oktober 2013
randvoorwaarde voor de
Lbr. 13/084
(070) 373 8393 betreft
2
professionele gemeente Geacht college en gemeenteraad, Gemeenten zijn als professionele, meest nabije overheid verantwoordelijk voor het op orde hebben van hun informatieveiligheid. Dit zullen en mogen burgers, bedrijven en ketenpartners van gemeenten verwachten. Deze verantwoordelijkheid strekt uiteraard verder dan de eigen organisatie. Gemeenten hebben er als collectief immers belang bij dat alle gemeenten en alle (keten)partners informatieveiligheid op orde hebben. De V N G wil u met deze brief inlichten over de manier waarop gemeenten de verantwoordelijkheid voor informatieveiligheid verder gestalte kunnen geven. Resolutie ten b e h o e v e van Zelfregulering
Informatieveiligheid
Tijdens de Buitengewone Algemene Ledenvergadering (BALV) op 29 november staat de bijgevoegde resolutie "Informatieveiligheid, randvoorwaarde voor de professionele gemeente" geagendeerd. Deze resolutie bevat de gemeentelijke invulling van het begrip Verplichtende Zelfregulering op Informatieveiligheid. Hierover informeerde de V N G u in juni via een ledenbrief (kenmerk: BABVI/U201300696). Iedere overheidsorganisatie neemt verantwoordelijkheid voor de eigen informatieveiligheid. Dit hebben Rijk, V N G , IPO, Unie van Waterschappen en ZBO's afgesproken in het interbestuurlijke overleg: de Bestuurlijke Regie Groep e-Overheid (BRG), De minister van BZK, voorzitter van de B R G , heeft hierbij aangekondigd dat hij met wetgeving komt als de partijen hun verantwoordelijkheid niet nemen. Wetgeving kan nodig zijn, maar kan ook het doel voorbij schieten doordat het risico bestaat dat het eigen verantwoordelijkheidsbesef wordt weggenomen. Dan wordt onvoldoende de noodzaak gevoeld zélf maatregelen te nemen om te voorkomen dat gegevens beschadigd of misbruikt worden, met alle risico's op aansprakelijkheid en imagoschade van dien.
In samenwerking met gemeenten, KING, de Informatiebeveiligingsdienst voor gemeenten (IBD) en de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID), heeft de V N G de eigen verantwoordelijkheid voor informatieveiligheid voor het gemeentelijke domein uitgewerkt. Het eindresultaat is de resolutie "Informatieveiligheid, randvoorwaarde voor de professionele gemeente". De resolutie beschrijft puntsgewijs de eigen verantwoordelijkheid voor informatieveiligheid van gemeenten. In grote lijn beschrijft het dat iedere gemeente informatieveiligheidsbeleid vaststelt aan de hand van een basisnormenkader: de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Tevens dat de gemeente met dit beleid zorgt voor lokale verankering en transparantie voor (keten)partners. Gemeenten vragen met de resolutie onder andere terug van (keten)partners dat de auditlast voor gemeenten wordt teruggedrongen en dat de BIG als basisnormenkader voor gemeenten wordt erkend. In de eveneens toegevoegde toelichting op de resolutie worden de implicaties van elk punt uit de resolutie verder uitgediept. Het VNG-bestuur adviseert om tijdens de BALV van 29 november in te stemmen met de resolutie 'Informatieveiligheid, randvoorwaarde voor de professionele gemeente". Na instemming op de BALV biedt de V N G de resolutie in een bestuurlijk overleg aan de minister van BZK. De boodschap die de V N G hiermee afgeeft is dat gemeenten informatieveiligheid professioneel organiseren en bestuurlijk verankeren.
Hoogachtend, Vereniging van Nederlandse Gemeenten
A. Jorritsma-Lebbink, voorzitter V N G
Deze ledenbrief staat ook op www.vnq.nl onder brieven.
onderwerp Resolutie Informatieveiligheid, randvoorwaarde voorde professionele gemeente datum 31-10-2013 02/02
V e r e n i g i n g van Nederlandse G e m e e n t e n
ľć^ìdlvöu rwa&Ed!e vcmĩ de p ľorest. 6Q nele yemec-ii nl e Preambule G e m e e n t e n zijn v o o r steeds m e e r b e l e i d s t e r r e i n e n v e r a n t w o o r d e l i j k . Zij m a k e n daarbij g e b r u i k van de m o g e l i j k h e d e n v a n i n f o r m a t i e u i t w i s s e l i n g . D o o r i n f o r m a t i e te d e l e n e n processen te o p t i m a l i seren k u n n e n g e m e e n t e n o n d e r a n d e r e h u n d i e n s t v e r l e n i n g b e t e r o r g a n i s e r e n , de v e i l i g h e i d v a n burgers v e r b e t e r e n en m e e r m e n s e n a a n het w e r k k r i j g e n . O o k v o o r de d e c e n t r a l i s a t i e v a n t a k e n o p g e b i e d v a n w e r k , j e u g d z o r g en A W B Z z u l l e n g e m e e n t e n o n d e r l i n g e n m e t diverse k e t e n p a r t n e r s informatie uitwisselen.
Als p r o f e s s i o n e l e o r g a n i s a t i e past hierbij d a t g e m e e n t e n o o k de b e v e i l i g i n g v a n i n f o r m a t i e profes s i o n e e l o r g a n i s e r e n . I n f o r m a t i e m o e t immers b e s c h i k b a a r en b e t r o u w b a a r zijn e n m a g a l l e e n d o o r b e v o e g d e n zijn in t e z i e n . Bij d e u i t w i s s e l i n g m o e t e n g e m e e n t e n v o l d o e n d e r e k e n i n g h o u d e n m e t b e v e i l i g i n g s en p r i v a c y a s p e c t e n .
I n f o r m a t i e v e i l i g h e i d is veel m e e r d a n ICT, het g a a t in veel g e v a l l e n o m de mens in de o r g a n i s a t i e en d e m a n i e r w a a r o p d e z e m e t risico's o m g a a t . Is d e m e d e w e r k e r z i c h b e w u s t v a n die risico's? Zijn b e s t u u r d e r s zich b e w u s t v a n de risico's v a n en v o o r de o r g a n i s a t i e ?
In de k e r n raakt i n f o r m a t i e v o o r z i e n i n g e n v e i l i g h e i d de l e g i t i m a t i e v a n het w e r k v a n de g e m e e n t e lijke bestuurders. Het is n a m e l i j k niet a l l e e n e e n t e c h n i s c h e v r a a g m a a r o o k e e n p o l i t i e k e en bestuur lijke. Het raakt de b e d r i j f s v o e r i n g v a n de g e m e e n t e e n v r a a g t d a a r o m o m e e n bestuurlijke visie, focus e n d r a a g v l a k . O m i n f o r m a t i e v e i l i g h e i d te g a r a n d e r e n zal iedere g e m e e n t e l i j k e o r g a n i s a t i e d a a r o m actie m o e t e n o n d e r n e m e n . Z o w e l t e c h n i s c h als o r g a n i s a t o r i s c h .
G e m e e n t e n w i l l e n e e n k r a c h t i g g e l u i d a f g e v e n e n v e r k l a r e n d a t zij de v e r a n t w o o r d e l i j k h e i d v o o r i n f o r m a t i e v e i l i g h e i d (verder) o p zich n e m e n . Zij w i l l e n tevens e e n logisch e n n o o d z a k e l i j k v e r v o l g g e v e n a a n de s t a p p e n die d e N e d e r l a n d s e g e m e e n t e n al e e r d e r h e b b e n g e n o m e n zoals de o p r i c h t i n g v a n de I n f o r m a t i e b e v e i l i g i n g s d i e n s t v o o r g e m e e n t e n (IBD). D e z e IBD is, na v e r k r e g e n i n s t e m m i n g tijdens de B A L V v a n s e p t e m b e r 2012, sinds 1 j a n u a r i 2013 in o p d r a c h t v a n de V N G o p e r a t i o n e e l als o n d e r d e e l v a n KING e n h e e f t als k e r n t a a k g e m e e n t e n o p het g e b i e d v a n i n f o r m a t i e v e i l i g h e i d m e t een breed p a l e t t e ondersteunen.
G e m e e n t e n w i l l e n , m e t o o g v o o r ieders positie, v e r d e r i n v u l l i n g g e v e n a a n l o k a a l i n f o r m a t i e v e i l i g h e i d s b e l e i d e n d a t z o w e l bestuurlijk als a m b t e l i j k in de o r g a n i s a t i e b o r g e n . Dat vergt c o n t i n u e a l e r t h e i d en het l e r e n v a n e r v a r i n g e n . Daarbij w i l l e n zij t r a n s p a r a n t zijn over de staat v a n de infor m a t i e v e i l i g h e i d : in de eerste plaats h o r i z o n t a a l , m a a r o o k in de r i c h t i n g v a n de (keten)partners.
RESOLUTIE
De leden v a n d e V N G ín d e BALV bijeen o p 29 n o v e m b e r 2013 te U t r e c h t k o m e n o v e r e e n ,
C o n s t a t e r e n d e dat -
Gemeenten beseffen dat de risico's van informatieveiligheid manifest zijn.
-
Een professionele gemeente ook informatieveiligheid professioneel heeft ingericht.
Overwegende dat 1. Gemeenten verantwoordelijk zijn voor informatieveiligheid bij het vervullen van maatschappelijke taken richting burgers en bedrijven. 2. Gemeenten een verantwoordelijkheid hebben voor informatieveiligheid in hun rol als partner binnen (overheids) ketens. De rol - en daarmee de verantwoordelijkheid - van de gemeente, varieert van eigenaar, tot leverancier en/of afnemer van gegevens. 3. Gemeenten samenwerken op het gebied van informatieveiligheid.
instemmende dat 1. Informatieveiligheid onderdeel wordt van collegeambities 2014-2018 en o p g e n o m e n w o r d t in de portefeuille van een van de leden van het college van B&W. 2. Gemeenten zorgen voor verankering van informatieveiligheid op de gemeentelijke agenda, waarbij het college de gemeenteraad informeert. Dit gebeurt door middei van een aparte paragraaf informatieveiligheid in het jaarverslag. 3. Gemeenten de Baseline Informatiebeveiliging Gemeenten vaststellen als hét gemeentelijke basisnormenkader voor informatieve!! igheid. 4. Gemeenten informatieveiligheidsbeleid vaststellen aan de hand van de Baseline Informatiebeveiliging Gemeenten. Uitvoering van dat beleid w o r d t gebaseerd op eigenstandige risicoafwegingen. Gemeenten zijn zich daarbij bewust van de (continu veranderende) informatieveiligheidsrisico's die ze lopen en nemen hierop adequate maatregelen. 5. Gemeenten informatieveiligheid bestuurlijk en organisatorisch borgen door aansluiting in de reeds bestaande planning- en controkyclus. Gemeenten creëren hiernaast, door middel van leren en ontwikkelen, blijvend bewustzijn op informatieveiligheid. 6. Gemeenten de lokale invulling rondom het thema van informatieveiligheid transparant maken voor burgers, bedrijven en (keten)partners. Deze transparantie wordt ondermeer behaald door gebruik te maken van vvaarstaatjegerneente.nl. Deze openbare informatie vormt de basis voor jaarlijkse collegiale beoordeling (peer reviews). Daarnaast toetst een interbestuuriijke visitatiecommissie, tenminste eens in de vijf jaar, of het systeem van 'verplichtende zelfregulering' voldoende werkt.
OiE'acjísn l i s t b s s t u u r v s n d e V ^ G o p o m iiŝj he^ Rijk e ^ k s t s n o H r c n e r s f s b-swsrks^Síaśíísrj {Jst 1. De BIG als basisnormenkader voor het gemeentelijke domein w o r d t erkend. 2. De minister van BZK zorgt voor hergebruik van bestaande informatie en beperking van audit- en monitorlast. Hierbij is het principe van Single Information Single Audit het uitgangspunt. 3. Gemeenten voldoende tijd krijgen voor een gefaseerde en gedifferentieerde implementatie van informatieveiligheid die gebaseerd is op lokale afwegingen en financieringsmogelijkheden. 4. Helderheid komt over een voor gemeenten werkbare meldplicht bij datalekken. 5. Een externe adviserende (interbestuuriijke) visitatiecommissie wordt ingericht, gefinancierd door het Rijk. 6. Wet- en regelgeving zo beperkt mogelijk wordt gehouden.
Esi dragen de V N G verder op om 1. De doorontwikkeling van de BIG organisatorisch te borgen. 2. Samen met het Rijk, ketenpartners en KING te verkennen hoe leveranciers beter kunnen w o r d e n betrokken bij het borgen van informatieveiligheid. 3. Individuele gemeenten te blijven aansporen tot het instellen van een lokaal informatieveiligheidsbeleid.
VFRFMCJI:G V AN NEDERLAMDSL GFMFFWTEN
VNG Vereniging van Nederlandse Gemeenten
ľrÄ Ž V O ' O ITWnlčŵGXJta V O O t
ņ ix *íe-bL io GÌ[e, í | t r i l
dfe
e111e
Toelichting G e m e e n t e n zijn v o o r steeds meer b e l e i d s t e r r e i n e n v e r a n t w o o r d e l i j k . In vrijwel alie g e v a l l e n w o r d t daarbij g e b r u i k g e m a a k t v a n de m o g e l i j k h e d e n van i n f o r m a t i e - u i t w i s s e l i n g . D o o r i n f o r m a t i e te d e i e n en processen te o p t i m a l i s e r e n k u n n e n g e m e e n t e n o n d e r a n d e r e h u n d i e n s t v e r l e n i n g b e t e r o r g a n i s e ren, d e v e i l i g h e i d van burgers v e r b e t e r e n en meer m e n s e n a a n het w e r k krijgen. O o k v o o r de d e c e n t r a lisatie v a n t a k e n o p g e b i e d van w e r k , j e u g d z o r g en A W B Z z u l l e n g e m e e n t e n o n d e r l i n g e n m e t diverse k e t e n p a r t n e r s i n f o r m a t i e uitwisselen.
Als professionele o r g a n i s a t i e is het n o o d z a k e l i j k dat g e m e e n t e n o o k de b e v e i l i g i n g v a n i n f o r m a t i e p r o f e s s i o n e e l o r g a n i s e r e n . Informatie m o e t immers b e s c h i k b a a r en i n t e g e r (lees: b e t r o u w b a a r ) zijn e n m a g a l l e e n d o o r b e v o e g d e n zijn in te z i e n (vertrouwelijk). Bij de uitwisseling m o e t e n g e m e e n t e n v o l d o e n d e r e k e n i n g h o u d e n m e t beveiligings- en p r i v a c y a s p e c t e n .
I n f o r m a t i e v e i l i g h e i d is veel meer d a n ICT, het gaat in veel g e v a l l e n o m de mens in de o r g a n i s a t i e e n de m a n i e r w a a r o p d e z e m e t risico's o m g a a t . Is de m e d e w e r k e r zich b e w u s t v a n die risico's? Zijn bestuurders zich b e w u s t van de risico's v a n en v o o r de o r g a n i s a t i e ? W a t b e t e k e n t het b i j v o o r b e e l d als i n f o r m a tie niet b e s c h i k b a a r of b e t r o u w b a a r is, of in de v e r k e e r d e h a n d e n is g e k o m e n ?
In de kern raakt i n f o r m a t i e v o o r z i e n i n g en - v e i l i g h e i d d a a r m e e de l e g i t i m a t i e v a n het w e r k v a n de g e m e e n t e l i j k e bestuurders. Het is nameiijk niet aiieen e e n t e c h n i s c h e vraag maar o o k e e n b e s t u u r l i j k e . Het raakt d e bedrijfsvoering v a n de g e m e e n t e en vraagt d a a r o m o m een bestuurlijke visie, focus e n d r a a g v l a k . O m i n f o r m a t i e v e i l i g h e i d te g a r a n d e r e n m o e t iedere g e m e e n t e l i j k e o r g a n i s a t i e d a a r o m actie o n d e r n e m e n . Z o w e l technisch als o r g a n i s a t o r i s c h .
Los v a n het f e i t dat m e n i g g e m e e n t e al v e r g e v o r d e r d is in d e p r o f e s s i o n a l i s e r i n g van i n f o r m a t i e v e i l i g h e i d s b e l e i d w i l l e n g e m e e n t e n e e n krachtig g e l u i d a f g e v e n e n v e r k l a r e n dat zij de v e r a n t w o o r d e l i j k h e i d v o o r i n f o r m a t i e v e i l i g h e i d (verder) o p zich n e m e n . Dit d o e n ze met de resolutie "Inform a t i e v e i l i g h e i d , r a n d v o o r w a a r d e v o o r de p r o f e s s i o n e l e g e m e e n t e " . H i e r m e e n e m e n g e m e e n t e n v e r a n t w o o r d e l i j k h e i d v o o r het o p s t e l l e n , u i t v o e r e n e n h a n d h a v e n v a n de v o o r w a a r d e n v o o r i n f o r m a tieveiligheid.
M e t de resolutie g e v e n g e m e e n t e n e e n logisch e n n o o d z a k e l i j k v e r v o l g a a n d e s t a p p e n die ai e e r d e r zijn g e z e t , zoals de o p r i c h t i n g v a n de I n f o r m a t i e b e v e i l i g i n g s d i e n s t v o o r g e m e e n t e n (IBD). Tijdens de BALV v a n s e p t e m b e r 2012 is i n g e s t e m d met de o p r i c h t i n g v a n de IBD. Sinds 1 j a n u a r i 2013 is d e IBD in o p d r a c h t v a n de V N G o p e r a t i o n e e l als o n d e r d e e l v a n KING e n h e e f t als k e r n t a a k g e m e e n t e n o p het g e b i e d v a n i n f o r m a t i e v e i l i g h e i d met een b r e e d p a l e t t e o n d e r s t e u n e n .
In d e z e t o e l i c h t i n g w o r d e n a c h t e r e e n v o l g e n s de p u n t e n u i t g e w e r k t die in o v e r w e g i n g w o r d e n g e n o m e n . V e r v o l g e n s w o r d e n de p u n t e n beschreven w a a r g e m e e n t e n m e t d e z e resolutie m e e i n s t e m m e n . D a a r n a w o r d e n de p u n t e n u i t g e d i e p t die de g e m e e n t e n m i d d e l s de resolutie t e r u g v r a g e n v a n Rijk en k e t e n p a r t n e r s . Tot slot v o l g e n d e p u n t e n w a a r de leden de V N G t o e o p d r a g e n . Bij alle u i t w e r k i n g e n w o r d t eerst de o o r s p r o n k e l i j k e tekst zoals d e z e o o k in de resolutie staat b e s c h r e v e n , z o d a t de relatie tussen de resolutie en d e z e t o e l i c h t i n g helder is.
2
VERENIGING VAN NEDERLANDSE GEMEENTEN
Overwegende dat 1.
Gemeenten
verantwoordelijk
zijn voor informatieveiligheid
pelijke taken richting burgers en
bij het vervullen
van
maatschap-
bedrijven.
G e m e e n t e n b e s c h i k k e n o v e r uiterst g e v o e l i g e i n f o r m a t i e v a n burgers: g e g e v e n s o v e r o n d e r m e e r h u n i n k o m e n , h u n relaties, h u n sociale positie, e n h u n g e z o n d h e i d s t o e s t a n d . De g e m e e n t e h e e f t d e w e t t e l i j k e e n m o r e l e plicht o m d a a r uiterst z o r g v u l d i g m e e o m te g a a n . Burgers en bedrijven v e r w a c h t e n d i t e n m o e t e n h i e r o p k u n n e n v e r t r o u w e n . D e z e v e r a n t w o o r d e l i j k h e i d k a n niet w o r d e n o v e r g e h e v e l d n a a r b i j v o o r b e e l d s o f t w a r e l e v e r a n c i e r s of k e t e n p a r t n e r s . D o o r m i d d e l v a n d e z e resolutie b e k r a c h t i g e n de gemeenten deze verantwoordelijkheid.
G e m e e n t e n m a k e n d e e l uit v a n V e i l i g h e i d s r e g i o ' s , R e g i o n a l e U i t v o e r i n g s d i e n s t e n (RUD's), G e m e e n t e lijke of G e m e e n s c h a p p e l i j k e G e z o n d h e i d s d i e n s t e n (GGD's), m a a r o o k S h a r e d Service O r g a n i s a t i e s . O o k deze organisaties kunnen beschikking h e b b e n over gevoelige informatie. G e m e e n t e n hebben daarom naast e e n l o k a l e v e r a n t w o o r d e l i j k h e i d e e n rol o p ( b o v e n ) r e g i o n a a l vlak.
G e m e e n t e n h e b b e n i n d i v i d u e e l e n als c o l l e c t i e f e e n v e r a n t w o o r d e l i j k h e i d o m de i n f o r m a t i e ( s t r o m e n ) o p d e juiste m a n i e r t e b e v e i l i g e n . Het is hierbij v a n b e l a n g d a t b i n n e n d i t v e r b a n d d u i d e l i j k is w i e v e r a n t w o o r d e l i j k is v o o r i n f o r m a t i e v e i l i g h e i d e n w e l k e eisen d e g e z a m e n l i j k e g e m e e n t e n a a n het v e r l e n g d e l o k a a l b e s t u u r stelt. B i j v o o r b e e l d d o o r het o n d e r d e e l te laten zijn v a n c o n t r a c t a f s p r a k e n of d o o r het beschrijven v a n de eisen in e e n g e m e e n s c h a p p e l i j k e r e g e l i n g .
2.
Gemeenten
een
verantwoordelijkheid
binnen (overheids)ketens. varieert
van eigenaar,
hebben
De rol - en daarmee
tot leverancier
voor informatieveiligheid de verantwoordelijkheid
en/of afnemer
van
in hun rol als - van de
partner
gemeente,
gegevens.
G e m e e n t e n m a k e n o n d e r d e e l uit v a n e e n v e e l h e i d a a n ketens. V o o r b e e l d e n hiervan zijn de G B A - k e t e n , de S U W I - k e t e n of de k e t e n bij het O m g e v i n g s l o k e t . De rol v a n de g e m e e n t e is per k e t e n p r o c e s verschill e n d . In alle g e v a l l e n h e e f t de g e m e e n t e e c h t e r m i n i m a a l e e n m e d e v e r a n t w o o r d e l i j k h e i d v o o r inform a t i e b e v e i l i g i n g , e n in veel processen - processen w a a r o v e r g e m e e n t e n de regie v o e r e n , of w a a r v o o r zij o p d r a c h t g e v e r zijn - zelfs e e n a l g e h e l e v e r a n t w o o r d e l i j k h e i d .
G e m e e n t e n n e m e n h u n v e r a n t w o o r d e l i j k h e i d o p het g e b i e d v a n i n f o r m a t i e v e i l i g h e i d in de ketens, zodat ketenpartners op gemeenten kunnen vertrouwen. Gemeenten verwachten dezelfde houding t e r u g v a n h u n k e t e n p a r t n e r s . Per k e t e n m o e t e n d a a r o m a f s p r a k e n g e m a a k t w o r d e n over a s p e c t e n als g o v e r n a n c e , risico's b i n n e n de k e t e n en w e d e r z i j d s e t r a n s p a r a n t i e .
De v e r a n t w o o r d e l i j k h e i d die partners in ketens h e b b e n , bestaat uit het s i g n a l e r e n v a n en w i j z e n o p mogelijk noodzakelijke verbeteringen van de informatieveiligheid. O o k waar gemeenten geen formele z e g g e n s c h a p o v e r e e n k e t e n h e b b e n k o m e n zij in het a l g e m e n e b e l a n g v a n burgers e n bedrijven op voor het belang van informatieveiligheid. V a n g e m e e n t e n m a g e c h t e r niet w o r d e n v e r w a c h t dat zij de v e r a n t w o o r d e l i j k h e i d v o o r i n f o r m a t i e v e i l i g h e i d v a n k e t e n p a r t n e r s o v e r n e m e n . E v e n m i n k u n n e n g e m e e n t e n de v e r a n t w o o r d e l i j k h e i d v o o r de e i g e n i n f o r m a t i e v e i l i g h e i d n a a r k e t e n p a r t n e r s of b i j v o o r b e e l d s o f t w a r e l e v e r a n c i e r s o v e r h e v e l e n .
3.
Gemeenten
samenwerken
op het gebied van in forma tie vei Ugh eid.
G e m e e n t e n h e b b e n elk e e n actieve rol in d e s t e l s e l v e r a n t w o o r d e l i j k h e i d v o o r i n f o r m a t i e b e v e i l i g i n g e n k u n n e n als c o l l e c t i e f i n f o r m a t i e v e i l i g h e i d n a a r e e n h o g e r p l a n t i l l e n . Het is v o o r iedere g e m e e n t e v a n b e l a n g d a t alle g e m e e n t e n e e n b e t r o u w b a r e p a r t n e r z i j n .
VERENIGING VAN NEDERLANDSE GEMEENTEN
3
D o o r m i d d e l van t r a n s p a r a n t i e k u n n e n g e m e e n t e n van e l k a a r leren via best practices e n k r u i s b e s t u i v i n g . O n d e r a n d e r e peer reviews in de verschillende regio's faciiiteren d e z e b e n o d i g d e s a m e n w e r k i n g .
V e r d e r k u n n e n g o e d e v o o r b e e l d e n g e d e e l d w o r d e n via landelijke platforms, w a a r o n d e r de IBD. G e m e e n t e n h e b b e n in dit kader niet alleen de v e r a n t w o o r d e l i j k h e i d o m h u n interne processen af te s t e m m e n o p de d i e n s t v e r l e n i n g van de IBD, m a a r o o k o m i n f o r m a t i e b e v e i i i g i n g s i n c i d e n t e n te m e l d e n bij de IBD. Daarnaast sluiten g e m e e n t e n o r g a n i s a t o r i s c h a a n bij de IBD. H i e r m e e w o r d t de g e m e e n t e snel g e ï n f o r m e e r d e n g e a d v i s e e r d bij e v e n t u e l e acute e n / o f kritische v e i l i g h e i d s i n c i d e n t e n in e e n v a n de g e m e e n t e l i j k e systemen.
Naast het o p o r d e b r e n g e n van de interne o r g a n i s a t i e is d a a r o m o o k g o e d e regie op s o f t w a r e l e v e r a n ciers n o o d z a k e l i j k v o o r v e r a n k e r i n g van i n f o r m a t i e b e v e i l i g i n g . G e m e e n t e n z u l l e n als o p d r a c h t g e v e r s de k r a c h t e n bij de a a n s t u r i n g van s o f t w a r e - of hostingleveranciers en (externe) b e h e e r o r g a n i s a t i e s hiervoor zoveel mogelijk bundelen.
BI
4
VERENIGING VAN NEDERLANDSE GEMEENTEN
Gemeenten stemmen er mee in dat 1.
Informatieveiligheid portefeuille
onderdeel
wordt
van collegeambities
2014-2018
en opgenomen
wordt in de
van een van de leden van het college van B&W.
I n f o r m a t i e is, evenals f i n a n c i ë n e n p e r s o n e e l , e e n essentieel b e d r i j f s m i d d e l . Burgers en (keten)partners m o g e n v a n d e g e m e e n t e , als p r o f e s s i o n e l e o r g a n i s a t i e , v e r w a c h t e n d a t zij
uiterst z o r g v u l d i g
m e t i n f o r m a t i e o m g a a t , de g e g e v e n s m o e t e n g o e d b e s c h e r m d w o r d e n . G e b e u r t dit o n v o l d o e n d e d a n bestaat het risico o p het verlies v a n p u b l i e k v e r t r o u w e n , a a n t a s t i n g v a n privacy, f r a u d e , v e r m i n d e r i n g v a n p r o d u c t i v i t e i t v a n de o r g a n i s a t i e , o n v o o r z i e n e k o s t e n , verlies v a n i n k o m s t e n e n / o f i m a g o s c h a d e . De g e v o l g e n h i e r v a n k u n n e n v a n d e r g e l i j k e o m v a n g zijn dat d e z e bestuurlijke a a n d a c h t vereisen. Het v e r t r o u w e n v a n burgers in de o v e r h e i d is i m m e r s in h e t g e d i n g .
S t u r i n g o p i n f o r m a t i e v e i l i g h e i d v a n u i t b e s t u u r e n t o p m a n a g e m e n t is d a a r o m o n l o s m a k e l i j k v e r b o n d e n m e t d e o r g a n i s a t i e s t u r i n g . H e t b e s t u u r stelt de g e m e e n t e l i j k e o r g a n i s a t i e in staat o m a a n i n f o r m a t i e v e i l i g h e i d te w e r k e n . L o k a a l wijst het c o l l e g e v a n B & W v e r a n t w o o r d e l i j k h e i d e e n lid a a n d a t verantw o o r d e l i j k is v o o r i n f o r m a t i e v e i l i g h e i d .
D e z e v e r a n t w o o r d e l i j k h e i d m o e t o o k o p d e juiste plaats w o r d e n b e l e g d in de o r g a n i s a t i e . H i e r v o o r zal de g e m e e n t e r a a d het g e m e e n t e l i j k e m a n d a a t b e s l u i t a a n m o e t e n passen w a a r m e e in eerste plaats de g e m e e n t e s e c r e t a r i s w o r d t b e n o e m d als a m b t e l i j k v e r a n t w o o r d e l i j k e v o o r i n f o r m a t i e v e i l i g h e i d . Dit alles leidt t o t d u u r z a m e bestuurlijke en o r g a n i s a t o r i s c h e v e r a n k e r i n g v a n d e v e r a n t w o o r d e l i j k h e i d v o o r informatieveiligheid.
2.
Gemeenten waarbij
zorgen
voor verankering
het college de gemeenteraad
graaf informatieveiligheid
in het
van informatieveiligheid in formeert.
Dit gebeurt
op de gemeentelijke
agenda,
door middel van een aparte
para-
jaarverslag.
I n f o r m a t i e v e i l i g h e i d v e r d i e n t c o n t i n u e a a n d a c h t . D e a f g e l o p e n j a r e n zijn g e k e n m e r k t d o o r diverse inc i d e n t e n zoals D i g i n o t a r , Lektober, D o r i f e l / C i t a d e l e n P o b e l k a , m a a r o o k d o o r het o n b e d o e l d o p e n b a a r w o r d e n v a n v e r t r o u w e l i j k e i n f o r m a t i e d o o r m e d e w e r k e r s / a m b t e n a r e n . O o k in de t o e k o m s t m o e t e n g e m e e n t e n w a a k z a a m blijven v o o r e v e n t u e l e n i e u w e b e d r e i g i n g e n . H i e r v o o r is het v a n b e l a n g dat processen a d e q u a a t w o r d e n i n g e r i c h t o m i n f o r m a t i e v e i l i g h e i d te b o r g e n . B o v e n d i e n m o e t het bewustzijn v a n i n f o r m a t i e v e i l i g h e i d v a n g e m e e n t e l i j k e m e d e w e r k e r s o p alle niveaus w o r d e n v e r g r o o t .
M i d d e l s e e n a p a r t e p a r a g r a a f in h e t j a a r v e r s l a g i n f o r m e e r t het c o l l e g e v a n B & W de g e m e e n t e r a a d over i n f o r m a t i e v e i l i g h e i d en de d a t jaar o n d e r n o m e n acties.
3.
Gemeenten
de Baseline Informatiebeveiliging
sisnormenkader
voor
Gemeenten
vaststellen
als hét gemeentelijke
ba-
informatieveiligheid.
G e m e e n t e n z i j n , net als alle a n d e r e o r g a n i s a t i e s , k w e t s b a a r als het g a a t o m (digitale) d i e n s t v e r l e n i n g . De IBD h e e f t in o p d r a c h t v a n d e V N G de Baseline I n f o r m a t i e b e v e i l i g i n g G e m e e n t e n (BIG) o n t w i k k e l d . De BIG is e e n p r a k t i s c h e h a n d r e i k i n g w a a r i n e e n v e r t a l i n g naar d e g e m e e n t e l i j k e o r g a n i s a t i e is gem a a k t v a n g e l d e n d e ISO n o r m e n - d o o r het C o l l e g e S t a n d a a r d i s a t i e v a s t g e s t e l d als ' p a s t - t o e - o f - l e g - u i ť n o r m e n v o o r de g e h e l e o v e r h e i d en b e s t a a n d e w e t en r e g e l g e v i n g .
G e m e e n t e n h e b b e n m e t de BIG e e n i n s t r u m e n t in h a n d e n w a a r m e e zij in staat zijn o m te m e t e n of de organisatie minimaal voldoet aan n o r m e n en wettelijke voorschriften op gebied van informatieveilig h e i d . G e m e e n t e n k u n n e n de BIG e n o n d e r l i g g e n d e p r o d u c t e n v e r d e r g e b r u i k e n o m de basis o p o r d e te brengen.
VERENIGING VAN NEDERL ANDSE GEMEENTEN
5
4.
Gemeenten
informatieveiligheidsbeleid
beveiliging
Gemeenten.
wegingen.
Gemeenten
Uitvoering
zijn zich daarbij
heidsrisico's die z e lopen en nemen
s va st tellen
van dat beleid bewus t
hierop
aan de hand van de Bas eline wordt
gebas eerd
Informatie
op eigens tandige
van de (continu veranderende)
adequate
risicoafinforrnatieveilig
maatregelen.
A a n de h a n d van de BIG stelt iedere g e m e e n t e i n f o r m a t i e v e i l i g h e i d s b e l e i d vast. Het c o l l e g e v a n B & W m a a k t h i e r v o o r e e n inschatting v a n de risico's die de g e m e e n t e l o o p t . De g e m e e n t e c o n t r o l e e r t of al w o r d t v o l d a a n a a n de BIG met b e h u l p v a n e e n n u l m e t i n g . Het resultaat v a n d e z e analyse g e e f t het verschil w e e r tussen het b e s t a a n d e e n het g e w e n s t e n i v e a u van de g e m e e n t e l i j k e i n f o r m a t i e v e i l i g h e i d . Dit is d e i n p u t v o o r de v e r v o l g s t a p ; het m a k e n v a n e e n realistische p l a n n i n g . H i e r v o o r baseert het c o l lege van B & W zich op de a l g e m e n e (financiële) u i t g a n g s p u n t e n die d e g e m e e n t e r a a d stelt.
Een realistische p l a n n i n g is belangrijk o m b e w e g i n g te krijgen e n te h o u d e n , m a a r o o k o m de juiste m e n s e n en de juiste m i d d e l e n o p de juiste tijd te k u n n e n i n z e t t e n . Deze p l a n n i n g w o r d t g e m a a k t o p basis v a n w a t de risico's zijn bij het o n t b r e k e n van de m a a t r e g e l en w e l k e k o s t e n er a a n de i n v o e r i n g v e r b o n d e n zijn. Het g e m e e n t e b e s t u u r g e e f t richting d o o r te k i e z e n v o o r e e n t o p X v a n m a a t r e g e l e n en zal d e z e als eerste i m p l e m e n t e r e n .
Een v o o r b e e l d van e e n m a a t r e g e l is het b e l e g g e n v a n de f u n c t i e r o l C h i e f I n f o r m a t i o n Security O f f i cer (CISO) b i n n e n de g e m e e n t e . Deze t r e e d t o p als adviseur v a n de p o r t e f e u i l l e h o u d e r en d e z e h e e f t c e n t r a a l regie over het uit te v o e r e n b e l e i d e n m o e t d a a r o m e e n o n a f h a n k e l i j k e taak k r i j g e n b i n n e n de gemeente.
5.
Gemeenten
informatieveiligheid
reeds bes taande
planning
leren en ontwikkelen,
s be tuurlijk
en conirolcycíus.
blijvend
bewustzijn
en organisatorisch Gemeenten op
creëren
borgen door aansluiting hiernaas t,
in de
door middel
van
informatieveiligheid.
Het b e r e i k e n v a n v o l w a s s e n h e i d o p i n f o r m a t i e v e i l i g h e i d is e e n g e l e i d e l i j k proces w a a r b i j de lat steeds een stukje h o g e r k o m t te l i g g e n . H i e r v o o r is d e Ometing v a n de i n f o r m a t i e v e i l i g h e i d in g e m e e n t e n de startsituatie w a a r v a n u i t g e w e r k t w o r d t . I n f o r m a t i e v e i l i g h e i d w o r d t o r g a n i s a t o r i s c h g e b o r g d in de r e g u l i e r e p l a n n i n g en controlcyclus.
Specifiek w o r d t i n g e z e t o p leren, s t i m u l e r e n en k e n n i s d e l e n . G e m e e n t e n z o r g e n v o o r b e w u s t z i j n , vol d o e n d e kennis e n v a a r d i g h e d e n bij alle m e d e w e r k e r s in de o r g a n i s a t i e d o o r p e r i o d i e k o p het g e b i e d van i n f o r m a t i e v e i l i g h e i d te t r a i n e n via w o r k s h o p s , o e f e n i n g e n en b e w u s t w o r d i n g s c a m p a g n e s .
6.
Gemeenten voor burgers , gebruik
de lokale bedrijven
invulling
rondom
het thema
en (keten)partners .
te maken van waaľs taaíjegemeeníe.nl.
jaarlijkse
collegiale
tiecommissie, voldoende
beoordeling
tenmin s te
een s
Deze openbare
(peer reviews ). in de vijfjaar,
van informatieveiligheid
D e z e trans parantie
Daarnaa s t
of het s ys teem
toet s t
tran s parant
maken
wordt ondermeer
behaald
door
informatie
de bas is
voor
vormt
een interbes tuuriijke
van 'verplichtende
s vi ita
zelfregulering'
werkt.
G e m e e n t e n h e b b e n de v e r a n t w o o r d e l i j k h e i d o m t r a n s p a r a n t e n a a n s p r e e k b a a r te zijn n a a r burgers bedrijven en (keten)partners. De t r a n s p a r a n t i e in het k a d e r v a n z e l f r e g u l e r i n g i n f o r m a t i e v e i l i g h e i d w o r d t v e r k r e g e n in o n d e r s t a a n d e drie s t a p p e n die g e p a a r d g a a n m e t het g r o e i p a d dat g e m e e n t e n d o o r l o p e n op g e b i e d v a n i n f o r m a t i e v e i l i g h e i d .
Ten eerste n e m e n g e m e e n t e n h u n e i g e n v e r a n t w o o r d e l i j k h e i d d o o r t r a n s p a r a n t i e v a n c o l l e g e v a n B & W naar g e m e e n t e r a a d . De t r a n s p a r a n t i e richting de g e m e e n t e r a a d krijgt v o r m middels e e n a p a r t e p a r a g r a a f in het jaarverslag. De t r a n s p a r a n t i e die via het jaarverslag g e g e v e n w o r d t , b i e d t o o k inzicht a a n burgers en bedrijven.
6
VERENIGING VAN NEDERL ANDSE GFMEENTEN
Ten t w e e d e b e t r a c h t e n g e m e e n t e n t r a n s p a r a n t i e in de staat v a n de i n f o r m a t i e v e i l i g h e i d richting ke t e n p a r t n e r s en Rijk. De w e b s i t e v a n w a a r s t a a t j e g e m e e n t e . n l is h i e r v o o r het i n s t r u m e n t bij uitstek. De v o l g e n d e v r a g e n g e v e n e e n indicatie v a n w a t o p w a a r s t a a t j e g e m e e n t e . n l k a n w o r d e n g e p u b l i c e e r d : 1. H e e f t de g e m e e n t e i n f o r m a t i e v e i l i g h e i d s b e l e i d vastgesteld? 2. Is het i n f o r m a t i e v e i l i g h e i d s b e l e i d v a n d e g e m e e n t e g e b a s e e r d op d e Baseline I n f o r m a t i e b e v e i l i g i n g Gemeenten? 3. H e e f t de g e m e e n t e e e n t o p X m a a t r e g e l e n die z u l l e n w o r d e n g e ï m p l e m e n t e e r d b e n o e m d ?
Hierbij w o r d t a a n g e s l o t e n o p het a b s t r a c t i e n i v e a u dat o o k w o r d t g e b r u i k t v o o r r a p p o r t a g e richting de g e m e e n t e r a a d . In 2014 w o r d e n d e z e v r a g e n s a m e n m e t g e m e e n t e n n a d e r u i t g e w e r k t . O p basis v a n d e z e i n f o r m a t i e w e r k e n g e m e e n t e n m e t jaarlijkse peer reviews. H i e r m e e h e l p e n g e m e e n t e n e l k a a r verder door middel van collegiale toetsing.
Als laatste stap z i e n g e m e e n t e n e e n in te richten o n a f h a n k e l i j k e interbestuuriijke visitatiecommissie. D e z e c o m m i s s i e zal g e m e e n t e n o p bestuurlijk n i v e a u adviseren over i n f o r m a t i e v e i l i g h e i d . De visitatie commissie is h i e r m e e g e e n klassieke t o e z i c h t h o u d e r , m a a r v o o r a l e e n bestuurlijk ' l e e r i n s t r u m e n ť . De commissie k a n zich bij de selectie v a n g e m e e n t e n baseren o p d e b e s c h i k b a r e m o n i t o r i n f o r m a t i e van w a a r s t a a t j e g e m e e n t e . n l , m a a r b e z o e k t i e d e r e g e m e e n t e minstens één keer per 5 jaar. De visitatiecom missie zal zijn r e s u l t a t e n o v e r d e w e r k i n g v a n het systeem v a n v e r p l i c h t e n d e z e l f r e g u l e r i n g r a p p o r t e ren a a n e e n , n o g in te s t e l l e n , h o o g a m b t e l i j k e i n t e r b e s t u u r i i j k e s t u u r g r o e p / a d v i e s r a a d .
VERENIGING VAN NEDERL ANDSE GEMEENTEN
7
met inst emmen op ct e resolut ie dragen oe leaen van de VNG het best uur van de VNG op om bij het
Rijk en
ketenpartners het volgende t e bewerkst elligen: 1.
De BIG ais basisnormenkader
voor hei gemeentelijke
domein
wordt
erkend.
De BIG w o r d t middels d e z e resolutie d o o r de g e m e e n t e n b e n o e m d als het g e l d e n d e n o r m e n k a d e r v o o r alle g e m e e n t e n . G e m e e n t e n v e r w a c h t e n hierbij dat de (bestuurlijke) (keten)partners, e n e v e n t u e e l het C o l l e g e Standaardisatie, de BIG eveneens e r k e n n e n als n o r m e n k a d e r v o o r het g e m e e n t e l i j k d o m e i n . Dit h o u d t in dat het Rijk volgens het 'pas t o e of leg uit' p r i n c i p e naar de BIG verwijst w a n n e e r infor m a t i e v e i l i g h e i d bij g e m e e n t e n in het spel is. Bij n i e u w e w e t e n r e g e l g e v i n g die e e n relatie h e e f t m e t de i n f o r m a t i e v e i l i g h e i d bij g e m e e n t e n zal het Rijk u i t l e g m o e t e n g e v e n w a n n e e r er meer, of a n d e r e n o r m e n g e b r u i k t w o r d e n d a n o p g e n o m e n in de BIG.
G e m e e n t e n m o e t e n e r o p k u n n e n v e r t r o u w e n dat de partners dit u i t g a n g s p u n t (blijven) h a n t e r e n . D e V N G w o r d t h i e r v o o r d o o r de B A L V g e v r a a g d o m d e z e interbestuuriijke e r k e n n i n g te b o r g e n d o o r d i t ter i n s t e m m i n g in te b r e n g e n in het bestuurlijk o v e r l e g m e t minister Plasterk v a n B Z K . Zoals nu al gebruikelijk, w o r d t bij n i e u w e w e t en r e g e l g e v i n g e e n bestuurlijke e n e e n i n f o r m a t i e k u n d i g e u i t v o e r i n g s t o e t s g e d a a n . A l s vast o n d e r d e e l v a n de i n f o r m a t i e k u n d i g e u i t v o e r i n g s t o e t s zal d a a r o m in het v e r v o l g m o e t e n w o r d e n getoetst o p het h a n t e r e n v a n het 'pas t o e of leg uit p r i n c i p e ' in reiatie t o t de BIG.
ľũoniîorlast.
Hierbij
is het prí ncipe
van Single Information
Single A^udri het
uitgangspunt.
De auditlast v o o r g e m e e n t e n is h o o g , d e n k b i j v o o r b e e l d a a n de o p g e l e g d e a u d i t v e r p l i c h t i n g e n v o o r SUWI, het G B A , de B A G e n het g e b r u i k van D i g i D . D e z e last d r u k t zich uit in e e n a a n z i e n l i j k e p e r s o n e l e i n s p a n n i n g e n financiële druk per a u d i t . In de praktijk blijkt d a a r n a a s t dat er e e n o v e r l a p bestaat tus sen d e z e verschillende a u d i t v e r p l i c h t i n g e n .
G e m e e n t e n m a k e n , v a n u i t cle e i g e n v e r a n t w o o r d e l i j k h e i d , w e r k van i n f o r m a t i e v e i l i g h e i d zoals g e schetst In d e z e resolutie. W i l l e n g e m e e n t e n z o w e l o r g a n i s a t o r i s c h als f i n a n c i e e l in staat zijn/blijven o m i n f o r m a t i e v e i l i g h e i d a d e q u a a t te adresseren, d a n m o e t de a u d i t v e r p ì i c h t i n g v o o r g e m e e n t e n w o r d e n v e r l a a g d . Dit past in het kader v a n z e l f r e g u l e r i n g o p i n f o r m a t i e v e i l i g h e i d d a t u i t g a a t v a n h o r i z o n t a a i t o e z i c h t en h o r i z o n t a l e s t u r i n g .
ţĵopŗļooŗļţQn v/ŗgçjgn
d a a r o m regie op rijksniveau o m te w e r k e n a a n b e p e r k i n g v a n de audit en monî
t o r i n g l a s t , en m o g e l i j k o p t e r m i j n a f s c h a f f e n v a n audits. Een e e n d u i d i g e r e g i e o r g a n i s a t i e , bij v o o r k e u r het ministerie v a n BZK met de minister als v e r a n t w o o r d e l i j k e , die expliciet v e r a n t w o o r d e l i j k h e i d n e e m t v o o r het b e p e r k e n v a n de audit e n m o n i t o r i n g l a s t is van essentieel b e l a n g o m hier resultaten te h a l e n . Hiernaast m o e t e n d u i d e l i j k e a f s p r a k e n k o m e n over de verschillende v e r a n t w o o r d e l i j k h e d e n v a n cen trale v o o r z i e n i n g e n zoals L ogius en NCSC in relatie t o t g e m e e n t e n . Dit vereist d e p a r t e m e n t a l e c o ö r d i natie w a a r v o o r het ministerie v a n BZK de meest a a n g e w e z e n partij is.
G e m e e n t e n v r a g e n hierbij g e b r u i k te m a k e n van h e t g e e n al b e s c h i k b a a r is en v e r w i j z e n (keten)part ners naar w a a r s t a a t j e g e m e e n t e . n l . Informatie die h i e r o p w o r d t g e d e e l d is o p e n b a a r en g e a c c o r d e e r d d o o r de l o k a l e v o l k s v e r t e g e n w o o r d i g i n g en d i e n t d e r h a l v e v o l d o e n d e inzicht te g e v e n a a n (keten) partners.
8
VERENIGING VAN NEDERL ANDSE GEMEENTEN
3.
Gemeenten
voldoende
in forma tie veiligheid
tijd krijgen voor een gefaseerde
die gebaseerd
en gedifferentieerde
is op lokale afwegingen
en
implementatie
van
financieringsmogelijkheden.
W a a r de ene gemeente informatieveiligheid professioneel heeft georganiseerd, kan de andere zich hier n o g o p o n t w i k k e l e n . Het v e r g t tijd o m i n f o r m a t i e v e i l i g h e i d bij alle g e m e e n t e n o p e e n z e l f d e n i v e a u te b r e n g e n .
G e m e e n t e n b e s e f f e n zich t e r d e g e dat het v o l l e d i g i m p l e m e n t e r e n v a n alle m o g e l i j k e m a a t r e g e l e n g e e n sinecure is. De c o m p l e x i t e i t e n o m v a n g v a n i n f o r m a t i e v e i l i g h e i d leent zich d e r h a l v e v o o r e e n g e f a s e e r d e i m p l e m e n t a t i e . G e m e e n t e n h e b b e n , k o r t o m , tijd n o d i g v o o r e e n realistische i m p l e m e n t a t i e . Burgers, b e d r i j v e n e n (keten)partners m o g e n t e g e l i j k o o k v a n g e m e e n t e n v e r w a c h t e n dat e v e n t u e e l b e s t a a n d e risico's z o s p o e d i g m o g e l i j k m o e t e n w o r d e n g e m i t i g e e r d .
O m d a t d e e n e g e m e e n t e de a n d e r e niet is, z e t t e n g e m e e n t e n in o p een l o k a l e i m p l e m e n t a t i e v a n de n o r m e n . L o k a a l v o e r t d e g e m e e n t e h i e r v o o r e e n n u l m e t i n g uit, w a a r n a o p basis v a n (bestuurlijke) r i s i c o - a f w e g i n g e n e n d o o r de g e m e e n t e r a a d g e s t e l d e (financiële) kaders s p e e r p u n t e n w o r d e n ben o e m d en aangepakt.
V N G e n IBD (KING) a d v i s e r e n g e m e e n t e n hierbij o m in ieder geval w e r k te m a k e n van de processen r o n d o m de G B A en d e BGT. O o k in het k a d e r v a n de d r i e decentralisaties zal de g e m e e n t e verantw o o r d e l i j k h e i d m o e t e n n e m e n o p i n f o r m a t i e v e i l i g h e i d . Daarnaast adviseert de V N G g e m e e n t e n o m o r g a n i s a t o r i s c h e a a n s l u i t i n g te realiseren bij de IBD. H i e r m e e w o r d t de g e m e e n t e snel g e ï n f o r m e e r d e n g e a d v i s e e r d bij e v e n t u e l e acute e n / o f kritische v e i l i g h e i d s l e k k e n in e e n v a n de g e m e e n t e l i j k e s y s t e m e n .
4.
Helderheid
komt over een voor gemeenten
werkbare
meldplicht
bij
datalekken.
Het Rijk b e r e i d t w e t g e v i n g v o o r o m t r e n t h e t m e l d e n v a n d a t a l e k k e n en t e c h n i s c h e i n c i d e n t e n . D e z e w e t g e v i n g h e e f t i m p a c t o p g e m e e n t e n . Het m o e t v o o r g e m e e n t e n duidelijk zijn of, en o n d e r w e l k e v o o r w a a r d e n , h i e r o v e r g e m e l d m o e t e n w o r d e n . O o k m o e t d u i d e l i j k zijn bij w e l k e instanties g e m e l d k a n w o r d e n . Hierbij m o e t u i t g e z o c h t w o r d e n of e n w e l k e rol de IBD k a n i n n e m e n bij de c o ö r d i n a t i e v a n v e r p l i c h t e m e l d i n g e n e n o p w e l k e m a n i e r d e z e rol m o e t w o r d e n g e f i n a n c i e e r d .
5.
Een externe
adviserende
(interbestuuriijke)
visitatiecommissie,
gefinancierd
door het Rijk.
G e m e e n t e n stellen v o o r g e b r u i k te m a k e n v a n de o p g e d a n e kennis en m e t h o d i e k v a n z e l f l e r e n , z e l f r e g u l e r e n , m o n i t o r e n e n t o e z i c h t bij dossier r i o l e r i n g e n w a t e r z u i v e r i n g . G e m e e n t e n , w a t e r s c h a p p e n , provincies e n Rijk h e b b e n o p dit dossier g o e d e e r v a r i n g e n o p g e d a a n m e t e e n o m v a n g r i j k e e n c o m p l e x e i m p l e m e n t a t i e v a n z e l f r e g u l e r i n g , m o n i t o r i n g e n v e r a n t w o o r d i n g . Uit d e z e e r v a r i n g e n blijkt dat een gefaseerde implementatie van regulering door middel van een interventieladder een g o e d e m e t h o d e is v o o r het v e r h o g e n v a n k w a l i t e i t .
G e m e e n t e n r o e p e n d e i n t e r b e s t u u r i i j k e p a r t n e r s o p o m in g e z a m e n l i j k h e i d d e z e systematiek v o o r zelfr e g u l e r i n g t o e te passen v o o r i n f o r m a t i e v e i l i g h e i d .
B e l a n g r i j k o n d e r d e e l v a n d e z e systematiek is e e n o n a f h a n k e l i j k e , bij voorkeur, i n t e r b e s t u u r i i j k e visitat i e c o m m i s s i e die e e n a d v i s e r e n d e rol r i c h t i n g g e m e e n t e n i n n e e m t . Deze visitatiecommissie krijgt het d o e l o m het leren bij g e m e e n t e n te s t i m u l e r e n . H i e r n a a s t k a n de visitatiecommissie t o e t s e n in h o e v e r r e het systeem v a n z e l f r e g u l e r i n g w e r k t . V o o r dit t w e e d e d o e l z a l de visitatiecommissie r a p p o r t e r e n (op g e a g g r e g e e r d niveau) a a n e e n , n o g in te s t e l l e n , h o o g a m b t e l i j k e i n t e r b e s t u u r i i j k e s t u u r g r o e p w a a r i n o n d e r a n d e r e de V N G z i t t i n g krijgt.
G e m e e n t e n v r a g e n het m i n i s t e r i e v a n BZK als s t e l s e l v e r a n t w o o r d e l i j k e o m d e visitatiecommissie te
VERENIGING VAN NEDERLANDSE GEMEENTEN
9
f i n a n c i e r e n . Dit is n o d i g o m de o n a f h a n k e l i j k h e i d ervan te g a r a n d e r e n . B o v e n d i e n h e e f t de stelselvera n t w o o r d e l i j k e o o k de v e r a n t w o o r d e l i j k h e i d o m inzicht te krijgen in de w e r k i n g van z e l f r e g u l e r i n g over de verschillende o v e r h e i d s l a g e n h e e n .
6.
Wet- en regelgeving
zo beperkt
mogelijk
wordt
gehouden.
W e t g e v i n g is e e n m o g e l i j k m i d d e l o m e e n basis te b i e d e n voor de z e l f r e g u l e r i n g op i n f o r m a t i e v e i l i g h e i d , zoals d e z e d o o r g e m e e n t e n b i n n e n d e z e resolutie is u i t g e w e r k t . H i e r t o e v r a g e n g e m e e n t e n de V N G o m h i e r o v e r met het Rijk e e n v e r k e n n i n g te d o e n .
O n d e r z o c h t m o e t w o r d e n of er (kleine) a a n p a s s i n g e n n o d i g zijn in w e t - o f r e g e l g e v i n g o m het systeem van z e l f r e g u l e r i n g o p i n f o r m a t i e v e i l i g h e i d te d o e n s l a g e n . G e d a c h t w o r d t in ieder g e v a l o m uit te z o e ken of o p n a m e v a n i n f o r m a t i e v e i l i g h e i d in het g e m e e n t e l i j k jaarverslag in r e g e l g e v i n g m o e t w o r d e n v e r a n k e r d . O m r e g e l d r u k te m i n i m a l i s e r e n m o e t anderzijds v e r k e n d w o r d e n w e l k e b e s t a a n d e w e t g e v i n g o v e r b o d i g is of o p t e r m i j n k a n w o r d e n .
10
VERENIGING VAN NEDERLANDSE GEMEENTEN
En dragen de VNG op om: 1.
De dóórontwikkeling
van de BIG organisatorisch
te
horgen.
O m d a t d e o m g e v i n g w a a r b i n n e n g e m e e n t e n b e w e g e n c o n t i n u e in v e r a n d e r i n g is, is d e BIG g e e n statisch d o c u m e n t : het b e w e e g t m e t de o m g e v i n g m e e . De B A L V m a n d a t e e r t het V N G - b e s t u u r d a a r o m t o t b e h e e r v a n d e BIG. H e t V N G - b e s t u u r z a l hierbij n a d r u k k e l i j k s t e u n e n o p de expertise v a n KING/IBD en a a n s l u i t i n g z o e k e n o v e r d e v e r s c h i l l e n d e o v e r h e i d s d o m e i n e n h e e n .
2.
Samen met het Rijk, ketenpartners betrokken
bij het borgen van
en KING te verkennen
hoe leveranciers
beter kunnen
worden
informatieveiligheid.
V N G w i l m e t het Rijk, k e t e n p a r t n e r s e n KING v e r k e n n e n o p w e l k e m a n i e r bij leveranciers e e n z e l f d e g e v o e l v a n u r g e n t i e b e r e i k t k a n w o r d e n o m i n f o r m a t i e v e i l i g h e i d p r o m i n e n t op de a g e n d a te krijgen e n te h o u d e n .
3.
Individuele
gemeenten
blijven aansporen
tot het instellen
van lokaal
informatieveiligheidsbe-
leid. A l l e g e m e e n t e n zijn a f h a n k e l i j k v a n elkaar. M e d e o m d a t het b e e l d over alle g e m e e n t e n v o o r e e n g r o o t d e e l b e ï n v l o e d k a n w o r d e n d o o r h o e i n d i v i d u e l e g e m e e n t e n in het nieuws k o m e n . V a n w e g e d e z e a f h a n k e l i j k h e i d s p o o r t d e V N G alle g e m e e n t e n a a n o m i n f o r m a t i e v e i l i g h e i d o p o r d e te h e b b e n .
VERENIGING VAN NEDERLANDSE GEMEENTEN
11