Verslag Wereldcafè Informatieveiligheid Vrijdag 7 februari 2014
Wereldcafé
Informatieveiligheid
Met dank aan alle deelnemers voor hun inhoudelijke bijdrage!
Gilles Ampt____________________________ HP Frans Backhuijs________________________ Gemeente Nieuwegein Godfried Barnasconi____________________ Kadaster Arie van Bellen_________________________ ECP Hans Brouwer_________________________ Gemeente Apeldoorn Bart Drewes___________________________ Vereniging van Nederlandse Gemeenten (VNG) Joppe Duindam________________________ Bouwend Nederland Coen Egberink_________________________ IBM Jan Fraanje____________________________ Gemeente Boxtel Michelle Fransen_______________________ IPO Gert-Jan Geveke_______________________ DUO Hans Goedhart________________________ Provincie Utrecht Ira Helsloot____________________________ Radbout Universiteit Peter Herreman________________________ Provincie Noord-Holland George van Heukelom__________________ Provincie Zeeland Bart Hogendoorn______________________ Nederland ICT Herman Holtkamp______________________ Logius Erik Hoorweg__________________________ Cap Gemini Gerard Hurkmans______________________ CAK Rocco Jacobs_________________________ ADR/ICT Jan Kees de Jager_____________________ ISM eCompany, voormalig minister Financiën Kees Jans_____________________________ Schiphol Groep René van Kuilenburg____________________ Gemeente Enschede Michel van Leeuwen____________________ NCTV Douwe Leguit__________________________ Taskforce Bestuur en Informatieveiligheid Dienstverlening Hetty Lucassen________________________ Ministerie SZW Alexander Meijer_______________________ Gemeente Ronde Venen Geert Munnichs________________________ Rathenau Instituut Tineke Netelenbos_____________________ ECP Eppo Nispen tot Sevenaer_______________ Stichting CPNB Antoine van den Oever__________________ SAS Rhett Ouderkerk Pool___________________ Kahuna Dirk Jan van der Poel___________________ Ordina Ad Reuijl______________________________ UWV Henk van der Rijt_______________________ Oracle Peter van Schelven_____________________ Nederland ICT Bertine Steenbergen____________________ Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) Rene Steenvoorden____________________ CIO Platform, Cyber Security Raad, Rabobank Hans van der Stelt______________________ Ministerie van Infrastructuur en Milieu Michiel Steltman_______________________ Dutch Hosting Providers Association Mark van Twist_________________________ Erasmus Universiteit Rotterdam Bert Uffen_____________________________ Bureau Keteninformatisering Werk & Inkomen (BKWI) Paul Veger____________________________ Deco Ronald Verbeek________________________ CIO Platform Michel Verhagen (de heer)_______________ Ministerie van Economische Zaken Albert Vermuë_________________________ UVW Ruud de Vries_________________________ Gemeente Vlaardingen Henk Wesseling________________________ Taskforce Bestuur en Informatieveiligheid Dienstverlening Jaap van Wissen_______________________ Rijkswaterstaat
Dit document vormt onderdeel van het Wereldcafé Informatieveiligheid. Dit wereldcafé is gericht op coalitievorming tussen bestuurders uit de publieke en private sector, met als doel informatieveiligheid blijvend te verankeren. 7 maart 2014
I
Inhoud
1 Achtergrond Wereldcafé Informatieveiligheid________________________________________ 4
2 Thema’s Informatieveiligheid________________________________________________________ 5
2.1 Thema 1: Inspelen op informatisering door technologische ontwikkelingen__________ 5
2.2 Thema 2: Hoe verder te werken aan samenwerking?_____________________________ 5
2.3 Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?______ 5
3 Verslag thema 1: Inspelen op informatisering door technologische ontwikkelingen_________ 7
4 Verslag thema 2: Hoe verder te werken aan samenwerking?____________________________ 23
5 Verslag thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?____ 39
4
I
Informatieveiligheid, een uitdaging van ons allemaal?
1 Achtergrond Wereldcafé Informatieveiligheid Vrijdag 7 februari heeft het Wereldcafé Informatieveiligheid op de locatie van Sofitel The Grand te Amsterdam plaats gevonden. Dit Wereldcafé is mede tot stand gekomen door de inzet van de koepelorganisaties, de Directie Burgerschap en Informatiebeleid van het ministerie van BZK, ECP en Nederland ICT. Doel van dit Wereldcafé is geweest om met een klein gezelschap van bestuurders, topmanagers, wetenschappers en afgevaardigden uit het bedrijfsleven concreet door te bouwen op de, tijdens het Interbestuurlijke Diner van de Informatieveiligheid benoemde, collectieve uitdagingen op informatieveiligheidsvlak. Met als uiteindelijk doel om te komen tot een integrale ‘Actie-Agenda Informatieveiligheid’. Een agenda van een interbestuurlijke coalitie, gericht op een informatieveilig bestuur over de bestuurslagen heen. Een agenda die in de loop van 2014 tot uitvoering moet komen. Tijdens het tweede Interbestuurlijke Diner van de Informatieveiligheid in november wordt het resultaat gepresenteerd. Mede als basis voor actie ten behoeve van de jaren na 2014.
2 Thema’s Informatieveiligheid Een drietal thema’s hebben centraal gestaan tijdens het Wereldcafé Informatieveiligheid. Thema’s voortgekomen uit de door bestuurders benoemde collectieve uitdagingen tijdens het eerste Diner van de Informatieveiligheid 2013:
I. II. III.
Inspelen op informatisering door technologische ontwikkelingen Hoe verder te werken aan samenwerking? Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
Elk van de thema’s is tijdens het Wereldcafé besproken aan steeds drie tafels. De tafeldialogen over de thema’s zijn geprikkeld aan de hand van een aantal subvragen:
5
2.1
Thema 1: Inspelen op informatisering door technologische ontwikkelingen 1. Welke drie concrete ontwikkelingen in het licht van informatisering door technologie, vragen als eerste om een overheidsstrategie gericht op het omgaan met de risico’s? 2. W elke partijen betrekken we bij het ontwikkelen van elk van deze drie strategieën? 3. O p welke lopende initiatieven kunnen we bij het ontwikkelen van elk van deze drie strategieën aansluiten? 4. W elke concrete stappen dienen bij elk van deze drie strategieën gezet te worden om deze strategieën bij het volgende Diner te kunnen presenteren?
Dit thema is in drie rondes besproken aan drie tafels, tafel 1, tafel 4 en tafel 7. Dit onder bezielende leiding van respectievelijk Douwe Leguit / Manager Taskforce BID, Hans Goedhart / Secretaris, Algemeen Directeur Provincie Utrecht en Frans Backhuijs / Burgemeester Nieuwegein. 2.2
Thema 2: Hoe verder te werken aan samenwerking? 1. Op welke drie (informatieveiligheids)onderwerpen moeten we de samenwerking beter organiseren? 2. W elke partijen moeten bij elk van deze drie onderwerpen betrokken worden? En hoe kunnen we aansluiten op lopende initiatieven? 3. W elke concrete stappen dienen er gezet te worden om bij het volgende Diner in november de strategie aangaande elk onderwerp te kunnen presenteren? 4. Op welke van deze drie onderwerpen moeten we de samenleving beter betrekken?
En, indien de tijd toereikend is: 5. Hoe gaan we het betrekken van de samenleving concreet organiseren? 6. Welke partijen moeten hierbij betrokken worden?
Dit thema is in drie rondes besproken aan drie tafels, tafel 2, tafel 5 en tafel 8. Dit onder bezielende leiding van respectievelijk Geert Munnichs / Onderzoekscoördinator Rathenau Instituut, Mark van Twist / Hoogleraar Erasmus Universiteit Rotterdam, Decaan NSOB en Alexander Meijer / Gemeentesecretaris Ronde Venen. 2.3
Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren? 1. W elke drie acties/zaken zijn nodig om ervoor te zorgen dat bestuurders en topmanagers in gesprek blijven over informatieveiligheid? 2. Welke methoden helpen hierbij? 3. W elke partijen moeten bij elk van de drie acties/zaken betrokken worden? (publiek, privaat en wetenschap) 4. Welke (verwachtingen t.a.v. de) rol heeft elk van deze partijen hierbij? 5. W elke concrete stappen per actie dienen gezet te worden om bij het volgende Diner een voorstel te presenteren om het gesprek over informatieveiligheid blijvend vervolg te geven?
Dit thema is in drie rondes besproken aan drie tafels, tafel 3, tafel 6 en tafel 9. Dit onder bezielende leiding van respectievelijk Ira Helsloot / Hoogleraar Radboud Universiteit Nijmegen, Bertine Steenbergen / Directeur Burgerschap en Informatiebeleid, ministerie van BZK en Henk Wesseling / Bestuurlijk hoofd Taskforce BID.
V
Verslagen
: 1 a m r e o o Th d g n i r e s i t a m or f n en i g p n i o l e n k e ik w t n Inspel o e h c s i g o l techno
Thema 2: Hoe verder te werken aan samenwerking?
: 3 a p n j o m i e d m i h r e T e h t t h e c g i n r e la g d i e e h ? Ho g n i l e i r e e v k e i n t a a r e m v r o e f t n i
3
3 Verslag thema 1
Inspelen op informatisering door technologische ontwikkelingen
7
8
Eigen aantekeningen 3.1 Verslag tafel 1: Inspelen op informatisering door technologische ontwikkelingen
Tafel 1: Douwe Leguit
notulist Eric Warner
1. Welke drie concrete ontwikkelingen in het licht van informatisering door technologie, vragen als eerste om een overheidsstrategie gericht op het omgaan met risico’s? Ontwikkeling zoals de Google Glass en vergelijkbare producten zijn het meest tot de verbeelding sprekend. Het gaat echter niet om de exacte ontwikkeling maar om de betekenis ervan voor het openbaar bestuur. De betekenis zit vooral in vraagstukken rondom het concept privacy. Privacy moeten we als een centraal concept in de discussie beschouwen: hoe zien wij als overheid nu en in de toekomst privacy en wat gaan we daarmee doen? Er moet wel realistisch gekeken worden naar de rol van de overheid in het privacyvraagstuk. Veruit de meeste informatie is in beheer van private partijen. De overheid is niet de bepalende partij waar het gaat om dit vraagstuk. Mensen maken zelf veel keuzes waar het gaat om het wel of niet delen van informatie. Privacy verandert als begrip. Dat vraagt wel om een visie, ook vanuit de overheid, die daar goed bij aansluit. Eén ding is zeker, we weten niet precies welke ontwikkelingen in de toekomst liggen. In het verleden is al gebleken hoe moeilijk technologische ontwikkelingen zijn te voorspellen. In de jaren negentig hadden we nooit verwacht dat nu iedereen met een smartphone zou lopen. Ontwikkelingen zoals de 3D-printer, drones en robotica gaan ons voor niet te voorspellen vraagstukken zetten. De samenleving is ongekend adoptief. Centraal issue is dat de samenleving wel de deugden inziet, maar niet goed de risico’s kan beoordelen, zowel op korte als op lange termijn. Het ontbreekt aan awareness dat technologische ontwikkelingen ook altijd nadelen omvatten, specifiek kijkend naar privacy-aspecten. Functie van ontwikkelingen is onvoorspelbaar (‘function creep’), waardoor risico’s eveneens in sterke mate onvoorspelbaar zijn. Het delen van informatie levert ook veel gebruiksgemak op (‘vooraf ingevuld belastingformulier is toch een deugd!). Dit gebruiksgemak, afgewogen tegen de privacy-aspecten zou in het herdefiniëren van privacy centraal moeten staan. Deze afweging moet primair door de samenleving zelf gemaakt worden. Inspelen op informatisering door technologische ontwikkelingen
Google Glass
9
Eigen aantekeningen Hoe ver mag het informatiedelen gaan? En hoe kan de overheid een rol spelen bij een eventueel gewenste begrenzing van het delen van informatie, terwijl de betekenis van privacy zich blijft veranderen? Informatisering door technologisering zet de overheid voor drie centrale uitdagingen: 1. Hoe maak je gebruikers, de samenleving bewust van risico’s, met specifieke aandacht voor de onvoorspelbaarheid daarvan? (Creëren van awareness) 2. Hoe zorg je ervoor dat de onvoorspelbaarheid van technologische ontwikkelingen wel zichtbaar wordt voor de gebruiker? (Transparantie creëren i.p.v. normen opleggen) 3. Hoe ga je als overheid zelf om met het veranderende gebruik van informatie en het delen van informatie, zowel tussen publiek-publiek als publiek-privaat? (zelfbeheersing door telkens zelf als overheid na te denken over ‘je normen’; balans vinden tussen big data en sec functioneel gebruik; normen laten vormen door interactie met de samenleving).
Belangrijke randvoorwaarde voor vervolgacties: Niet de lagere overheden overspoelen met regels, maar handvatten en principes bieden voor het omgaan ermee in de praktijk. Bied handelingsperspectief!
2. W elke partijen betrekken we bij het ontwikkelen van elk van deze drie strategieën? Opmerking vooraf, is dat lerend vermogen belangrijk is om stappen voorwaarts te kunnen blijven maken. Dit kun je organiseren door ruimte te creëren en te behouden voor creativiteit. Een coalitie zoals die tijdens het Wereldcafé bij elkaar is, waarbij wetenschap en bedrijfsleven is betrokken, is daarvoor essentieel. 1. H oe maak je gebruikers, de samenleving bewust van risico’s, met specifieke aandacht voor de onvoorspelbaarheid daarvan? (Creëren van awareness) • Bevorderen van een breed debat met de samenleving, wetenschap en bedrijfsleven (specifiek ICT-leveranciers) over de betekenis van technologische ontwikkelingen en het begrip privacy. • Awareness creëren door campagnes, waarbij juist ook aandacht is voor de onvoorspelbare risico’s van informatisering: - ECP heeft al de campagne DigiVeilig, DigiBewust lopen. - Alert Online
Transparantie
2. H oe zorg je ervoor dat de onvoorspelbaarheid van technologische ontwikkelingen wel zichtbaar wordt voor de gebruiker? (Transparantie creëren) • We moeten ons bij het omgaan met informatisering door technologische ontwikkelingen gaan richten op het omgaan met onzekerheden, door transparantie te bevorderen. Inspelen op informatisering door technologische ontwikkelingen
10
Eigen aantekeningen
• De rol van de overheid is om los te laten en bij te sturen; vooral maatregelen nemen die laten inzien wat privacy betekent. Kaderstellend zijn door te sturen op transparantie en duiding van het begrip privacy: - Dit kan door normen niet op te leggen, maar daarover de discussie te voeren met de samenleving, bedrijfsleven en wetenschap. - Vooral de information brokers (grote private partijen als Microsoft en Apple) moeten betrokken worden bij het gesprek over transparantie / het opstellen van etiquette rondom informatiedeling. Dit valt mogelijk te koppelen aan een keurmerk ? - De rol van wetenschap en bedrijfsleven is om te inspireren, waardoor andere perspectieven op het vraagstuk worden gegeven. 3. Hoe ga je als overheid zelf om met het gebruik van informatie en het delen van informatie zowel tussen publiek-publiek als publiek-privaat? (Zelfbeheersing) • Ontwikkelingen vragen om een vertaling naar het openbaar bestuur: wat betekent informatisering voor de overheid? En welke kijk heeft de overheid hierop als het gaat om haar eigen functioneren? • Transparantie over het gebruik van gegevens door de overheid, met als doel een balans tussen dienstverlening en privacy: - Transparantie over gebruik van informatie gaat de overheid helpen. Hoe ver mag je gaan in de transparantie (wettelijk)? Hoe ver is wenselijk? - ICT en wetenschap hierbij betrekken, in gesprek gaan hierover. Zorg voor ‘out of the box’ kunnen denken. Trendwatchers en innovators betrekken. - Specifieke rol voor ICT-leveranciers in de uitwerkingen; veiligheidsvereisten in de aanbestedingen opnemen. Het gaat om het ruimte creëren voor een innovatieve kijk op informatieveiligheid. Het moet hiervoor beter en makkelijker geregeld worden, zodat bypasses niet nodig zijn. Nederland ICT kan een faciliterende rol vervullen bij het uitwerken hiervan (in aansluiting op de bijeenkomst van Nederland ICT dd. 30 januari 2014). • Publiek debat over het begrip van de privacy en de wijze waarop de overheid daarmee omgaat. Het bieden van goede innovatieve dienstverlening en privacy is voor het vertrouwen in de overheid essentieel. • Privacy beweegt als begrip, daar moet je als overheid ook op inspelen om optimale dienstverlening te kunnen bieden. Daar kan geleerd worden van andere landen. • Bevorderen van debat over normen essentieel. Maar normen vastleggen leidt juist tot achterlopen in de praktijk (zie ISO-normen). Wel een ‘smalle’ normatieve basis/kader nodig, daaromheen ruimte voor innovatie. Inspelen op informatisering door technologische ontwikkelingen
P rivacy
11
Eigen aantekeningen 3. Op welke lopende initiatieven kunnen we bij het ontwikkelen van elk van deze drie strategieën aansluiten? 1. Hoe maak je gebruikers, de samenleving bewust van risico’s, met specifieke aandacht voor de onvoorspelbaarheid daarvan? (Creëren van awareness) • DigiBewust en DigiVaardig. Bijvoorbeeld door een waarschuwing te geven bij het vrijgeven van informatie. Aandacht vragen voor het gebruik van de informatie, wordt al op plekken gedaan zoals door LinkedIn. • Kennis en bewustzijn permanent aan de orde brengen. Zorg dat het in het reguliere bestuurlijke proces terecht komt. 2. Hoe zorg je ervoor dat de onvoorspelbaarheid van technologische ontwikkelingen wel zichtbaar wordt voor de gebruiker? (Transparantie creëren) • Geen lopende initiatieven binnen Nederland. • Mogelijk kijken hoe het aansluit op Digitale Agenda EU? 3. Hoe ga je als overheid zelf om met het gebruik van informatie en het delen van informatie zowel tussen publiek-publiek als publiek-privaat? (Zelfbeheersing) • WRR Rapport I-Overheid geeft belangrijke aanknopingspunten voor de visie op het delen en gebruik maken van informatiestromen. • Hierbij aanhaken op digitale infrastructuur, daar kan op aangehaakt worden voor centrale regie. De discussie over ontwikkelingen en vooruit kijken, met specifieke aandacht voor informatieveiligheid moet een plek krijgen in de digitale infrastructuur (adviesraad-achtig). • Basis van de visie zijn een paar algemene afspraken door overheden; noodzakelijke randvoorwaarden, waaronder informatieveiligheid. • Kijken bij andere landen en sectoren: bijvoorbeeld Scandinavië, waar ze volledige transparantie bieden.
4. Welke concrete stappen dienen bij elk van deze drie strategieën gezet te worden om deze strategieën bij het volgende diner te kunnen presenteren? • Hoe maak je gebruikers, de samenleving bewust van risico’s, met specifieke aandacht voor de onvoorspelbaarheid daarvan? (Creëren van awareness) - Bewustzijnscampagne opstarten (als onderdeel van DigiVaardig/ DigiVeilig) waarbij specifiek aandacht is voor informatiedelen versus privacy.
Inspelen op informatisering door technologische ontwikkelingen
12
Eigen aantekeningen • Hoe zorg je ervoor dat de onvoorspelbaarheid van technologische ontwikkelingen wel zichtbaar wordt voor de gebruiker? (Transparantie creëren) - Debatsessies tussen samenleving, overheid, bedrijfsleven en wetenschap over het veranderende concept privacy. Overheid initieert deze gesprekken, mogelijke samenwerking met Rathenau Instituut? - Bedrijfsleven aanspreken op de verantwoordelijkheid om transparant te zijn over het gebruik van informatie (ook mogelijke veranderingen hierin). Bijvoorbeeld door hier een keurmerk voor te ontwikkelen samen met de grote ‘information brokers’. • Hoe ga je als overheid zelf om met het gebruik van informatie en het delen van informatie zowel tussen publiek-publiek als publiek-privaat? (Zelfbeheersing) - Verkenning van de wijze waarop andere (bijvoorbeeld enkele Scandinavische landen) omgaan met het delen van informatie en transparantie daarover. - Overheidsbrede visie opstellen op het delen van informatie, specifiek met aandacht voor transparantie hierover. Hierbij ook de wetenschap en bedrijfsleven betrekken. - ICT en wetenschap hiervoor betrekken: in gesprek gaan hierover. Zorg voor out of the box kunnen denken. Trendwatchers en innovators betrekken. - Let op: Visie moet worden opgesteld als onderdeel van de te vormen digitale governancestructuur/infrastructuur; discussie over ontwikkelingen en vooruit kijken. - Om het overheidsbrede beleid ook te vertalen naar de specifieke overheden, moet het beleid geduid worden door sprekers als Jan Kees de Jager.
Inspelen op informatisering door technologische ontwikkelingen
13
Eigen aantekeningen 3.2 Verslag tafel 4: Inspelen op informatisering door technologische ontwikkelingen
Tafel 4 Hans Goedhart
Notulist Michiel Dirriwachter
1. Welke drie concrete ontwikkelingen in het licht van informatisering door technologie, vragen als eerste om een overheidsstrategie gericht op het omgaan met risico’s?
Cloud-diensten
Welke ontwikkelingen zijn relevant? De volgende zaken zien we op ons afkomen: • Als private dienstverlener zien we het streven te bewegen naar de Cloud. Dit brengt nieuwe problemen met zich mee. Wat organisaties voorheen in huis hadden en waar ze zelf de regie op de oplossing hadden, gaat nu naar de Cloud. Hierbij is niet direct zicht op de technische invulling. • De ontwikkeling richting de Cloud is een zeer belangrijke technologische verandering voor organisaties. Een kenmerk van Cloud-diensten is dat het toegankelijk wordt voor iedereen. • De overheid zal moeten accepteren dat haar dienstverlening transparant wordt. • Een aandachtspunt is wel dat niet alle verdienmodellen van overheden hierop zijn ingericht. Gemeenten zetten in ieder geval al wel stappen richting een i-samenleving. Vraag die daarbij opkomt is: “hoe accepteer je de burger die veel data verzamelt?” • Van het klassieke denken van de overheid, naar de nieuwe situatie: privacy bestaat (haast) niet meer. • Trends die eveneens opvallen zijn Big Data en Open Data. Overheden zijn nog lang niet allemaal toe aan Open Data. Het zijn containerbegrippen lijkt het. Big Data is alles wat ongestructureerd is, eigenlijk zou je moeten praten over Fast Data. • Ook ontwikkelingen vanuit sociale media spelen een rol. Het inviteert burgers steeds meer om eigen initiatief te nemen. • De zelfredzaamheid van de burger moet omhoog bij de digitalisering van de overheid. Er zijn steeds minder ambtenaren en fysieke balies om de minder DigiVaardige en DigiVeilige burgers te ondersteunen. • De verdere digitalisering kan ook juist leiden tot inzet van meer medewerkers. Bijvoorbeeld UWV: UWV neemt mensen aan om vergaande digitalisering mogelijk te maken door burgers te ondersteunen. Neem bijvoorbeeld de site van werk.nl. Burgers moeten zelfredzaam zijn, maar UWV kan niet de continuïteit van Inspelen op informatisering door technologische ontwikkelingen
14
Eigen aantekeningen
dienstverlening bieden die daar bij hoort: “De dienstverlening ligt regelmatig plat”.Een mogelijke oorzaak van dit soort falen kan zijn dat er politieke druk op zit. Daarnaast wordt de architectuur van de systemen vaak achteraf bedacht, terwijl in de fysieke wereld al eeuwen eerst wordt ontworpen en dan pas gebouwd. Een andere randvoorwaarde is professioneel opdrachtgeverschap. Leveranciers varen wel bij een ICT-lappendeken van een organisatie. Vaak wordt gestart met een vaag vertrekpunt met wensen: “Er stond laatst nog een artikel in de krant waarom ICT- projecten toch steeds mislukken.” • Ook de ontwikkeling van Mobile Devices zorgt voor een andere manier van kijken. “Mobile Devices is niet belangrijk, BYOD is een veel belangrijkere ontwikkeling! Het wordt niet meer ondersteund vanuit je centrale organisatie. Je bent afhankelijk wat iedereen zelf wil gebruiken. Iedereen gaat anyplace, anytime werken.” • ‘The internet of things’. Dit gaat heel ver. Bijvoorbeeld in de gezondheidszorg. Er is een voorbeeld genoemd van een vuilnisbak-app die een van tafelgenoten gebruikt: zelf bepalen wanneer de bak wordt geleegd. De volgende stap is dat de bak zelf dit meldt. • Preventie en detectie vanuit technologie. ICT-security industrie heeft veel oplossingen op deze twee thema’s. • 3D-printing. • “Ik vind dat overheden wel moeten samenwerken, maar niet dit soort zaken moet oppakken.” • Een ontwikkeling die tot slot ook interessant is, is de brede beweging dat je moet kunnen terug-hacken (bounty /wild west model) vanuit de goede kant van de wet. Dus maatregelen nemen op het terrein waar je geen mandaat hebt.
Als we praten over informatietechnologie gaat het ook over eigenaarschap van informatie, ook deels van burgers en private partijen. In hoeverre heb je als burger zeggenschap over je eigen gegevens? Heb je daar zeggenschap over? Dezelfde vraag kan worden gesteld als het over ketens gaat. Wie is daar eigenaar van de informatie?
2. Welke partijen betrekken we bij de uitwerking van strategieën?
• Overheid, kennisinstellingen, universiteiten en private partijen hebben hierin een rol. Het bedrijfsleven moeten onderling wel zaken afstemmen en overheden moeten eenduidig opdrachtgeverschap invullen. • Er is een adviesrapport van het ministerie van BZK over de rollen en verantwoordelijkheden van de verschillende rijksdepartementen in de i-samenleving. • Naast overheden en bedrijfsleven dienen ook de sociale partners betrokken te worden bij dit vraagstuk: “De impact op het middenkader in de samenleving is zo groot, daar moet je rekening
Inspelen op informatisering door technologische ontwikkelingen
Overheden moeten samenwerken
15
Eigen aantekeningen
mee houden en sociale partners erbij betrekken”. • Europees verband, landelijke overheden. • Er kwam zelfs ter sprake dat een grote groep middenklasse misschien moet accepteren/wennen dat ze straks geen baan hebben. • De overheid dient initiërend en regisserend te zijn en niet zozeer uitvoerend. “Maar wie gaat er dan het initiatief nemen om te komen tot noodzakelijke stappen?” Er wordt opgemerkt dat samenwerken een middel is, maar geen doel op zich. Maar als opdrachtgever moet je wel als vragende partij je requirements opstellen en de opdrachtgeversrol oppakken. • Bij grote zaken ligt het primaat van het maatschappelijk welzijn bij de overheid. Een overheid heeft hierbij een andere verantwoordelijkheid dan andere partijen. Bijvoorbeeld bepaalde beschermingstaken, taak in publiek private samenwerking. Kenmerkend voor de overheid nu is dat ze achter feiten aanloopt. • Bovendien: bedrijven kunnen failliet gaan, overheden niet. Hele andere vormen van samenwerking moeten ook mogelijk worden. Zijn we flexibel genoeg in instituties om mee te bewegen? Wat zijn de kernwaarden die we moeten beveiligen?
3. Op welke lopende initiatieven kunnen we bij het ontwikkelen van elk van deze drie strategieën aansluiten?
• Een praktijk voorbeeld: kijk naar water hoe het daar wordt opgepakt. Leer van de structuren die daar al zijn. • Leer van andere landen, zoals Denemarken.
4. Welke concrete stappen dienen bij elk van deze drie strategieën gezet te worden om deze strategieën bij het volgende diner te kunnen presenteren?
• Eenduidigheid gaat om standaarden en architectuur, niet om producten en diensten. Zaken waar opdrachtgevers duidelijk in moeten zijn en waar vanuit het bedrijfsleven afstemmingsafspraken over moeten worden gemaakt zijn zaken als architectuur & standaarden. Waarbij standaarden wel minimaal op Europees niveau worden afgestemd, aansluitend op mondiale ontwikkelingen. • Er moeten in ieder geval standaarden worden gekozen vanuit de overheid, een ‘universele brievenbus van elke dienst’. Nu worden bij aanbestedingsopdrachten alleen de specs aangeleverd, maar dat is het net niet. Het vergt dus wel visie en doorzettingsmacht! Vraag is wel wie dit initiatief dan gaat nemen? Overheid, bedrijfsleven, universiteiten? • Wordt het niet tijd dat het thema ‘veiligheid’ eenduidig binnen de overheid wordt belegd? Er is nu sprake van versnipperde verantwoordelijkheden. BZK is verantwoordelijk voor Inspelen op informatisering door technologische ontwikkelingen
16
Eigen aantekeningen
overheidsdienstverlening, maar de OPTA en cybersecurity zitten weer bij andere ministeries, terwijl de grootste besparingen natuurlijk bij het ministerie van Financiën zitten: bezuinigingen. Dit ministerie is. • Belangrijk is dat er een regierol moet komen op dit vlak met doorzettingsmacht (versus coalition of the willing). Maar wie is dan die overheid? Vanuit VNG is hier al discussie over gestart, maar alle stakeholders hebben vooralsnog wel een eigen verantwoordelijkheid. Bijvoorbeeld bij DigiD: “het bedrijfsleven pakt DigiD niet op omdat dit financieel niet rendabel is.” Mogelijk nadeel van doorzettingsmacht: daarmee gaat samenwerking en innovatie weg. • Degene die verantwoordelijk is voor informatiebeveiliging moet de kar trekken en kaders stellen zodat niet per applicatie/toepassing oplossingen bedacht worden. • Als je gaat samenwerken met bijvoorbeeld banken ga je een vertrouwensband opbouwen. Rondom nieuwe ontwikkelingen zoals DigiD, zul je dit samen moeten oppakken met de verschillende partners (kennisinstellingen, bedrijfsleven, overheid, sociale partners/ klanten). • De regie zou ook in toezichthoudende organen moet komen, zoals bijvoorbeeld een Raad van Commissarissen. Maar ook in gesprekken onderling: “ik loop hier steeds tegen aan”. Bijvoorbeeld in ketens heeft dit meerwaarde. • Vraag blijft: wie gaat dit dan doen? Oplossingsrichting zijn we het snel over eens, maar we hebben hier een governance probleem. Inhoud is niet de discussie. Maar uiteindelijk in zo’n complexe wereld moet je wel een partij hebben die dit gaat doen. Hoofd IT/ CTO/CIO in charge. Eigenlijk Raad van Commissarissen betrekken. • Je zou naast bijvoorbeeld de Nucleaire Summit, een Digital Summit moeten organiseren om wereldwijde afspraken te maken. Laten we in Nederland beginnen met Highest Chief in Charge: op hoogst mogelijke niveau beginnen. Opmerking: “wel realistisch zijn. Ter illustratie, we zijn met een EU-dataverordening bezig. Hier zijn rond de 5000 amendementen ingediend, voordat het bruikbaar is zijn we jaren verder.” Hoe krijgen we urgentie dat het daadwerkelijk gebeurt? Men moet er zelf mee te maken krijgen om het te kunnen bevatten (inzet hackers). Een ander voorbeeld: onze premier heeft geen kinderen en oordeelt dan ook vanuit een ander (niet ervarings) perspectief over dit soort zaken. De premier moet als stuurman van dit land de veranderingen in de maatschappij begeleiden. Bij de vraag wie: of dat de premier dat zelf zou moeten zijn is de vraag, maar Highest Chief in Charge wel. • Hoe stimuleer je samenwerking? Aandachtspunt: hoe komt het dat het niet van nature is dat er niet gezamenlijk wordt opgetrokken/ afgestemd? Reactie: “als je dat merkt is dat een slechte zaak en zou je dat aan de kaak moeten stellen. We werken vandaag aan deze Actie-Agenda.” “Ik werk met een staatsecretaris: deze mensen willen graag aan de slag.” “Je krijgt mensen pas in beweging als je
Inspelen op informatisering door technologische ontwikkelingen
17
Eigen aantekeningen
concreet wordt en vertelt wat het betekent.” “Ik denk wel dat je dan hooggeplaatste mensen als Obama en anderen moet betrekken en dit moet bespreken. Dit is een mondiaal thema dat niet alleen Nederland aangaat.” • Wie is de regisseur? De overheid. Overheden moeten het ook eens onderling eens worden én samen met het bedrijfsleven. Maar regelgeving is dan wel nodig, vergelijk het met een digitaal bouwbesluit. Er moet minimaal ‘iets’ komen waar we ons gezamenlijk aan moeten houden. Er wordt opgemerkt: “Het governance vraagstuk is complex, om er dan vervolgens te snel aan voorbij te lopen en in de inhoud te duiken. Als je het in het begin niet goed afhecht, heeft het werk weinig effect. Het probleem van het mandaat en de rol van het NCSC wordt aangehaald. Het risico is dat we dit dus laten liggen omdat het lastig is.” • Wind in de rug nu. Er wordt opgemerkt dat we nu wel de wind in de rug hebben n.a.v. alle onthullingen rondom NSA, tumult rondom Hennes/Plasterk, et cetera. Hopelijk zorgt het voor awareness en wordt er gewerkt aan governance op dit thema. Er wordt opgemerkt dat dit “de eeuwige discussie is tussen I&M, EZ, VJ: vitale sectoren leiden tot oeverloze, lange discussie over verantwoordelijkheden.” • Wat zouden wij vanuit dit coalitieplatform kunnen doen om hier stappen in te zetten? Kijk eens naar deze ontwikkelingen. “Als je de beschreven tafelkleden bij elkaar pakt heb je het wellicht al. Met een beschreven governance gaan we dan vervolgens naar het bedrijfsleven.” Er zouden voorbeelden kunnen komen uit initiatieven. • In de hele veiligheidsketen van preparatie, escalatie, et cetera zou het tot eenduidige rollen kunnen komen. Als zaken eenmaal zijn gebeurd (na een incident) dan heb je daar al bestaande crisisstructuren voor. Het kan duidelijker, maar aan de voorkant heb je nog veel afstemming nodig. We moeten ook de voorkant meer organiseren. • Is er wel een voorbeeld van het goed aan de voorkant regelen in de fysieke wereld? Er volgt discussie aan tafel: dit gaat dan wel over voorbereiding op voorkomen en bestrijden van rampen, maar dit leidt niet tot awareness. • Commerciële belangen hoeven samenwerking niet in de weg te staan. • Bewustwording bij bestuurders is wel noodzakelijk. Hoe gaan wij bestuurders helpen dat bestuurders dit belangrijk vinden en gaan regelen. Dit gesprek met de bestuurders moeten we oppakken. Je zou ook wel iets meer dwingend bepaalde zaken moeten oppakken. In control statement over je digitale huishouding laten opnemen bijvoorbeeld. Er is al een aantal zaken die gebruikt worden: bijvoorbeeld auditplicht: je kan de frequentie toe laten nemen. Sturen op governance en geef voorbeelden waar het fout gaat. • Hoe krijgen we inzicht en overzicht in nut/noodzaak. Stel verplicht dat elke organisatie een keer per jaar met RedTeam/hacking wordt Inspelen op informatisering door technologische ontwikkelingen
18
Eigen aantekeningen
bezocht. Zeker in relatie met de in control statement: “De praktijk toetst zeg maar (mystery guest toets).” • Een aandachtspunt is wel dat de kerncompetenties van bestuurders zich niet lenen (in aanleg) voor ICT. Vaak reactief, niet proactief. • Het gaat ook deels om beeldvorming. Zo ook in de presentatie van Jan Kees de Jager: De dossiertas versus een tablet: dat zaken in de fysieke wereld veiliger zijn is ook beeldvorming. Hoewel: “Aanvallen op vitale zaken gaan wel verder dan een tas met USB-stick die gestolen kan worden als voorbeeld.” • Bij informatiebeveiliging gaat het om risico-denken, dit kennen we binnen de overheid nog niet echt, dan wel we hebben er onvoldoende ervaring mee. Een voorbeeld uit de praktijk: het Bouwbesluit. Voorbeeld hekjes: volgens de regels leidde dit tot verplicht plaatsen van kinderhekjes aan de ene kant van mijn erf, aan de andere kant niet. Hier heb je in praktijk dus niets aan, oorzaak ligt bij te gedetailleerde regels van de overheid. Niet letterlijk regels voorschrijven maar normen definiëren. • Toepassen comply or explain van Forum Standaardisatie. • Daarnaast bij een ICT-project, een standaard percentage, zeg 10% van het budget naar security. Maar dan wel alleen voor projecten waar het relevant is. • Focus op normen, dwingend.
Het antwoord van de overheid op deze ontwikkelingen zou moeten zijn: Van nu nog veel eigen verantwoordelijkheid voor informatieverstrekken via websites, naar ontsluiten via Open Data. Vervolgens zouden commerciële partijen hiermee aan de slag kunnen en meer functionaliteit moeten maken op data van de overheid.
• Voorkom dat je als overheid met gedetailleerde regels komt, richt je meer op de uitkomst en op een gelijkwaardige samenleving. • Uitgangspunt zou moeten zijn om zo weinig mogelijk menselijk handelen in procesuitvoering over te houden en zoveel mogelijk over te laten aan geautomatiseerde systemen. De IND, SVB, UWV zijn voorbeelden van deze ontwikkeling. Overheidsdienstverlening is nu vaak op basis van de klantcase opgezet, dat stort nu in. • Dit gaat overigens op grote schaal alleen werken als overheden samenwerken. Denemarken is daar een voorbeeld van. Een van de redenen waarom het daar wel lukt is omdat daar wel top-down erop wordt gestuurd.
Inspelen op informatisering door technologische ontwikkelingen
19
Eigen aantekeningen 3.3 Verslag tafel 7: Inspelen op informatisering door technologische ontwikkelingen
Tafel 7 Frans Backhuijs
Notulist Harro Spanninga
1. Welke drie concrete ontwikkelingen in het licht van informatisering door technologie, vragen als eerste om een overheidsstrategie gericht op het omgaan met de risico’s?
• Cloud De overheid functioneert steeds meer als een netwerk van netwerken, waarbij grenzen vervagen. Vaak ingegeven door technologische mogelijkheden maar ook vanuit autonome ontwikkeling op steeds complexere maatschappelijke vraagstukken. De vraag is welke Cloud-oplossingen daar aan bijdragen. Straks heb je een gemeentelijke Cloud en een Cloud voor het rijk. Is het dan niet veel logischer om aan een gezamenlijke overheids-Cloud te werken waarvan alle ketenpartners gebruik kunnen maken? De vraag die opgeworpen wordt, is: waarom moet de overheid een eigen Cloud creëren? De neiging is in ieder geval bij de departementen om alles zelf te willen doen. Kan het bedrijfsleven dat niet veel beter doen? De overheid zou de markt wat dat betreft veel meer moeten vertrouwen. De overheid moet de juiste eisen stellen, en de markt moet dan met oplossingen komen die daaraan voldoen. Bij het ‘werken aan vertrouwen’ is ook gewezen op het gevaar van de risico-regel reflex. Misschien is transparantie wel een betere oplossing. Maak bijvoorbeeld inzichtelijk wat er in de Cloud gebeurt. Dat levert misschien veel meer vertrouwen op dan nieuwe regels.
• Big Data en Open Data
De ontwikkelingen rond Big Data en Open Data, hoe moet de overheid daar mee omgaan? Deels is dit al realiteit en koppelt de overheid vele bestanden. Maar wetgeving werkt hierin soms belemmerend. De grote uitdaging voor de overheid zit er in de Big data die ze heeft, te vertalen naar Big Information. Daar is de overheid misschien nog niet zo goed in. Er wordt vaak gekeken naar de overheid als ‘big brother’. Maar is het bedrijfsleven hierin niet al veel verder? Weten zij al niet veel meer door de koppeling van private bestanden?
• Elektronische authenticatie
Eigenaarschap en toegang tot data wordt als een belangrijk issue naar voeren gebracht. Er wordt verwezen naar het EPD. Er wordt onder meer gesteld dat dit niet gelukt is, omdat de burger niet echt het gevoel had eigenaar te zijn van de gegevens. Ook wordt aangegeven dat in de Inspelen op informatisering door technologische ontwikkelingen
20
Eigen aantekeningen discussie destijds eigenlijk niet verwezen werd naar het ongemak voor artsen. De beroepsgroep zelf had er mogelijk ook veel bezwaar tegen kunnen hebben dat medische fouten zo wel erg zichtbaar worden.
• Feodale overheid en de afhankelijkheid van grote leveranciers Er wordt ook aandacht gevraagd voor de perceptie van risico. Men is geneigd digitale oplossingen ‘eng’ te vinden. Terwijl digitale informatiedragers veel beter zijn te beveiligen dan papieren informatiedragers. Koffers en tassen blijven vaak genoeg slingeren. Een tegenwerping is dan wel dat als je het niet goed beveiligt, je dan wel meteen toegang hebt tot ‘alles’ en niet alleen tot een enkel dossier.
• Toegankelijkheid van data voor burgers • De noodzakelijke randvoorwaarden voor veilig gebruik zoals encryptie
Door sommigen wordt bijvoorbeeld encryptie als iets engs ervaren, omdat men geen goed gevoel heeft met wat er dan precies gebeurt. Dit leidt dan tot ‘onzin’-discussies. Zoals bijvoorbeeld rond de stemmachines. Deze waren op zich best goed te beveiligen, maar in de ogen van het publiek waren het ‘enge’ apparaten die het democratische proces onveilig maakten. Informatieveiligheid moet eigenlijk geen issue zijn: “Je moet de juiste eisen stellen en het dan in een goed proces stoppen en goed waarborgen dat dat proces werkt. Dan zijn vele risico’s te managen.”
2. Welke partijen betrekken we bij het ontwikkelen van elk van deze drie strategieën? Vrijwel alle overheidspartijen werden genoemd. De gedachte dat de overheid meer en meer in netwerken functioneert, noopt dat het vraagstuk overheidsbreed wordt opgepakt. Specifiek werd de Belastingdienst genoemd. Je hebt eigenlijk een dergelijke zeer gedegen organisatie nodig om een betrouwbare ‘overheids-Cloud’ te creëren. Een organisatie die ook keer op keer laat zien dat het veilig is. In al die jaren is er nog nooit een echt wezenlijk beveiligincident rond de Belastingdienst geweest. Ook kan de overheid niet zonder het bedrijfsleven. Daarbij gaat het niet alleen om de grote bekende leveranciers, maar misschien juist wel om de kleine ‘rijzende sterren’ uit het bedrijfsleven die goede oplossingen bieden maar nu vaak niet door de aanbestedingen heenkomen. Zij hebben vaak echt goede oplossingen voor lastige vraagstukken uit de informatiesamenleving. Er zou in de samenwerking tussen de overheid en het bedrijfsleven veel meer ruimte moeten zijn voor deze niche spelers. Bepaalde kleine partijen met geavanceerde oplossingen kunnen zich het risico van Europese aanbestedingen niet veroorloven. De overheid zou daar meer ruimte voor moeten creëren. Opgemerkt wordt wel dat aanbestedingsregels voortkomen uit de behoefte om risico’s af te dekken. Het is van belang in je aanbestedingen strategieën te ontwikkelen zodat de risico’s voor het werken met niche spelers beter worden afgedekt. Vervolgens werd gewezen op het belang van best practices bijvoorbeeld uit Inspelen op informatisering door technologische ontwikkelingen
21
Eigen aantekeningen andere sectoren die op informatieveiligheid voorlopen, zoals banken. Maar er werd ook verwezen naar buitenlandse goede voorbeelden. Specifiek werden Estland, Denemarken, Schotland genoemd. Ook het belang van de wetenschap en partijen als ECP die voor de ontsluiting en de verbinding kunnen zorgen kan niet worden onderschat.
3. Op welke lopende initiatieven kunnen we bij het ontwikkelen van elk van deze drie strategieën aansluiten?
win-win situatie
• Sluit bijvoorbeeld aan bij best practices van banken, maak gebruik van hun identificatie en authenticatievoorzieningen. Er lijkt af en toe een Chinese muur tussen publieke en private oplossingen te bestaan. De voorzieningen van banken zijn misschien beter, maar de overheid wordt wel als betrouwbaarder gezien. Dit kan een win-win situatie opleveren. Het zou mooi zijn als er een soort nationale authenticatie en identificatievoorziening komt die zowel voor publieke als private doeleinden is te gebruiken. Dit zou alle partijen meer vertrouwen kunnen opleveren. • Doe iets aan belemmerende wetgeving. Kijk met een nieuwe bril naar privacy. Er zijn nieuwe perspectieven nodig om de kansen op bijvoorbeeld Big Data te pakken. ‘Rethink’ privacy. Er is veel angst om te delen. Er is sprake van verzuiling in kokers, ook bij de grote dienstverleners. Deze zijn georganiseerd in afdelingen die zich respectievelijk op de publieke en private sector richten. Deze praten ook onderling niet met elkaar. • Burgers zou je veel meer moeten betrekken, maar dan wel goed gesegmenteerd naar groepen. En dan transparanter zijn over wat er allemaal gebeurt. In die transparantie dient wel een zekere balans te worden betracht. Je kunt niet alles zo maar naar buiten brengen. Ook werd belang onderstreept de kennis van de samenleving te organiseren. Organiseer bijvoorbeeld prijsvragen voor hackers • Er wordt gesuggereerd de NMA als toezichthouder er bij te betrekken. De tegenwerping is dat dit wel een bureaucratisch instituut is. En dat er al zoveel is, zoals de CBP maar bijvoorbeeld ook de ombudsman. De Raad voor de Transportveiligheid wordt als best practice voor een toezichthouder op informatieveiligheid aangehaald. Met de sector wordt op een niet bureaucratische wijze en gedepolitiseerde wijze aan de veiligheid gewerkt. Met name werd gewezen hoe dat in de luchtvaart werkt. Met een grote nadruk op transparantie en leren van incidenten. Om deze lessen dan door te vertalen naar relevante informatie voor alle actoren.
Inspelen op informatisering door technologische ontwikkelingen
22
Eigen aantekeningen 4. Welke concrete stappen dienen bij elk van deze drie strategieën gezet te worden om deze strategieën bij het volgende diner te kunnen presenteren?
• Werken aan risicoperceptie opdat het vertrouwen in nieuwe technologie waar nodig wordt hersteld. • Een goede Cloudstrategie is een oplossing voor het veiligheidsvraagstuk, het grootste risico zit in decentrale oplossingen (USB-sticks, laptops et cetera) waar informatie niet tot nauwelijks te beveiligen is. • Werk aan een ‘secure’ data strategie waarin helderheid over eigenaarschap en governance wordt gecreëerd. Hoe gaat de overheid om met Big Data en Open Data?
Inspelen op informatisering door technologische ontwikkelingen
4
4 Verslag thema 2
Hoe verder te werken aan samenwerking?
23
24
Eigen aantekeningen 4.1 Verslag tafel 2: Hoe verder te werken aan samenwerking?
Tafel 2 Geert Munnichs
Notulist Judith Bosch
1. Op welke drie (informatieveiligheids)onderwerpen moeten we de samenwerking beter organiseren? Er mist een gezamenlijke visie. Er wordt vooral geredeneerd vanuit het verleden. Hierdoor worden de vragen van morgen niet beantwoord. Zo zou er een lange termijn visie moeten komen voor het gebruik van de Cloud (willen we dit privaat of publiek doen), het gebruik van Google en het meenemen van privé devices naar het werk. Hiervoor is wel een gedeeld begrippenkader nodig, maar dit ontbreekt nu. Daarnaast is de urgentie niet overal even gevoeld, ook niet in het bedrijfsleven. De neiging is dan ook eerder om steeds nieuwe dingen te maken, in plaats van oude dingen op te ruimen. We moeten ook niet alles opnieuw bouwen, zet bestaande dingen slimmer in. Zoals in geval van VISD bijvoorbeeld. Er wordt gesproken over het SUWI-dossier, hierin gaat het bijna altijd goed, maar toch zijn er een paar rotte appels die het systeem beïnvloeden. Deze cases zijn zeldzaam, maar elke case is er 1 teveel.
2. Welke concrete stappen dienen er gezet te worden om bij het volgende Diner in november de strategie aangaande elk onderwerp te kunnen presenteren? Maakt de overheid niet heel veel problemen die er niet zijn? Er is helemaal geen technisch probleem, de wijze waarop de processen zijn georganiseerd, is het probleem. Vraagstukken als de Cloud, zijn niet anders dan een mainframe zoals dat in de jaren 70 was. Het probleem is gebrek aan kennis, waardoor iedereen bang wordt gemaakt. “Gemeenten weten onvoldoende van ICT, laten zich hierdoor adviseren en gaan hierdoor soms ‘de mist in’.” Het echte probleem is dat de volgende vraag niet wordt gesteld: ‘Welk probleem willen wij oplossen?’ Het gebrek aan analyse leidt tot een incidentgedreven aanpak. Eerst moet geanalyseerd worden wat het probleem is, en hoe ICT bijdraagt aan de oplossing daarvan. Hierbij moet mee genomen worden hoe de burger redeneert en wat het belang van de burger is.
Hoe verder te werken aan samenwerking?
SU W I-dossier
25
Eigen aantekeningen 3. Op welke van deze drie onderwerpen moeten we de samenleving beter betrekken? [Deze is vraag is niet besproken]
4. Welke partijen moeten bij elk van deze drie onderwerpen betrokken worden? En hoe kunnen we aansluiten op lopende initiatieven? De overheid moet de illusie loslaten dat zij alles moet beheersen en kan controleren. De overheid moet eigenlijk zo weinig mogelijk doen, burgers en bedrijven lossen het zelf wel op. Burgers liggen echt niet wakker van privacy schending: “Dat SUWI-dossier, is geneuzel in de marge”. Een drama geval in de Jeugdzorg leidt ertoe dat een heel ICT-systeem naar de ‘randgevallen’ wordt ingericht, terwijl het bij de meeste gevallen in jeugdzorg om lichte zaken gaat. Het is niet efficiënt om de systemen in te richten naar de zwaarste gevallen, dat leidt tot overregulering: “Een ICT-systeem kan kinderen niet beschermen, daar heb je goede professionals voor nodig. We moeten ophouden met incidentgericht te reageren. Het proces is het probleem, niet de ICT”. De burger moet meer de basis en het uitgangspunt zijn van de informatievoorziening. Maar gezien het gebrek aan consensus over hoe dit er vervolgens uit moet komen te zien, kan dit nog wel 10 jaar duren voordat dit gerealiseerd is. Hiervoor zijn de volgende zaken nodig:
• Klein beginnen, bouwen vanuit een bepaald systeem. • Goed weten wat je wilt, er is teveel verkeerd opdrachtgeverschap. • Commitment van alle partijen. • Sterke regie. De groep kan zich vinden in het rapport Kuipers voor meer centrale sturing en financiering. Dan gaan de debatten niet meer over wie de macht heeft, maar wat er daadwerkelijk moet gebeuren. Het idee van een deltacommissaris vindt aansluiting in deze groep. • Er moeten generieke digitale ‘spullen’ komen, om te voorkomen dat iedereen het anders gaat doen. Dit leidt tot meer veiligheid omdat de middelen gebundeld worden. Hiervoor hebben gemeenten ingestemd met 8 miljoen uit het gemeentefonds voor generieke voorzieningen. • Standaardisatie is eveneens nodig.
Kan de burger de overheid vertrouwen? “Het EPD is ook mislukt, waarom zou een ‘1 kind, 1 plan, 1 regisseur en de decentralisaties’ wel lukken?” Burgers kunnen juist ook een probleem zijn. Een klein groepje actievoerders kan iets tegen houden. Zo is bijvoorbeeld digitaal stemmen voor de waterschappen tegengehouden. De Nationale Ombudsman heeft veel macht. Dat komt omdat de beeldvorming voor wat betreft overheid, ICT en veiligheid niet goed is. Hier zou iets aan gedaan moeten worden. Reden? Het begrip Hoe verder te werken aan samenwerking?
26
Eigen aantekeningen privacy is niet goed gedefinieerd. Daarnaast zet de burger van alles op Facebook, maar gaat ineens wel op de barricades als de overheid iets over hem/haar weet. Er zijn veel tegengestelde belangen. Belangrijk is dat de gebruiker ‘in control’ moet zijn van zijn data: “Informatie over mij, is van mij”. Dit vergt een andere gedragshouding van de overheid. Het is eigenlijk allemaal niet zo complex, maar de overheid maakt het complex door allerlei uitzonderingen te maken. Dus wat is er nodig:
• Overheid is aan de bal om een aantal randvoorwaarden te definiëren. • Tweede Kamer moet bereid zijn meer risico te accepteren i.p.v. risico-regel-reflex toe te passen. • Verantwoordelijkheid voor het systeem moet goed belegd en geborgd worden. • Overheid moet de gedachte loslaten dat zij de regisseur van de data is. De overheid is een medeproducent van data, net als allerlei andere partijen. Het is dus niet nuttig om met regelgeving te komen. • Om met deze medeproducten tot een werkbare ‘relatie’ te komen is het heel belangrijk dat er wordt gewerkt volgens bepaalde afspraken, houding en gedrag. • Ketens worden ook complexer, dus hierin moeten afspraken over worden gemaakt, en gestandaardiseerd. Verder moet de overheid niets doen. • Het delen van informatie moet juist makkelijker worden. De schotten moeten weg, meer denken vanuit common sense, dan WBP. • Van old school denken: denken dat je in staat bent tot een maakbare samenleving. Tot new school denken: iedereen is producent en eigenaar van data. • Het wordt onbetaalbaar en oncontroleerbaar om als overheid overal wetgeving voor te maken: “Je bent dan bij voorbaat te laat”. • Vooral incrementeel werken, geen grootse meeslepende dingen. • “In plaats van dat ik als burger in 50 databases sta, zou er 1 database moeten komen, en allerlei organisaties gekoppeld aan deze databases”.
Er is een verschil tussen overheidsdata en burgerdata. Om het probleem omtrent privacy schending op te lossen, moet er worden gewerkt met dataclassificatie. Daarnaast moet de bewustwording van burgers omhoog. De overheid kan dit niet regelen. Wat moet er gebeuren:
• De burger is een bondgenoot van de overheid in het verhogen van de informatieveiligheid: - Zo kan er door burgers een beroep worden gedaan d.m.v. ethical hacking en responsible disclosure. De overheid gaat explicieter een beroep doen op burgers. - De burger is een schakel in de keten. - Tegelijkertijd zijn er ‘slechte’ burgers, die behoeven een aanpak die in Europees verband moet worden aangepakt. Hoe verder te werken aan samenwerking?
27
Eigen aantekeningen Fraude beperkt zich niet meer tot Nederland. - Daarnaast moet de focus weg van best practices en meer naar good practices gaan. Als iets een best practice is, is het alweer verouderd. Er moet hogere weerbaarheid komen. - Daarnaast moeten ‘onbewuste’ burgers ‘bewust’ worden gemaakt. Er moet een informatie hygiëne komen, zodat het gewoon wordt om een goede virusscanner op je device te hebben en regelmatig je passwoord te vervangen, net zo gewoon als je handen wassen. • Bedrijfsleven moet ook gedragsverandering teweeg brengen. Zo gaan banken steeds minder vergoeden van schade als gevolg van cybercrime. Dit gaat burgers bewust maken van de eigen rol en verantwoordelijkheid in informatiebeveiliging. • Overheid moet haar informatiehuishouding op orde hebben. Dat is een enorme uitdaging, waarbij het gaat om proces-herontwerp. • Internationale standaarden op het gebied van veiligheid. Of een algemene baseline waar alle partijen aan voldoen. Hier ligt een taak voor de overheid, om als 1 overheid op te treden. • Zelfregulering. Er moeten ‘aansluitvoorwaarden’ worden opgesteld voordat er systemen of organisaties worden aangesloten. Dit dwingt organisaties om de boel op orde te brengen. Deze standaarden moeten niet per se van de overheid komen, maar bottom up. Hierin moet het bedrijfsleven ook een rol te spelen. Private partijen moeten ook meer gaan definiëren wat zij nodig hebben. Dit gebeurt nu nog te weinig.
Hoe verder te werken aan samenwerking?
28
Eigen aantekeningen 4.2 Verslag tafel 5: Hoe verder te werken aan samenwerking?
Tafel 5 Mark van Twist
Notulist Marleen Peters
Wat willen de tafelgenoten in ieder geval laten beklijven in de dialoog over informatieveiligheid na het Wereldcafé?
• De dialoog over de balans tussen regelgeving en eigen maatregelen. Ofwel; verplichting versus eigen verantwoordelijkheid. Aan beide wordt nog te weinig aandacht besteed. • De provincie wordt als overheidslaag te weinig belicht. Het blijkt moeilijk om open en goed samen te werken. Dit komt door gebrek aan tijd, door politieke gevoeligheden en andere belangen die spelen bij verschillende partijen. Misschien is het zelfs wel zo dat dit gesprek over de eigen verantwoordelijkheid op het gebied van informatieveiligheid moeilijker te voeren is tussen overheden dan met marktpartijen. • Informatieveiligheid is een belangrijk thema van de laatste tijd en vertoont overeenkomsten met andere actuele thema’s op het gebied van ICT/technologie. Welk thema je er ook uit licht, samenwerking is cruciaal om verder te komen. • Bij samenwerking is handelen vanuit vertrouwen, maar ook het aanbrengen van structuur belangrijk om verder te komen. Partijen moeten op proactieve wijze kijken wat er al beschikbaar is in de markt en hoe dit bij de overheid ingezet kan worden. Daarnaast is bewustzijn essentieel, juist omdat regelgeving niet altijd de oplossing is. Dat is anders dan het bedrijfsleven waar soms behoefte is aan meer regelgeving. Het probleem met regelgeving is echter dat je altijd achter loopt op de technologische ontwikkelingen. Je loopt altijd het risico van mosterd na de maaltijd; wellicht heb je als organisatie bepaalde investeringen gedaan die je moet bijstellen als gevolg van regelgeving die later komt. Desalniettemin biedt regelgeving, als het er eenmaal is, houvast en bepaalde zekerheden waar wel behoefte aan is.
Hoe verder te werken aan samenwerking?
29
Eigen aantekeningen 1. Op welke drie (informatieveiligheids)onderwerpen moeten we de samenwerking beter organiseren?
1. Veiligheidsgaranties. Hoe kan je als overheidsorganisatie burgers garanderen dat gegevens veilig zijn? Bij voedsel kunnen we het wel, ondanks dat ook daar incidenten zijn (denk maar aan de rel rond het paardenvlees). Maar als het op ICT-systemen aan komt zijn er relatief weinig standaarden. Zelfs als het om vitale infrastructuur gaat, zijn we niet in staat om veiligheid te garanderen. Daarnaast is de vraag of je je dan alleen op leveranciers of ook op gebruikers zou moeten richten. Wellicht is een Digitaal Bouwbesluit voor vitale infrastructuren van Nederland een oplossing? Hierin staat vastgelegd wat je wel en wat je niet doet, in termen van kwetsbaarheid en betrouwbaarheid. In een digitaal bouwbesluit is een aantal basiszaken vastgelegd, zoals verantwoordelijkheden en netwerkcomponenten en dit wordt gecheckt door een auditor. Het gaat hierin om de samenwerking, het is de stick én de carrot. Het is zeker niet de bedoeling zaken dicht te regelen, daarmee belemmer je de beweging. In de praktijk zal waarschijnlijk blijken dat het mis gaat op hele simpele dingen, zoals wachtwoorden. Om een digitaal bouwbesluit te laten werken moet je blijven definiëren wat vitaal is en deze definitie blijven bijstellen, bijvoorbeeld onder invloed van EU-regelgeving. Het is bovendien van belang te blijven waken voor naïviteit. Leveranciers hebben immers altijd eigen belangen. 2. Exposure en strategie. Nederland loopt voor op het gebied van exposure aangaande informatieveiligheid. Qua strategie geldt dat ook voor de overheid, bijvoorbeeld het Cyber Securitybeeld en de Cyber Securitystrategie vanuit NCSC. Die voorsprong geldt echter niet zozeer voor regelgeving. Er wordt nog veel ‘hoog over’ gesproken. Welke drie onderwerpen zouden eruit gelicht kunnen worden om door te kunnen pakken? Waar is nader beraad nodig? I. Open Data: Wat stel je beschikbaar? Wie gaat er over de correctheid van informatie? Dat brengt de fouten aan het licht, zoals dat nu gebeurt bij de Basisregistratie Grootschalige Topografie. Daar bleken stukken grond verkeerd ingedeeld te zijn of hadden stukken grond geen eigenaar. II. Kennisdelen: Wat gaan we vastleggen? Waar gaan we besluiten over nemen? De dialoog is meer een driving factor for success dan regelgeving. Ook een dialoog helpt richting geven. Maar hoe organiseer je een blijvende dialoog in een onderwerp dat zo snel evolueert? De oplossing ligt wellicht meer in het geven van meer openheid: naming and shaming. Bijvoorbeeld een meldplicht voor issues/incidenten, het regelmatig laten uitvoeren van ethische hacks en het bekend maken van die resultaten. Dit gebeurt al binnen de Information Sharing and Analysis Centers (ISAC’s) onder de vlag van het NCSC. Dit zijn publiek-private samenwerkingsverbanden waarbij de deelnemers onderling informatie en ervaringen uitwisselen over cyber security. Onder andere een aantal grote Hoe verder te werken aan samenwerking?
30
Eigen aantekeningen
telecombedrijven delen hier informatie met elkaar. Dit is een voorbeeld waarbij samenwerking meer tot stand brengt dan regelgeving. III. Digitaal Bouwbesluit versus zelfregulering. Bepaalde zaken moeten worden vastgelegd, maar daar hoort ook een ‘schandpaal’ bij. In een Digitaal Bouwbesluit kan je de ISAC’s verder uitbreiden en mandaat geven. Opvallend is hoe er vanuit de markt behoefte is aan meer regelgeving, juist om verantwoordelijkheden en aansprakelijkheden voor eens en voor altijd goed te regelen. Enerzijds animo voor een Digitaal Bouwbesluit waarin kritieke factoren in vitale infrastructuren worden vastgelegd. Anderzijds beduidend minder enthousiasme over een dergelijk besluit: “Zelfs al leg je daar alleen de minimale eisen in vast, automatisch worden dat vaak de maximale eisen en daar schuilt het gevaar in.” De vraag is hoe we samenwerking dan moeten organiseren in de Nederlandse context. Er is wel wat animo voor het inrichten van een echte doorzettingsmacht, het nadeel hier is dat dat een top down-benadering impliceert. “Bouwbesluiten leiden tot een treurig landschap”. Het concept is overigens niet verkeerd: “Je moet immers weten waar je het over hebt als organisatie. Je moet weten wat je inkoopt. Als je die basiszaken weet, is het genoeg.” Daar zit ook een bepaalde verantwoordelijkheid voor private partijen in. Maar de nadruk zou moeten liggen op goed opdrachtgeverschap: Hoe ben je zo min mogelijk kwetsbaar? Dat is de belangrijkste vraag. Een bouwbesluit is dan te zwaar. Het belangrijkste is dat de overheid nu de regie pakt op informatieveiligheid en dan ook doorpakt. De vraag daarbij is hoe we verplichtend zien in het geval van verplichtende zelfregulering (hoe ziet accountability er dan uit?). En of daar een minimale wet voor ketenvraagstukken in zou kunnen passen. Vanuit gemeenten is er sterke behoefte aan een interbestuurlijke visitatiecommissie onder leiding van een bestuurlijk boegbeeld.
2. Welke partijen moeten bij elk van deze drie onderwerpen betrokken worden? En hoe kunnen we aansluiten op lopende initiatieven? Overall moeten overheden gaan samen werken op minimaal drie vlakken: - Regelgeving - Requirements - Kennisdeling Hierbij moeten we toewerken naar een Europese aanpak. Informatiestromen gaan immers ook over grenzen heen. We moeten tevens aanhaken bij het NCSC, met name qua structuur. Bovendien moeten we de vraag stellen: “Wat gaan we wel doen en wat niet?” Hoe het antwoord op deze vraag er in de praktijk uit ziet, verschilt per sector, niet per definitie per land. Vandaar de behoefte aan een internationale aanpak: nationale regelgeving traineert grens-overstijgende bewegingen. Hoe verder te werken aan samenwerking?
31
Eigen aantekeningen Hoe regelen we de samenwerking na de Taskforce BID? Hoe kunnen we informatieveiligheid structureel borgen? De suggestie is om een staatscommissie in te richten, die kan het onderwerp meer gewicht geven. Meer regelgeving wordt hier niet als een noodzakelijkheid gezien. Wel wordt er geopperd om meer te denken aan het centraal opslaan van alle data. Zo wordt het informatieveiligheidsprobleem overzichtelijker. Wanneer de overheid meer gaat werken met attributen wordt het ook overzichtelijker. Overheidsorganisaties trekken altijd een groot kopie van basisgegevens. Waarom niet alleen de gegevens die je daadwerkelijk gebruikt: need-to-know. Dit soort zaken moeten we het eerst regelen voor de basisregistraties.
3. Welke concrete stappen dienen er gezet te worden om bij het volgende Diner in november de strategie aangaande elk onderwerp te kunnen presenteren?
Dreiging creëren
De overheid moet niet meer reactief, maar proactief met informatieveiligheid aan de slag. Bottom up, maar wel in samenhang met andere organisaties. Het is in de praktijk echter lastig te bepalen welke casus er nu toe doet en met name: hoe pakken we die dan aan? Gevoelsmatig is er wellicht nog te weinig dreiging. Organisaties komen pas in actie als er echt een incident is geweest en het de kranten haalt en dat terwijl het juist niet alleen om dreigingen uit de professionele hoek gaat, maar juist ook om de welwillende thuiswerker. Een aantal zaken zingen al jaren rond, maar lukken gewoonweg niet. Een voorbeeld hiervan is de digitale snelweg. Daar moet geld voor worden vrijgemaakt, niet gefragmenteerd, maar een groot fonds waar in samenhang, en met gedeelde kennis, dit soort zaken worden opgezet en gefinancierd kunnen worden. Iedereen wil dit, maar het komt maar niet van de grond. Van hier uit kunnen ook concepten als een ‘Weekly’ en een ‘Dutch Hack’ worden opgezet of een ‘parade’ die langs alle overheidsorganisaties gaat, om het urgentiegevoel te blijven aanwakkeren. Vanuit dit perspectief kunnen ook burgers, media en incidenten worden ingezet om een structurele aanpak (bijvoorbeeld zo’n fonds) te realiseren. De dreiging moet een wezenlijk gezicht hebben. Zo wordt iedereen met de neus op de feiten gedrukt. Daar loert echter wel het gevaar van bangmakerij. Wat we nu nog veel zien is dat ook de journalistiek maar weinig aandacht voor informatieveiligheid heeft. Incidenten halen de krant wel eens, maar de aandacht ebt daarna heel snel weer weg. Iemand als Brenno de Winter is een uitzondering en daar hebben we er meer van nodig om het onderwerp op de kaart te krijgen en te houden. De media kan ingezet worden als een soort hefboomeffect vanuit de burger. We vertrouwen te veel op de overheid, dat het wel goed komt. De overheid moet echter nog steeds een bepaalde leercurve door, in de markt zijn ze al veel verder. Waarom is er wel een systeem van naming en shaming voor de beveiliging van creditcard-transacties bij webaankopen. Dit heeft directe gevolgen voor de retailers die als slechtste uit de bus komen. De overheid als geheel moet verantwoordelijkheid nemen en dicht op de bal spelen. Een jaarlijkse auditplicht is een relatief simpele maatregel om door te Hoe verder te werken aan samenwerking?
32
Eigen aantekeningen voeren. In elke budget zou een percentage opgenomen moeten worden voor informatiebeveiliging, vraag is hoe je dat percentage bepaalt als je de risico’s niet kent. Dit soort maatregelen zijn niet zaligmakend, maar je moet ergens beginnen. Een comply-or-explain principe is het minimale dat geregeld zou moeten zijn: “Als je afwijkt van de basis is dat prima, maar licht het toe met legitieme argumenten.” Hamvraag is, hoe word je als overheid proactief? Proactiviteit kan verbeterd worden door incidenten beter te delen. Daarvoor moet bepaald worden wat je met wie deelt; minimaal binnen het rijk en tussen ketenpartners. Openheid over incidenten is essentieel. Vaak worden incidenten onder het tapijt gemoffeld als storingen, daar moeten we van af. • We moeten in beeld krijgen hoe fraude er uitziet. “Dat gebeurt niet op professionele wijze in kantoren door mensen met geavanceerde pc’s. Dat zijn huisvrouwen met een mobiel en een tablet, bij wijze van spreken vanuit de auto.” • Deskundigheid bij bestuurders is minder belangrijk dan urgentiegevoel. • Private partijen laten meedenken. Zij hebben een eigen belang, maar maken zich vooral zorgen over hoe de overheid het nu (niet) aanpakt. • Informatieveiligheid moet georganiseerd worden vanuit de processen. Er moet budget voor worden vrijgemaakt. Organisaties moeten beginnen bij de meest kritische processen. En dit kan niet plaatsvinden zonder een diep urgentiegevoel. Juist de onzorgvuldigheden vanuit de eigen kring hebben we nog niet genoeg in het vizier. Als we kijken naar een thema als BYOD. Iedereen doet het in de praktijk al, maar hebben we wel expliciet nagedacht over hoe dit veilig aangepakt moet worden? Dit soort kwesties vraagt niet alleen om actie vanuit de overheid, maar in feite gaat het om een hele nieuwe mentaliteit in de gehele samenleving. Dat betekent overigens wel dat je als overheid die mee gaat met technologische ontwikkelingen, altijd een kwetsbare groep moet blijven bedienen die niet meegaat met de ontwikkeling, bijvoorbeeld door een baliefunctie te blijven bieden. Dit gaat wellicht in tegen de beweging van gemeenten die juist hun balies opheffen. Die nieuwe werkelijkheid door technologische ontwikkelingen vraagt om nieuwe expertise op de afdelingen. De overheid voert immers ook op een andere manier transacties uit. Bij DUO is de autorisatie opgeschroefd naar 2 stappen (sms en wachtwoord) bij het inloggen met DigiD. DUO verbaast zich waarom andere ZBO’s nog lang niet allemaal hetzelfde doen. Hier vloeit in de tafeldiscussie de vraag uit voort wat de Manifestpartijen belemmert om zulk soort dingen gezamenlijk op te pakken. Het antwoord ligt op financieel terrein: partijen vragen zich af wat ze in gezamenlijkheid moeten oppakken en wat ze zelf willen of kunnen doen. Zelf oppakken is in veel gevallen relatief goedkoper en biedt de mogelijkheid om iets geheel naar eigen proces, wens of behoefte in te richten. In gezamenlijk gaat het trager, kan het duurder zijn en moeten concessies gedaan worden. Hoe verder te werken aan samenwerking?
33
Eigen aantekeningen Aan tafel wordt vervolgens gepleit voor een Deens model, waar digitalisering wettelijk verplicht is en de overheid investeert in innovatie in bijvoorbeeld zorg en onderwijs. Dit heeft tot gevolg dat er veel macht ligt bij het Ministerie van Financiën, maar is dat een probleem? Aan tafel is men het er over eens dat iemand mandaat moet hebben om te kunnen doorpakken. De vraag is wel of Nederland is ingericht om de macht zo nadrukkelijk ergens te beleggen. De insteek zou hoe dan ook moeten zijn dat positieve prikkels vanuit de overheid gestimuleerd moeten worden en dat iedereen van elkaar zou moeten (blijven) leren. In het meest ideale geval zou informatieveiligheid belegd moeten worden bij de minister-president. Samenwerking moet ook juist plaatsvinden tussen ketenpartners. De ontwikkelingen bij VenJ laten echter zien dat dat ook nieuwe problemen op kan leveren. Het combineren van gegevens kan nieuwe gevoelige informatie opleveren die niet op straat behoort te liggen. Maar wie is op zo’n moment eigenaar van deze gevoelige informatie? Voor dit soort gevallen is er een kaderwet nodig en doorzettingsmacht. Maar gaat dat ooit lukken in Nederland? Samenwerking is geen doel op zich, anders wordt het een holle frase. De bestuurlijke structuur is bepalend voor de samenwerking en gezien het belang van informatieveiligheid moet het zo hoog mogelijk belegd worden, derhalve de minister-president. Stel de burger centraal en gebruik een benadering, zoals die ook in de ICT-wereld wordt ingezet; bottom-up benadering.
4. Op welke van deze drie onderwerpen moeten we de samenleving beter betrekken? Burgers verwachten dat de overheid eenduidig communiceert. Daar is ook standaardisatie voor nodig. In ieder geval tussen gemeenten en uitvoeringsorganisaties. Juist daar is een aantal dossiers waar er een bepaalde spanning zit tussen informatieveiligheid en burgervriendelijke dienstverlening. In de complexiteit van gegevensstromen creëren we juist een aantal backdoors c.q. kwetsbaarheden op het gebied van informatieveiligheid. Hier gebeurt vanuit overheidswege niets mee, totdat er een incident plaatsvindt. Het is daarom zaak dat: - We dat vóór zijn, geen incident afwachten. - We de discussiepunten met betrekking tot informatieveiligheid in samenhang zien. - De overheid haar verantwoordelijkheden pakt. - Het kabinet bijgeschoold wordt. - Opdrachtgevers behoed worden voor fouten, vanuit de kennis die we al hebben opgedaan. De aanpak van Neelie Kroes wordt aan tafel geprezen. Maar deze aanpak moet groter opgezet worden. Er moet minimaal een Europese Commissaris van ICT komen.
Hoe verder te werken aan samenwerking?
34
Eigen aantekeningen 4.3 Verslag tafel 8: Hoe verder te werken aan samenwerking?
Tafel 8 Alexander Meijer
Notulist Peter van Dijk
1. Op welke drie (informatieveiligheids)onderwerpen moeten we de samenwerking beter organiseren?
• Als eerste thema wordt in dit kader ‘hergebruik’ verkend. Hergebruik wordt binnen de Manifestgroep als een relevant thema gezien. Van de leden van de Manifestgroep vraagt dit wel om een actieve instelling om te willen weten waar de overige leden van de Manifestgroep mee bezig zijn. En ook het vlak van informatieveiligheid is het goed mogelijk om informatie en kennis te hergebruiken. Het CIP wordt genoemd als een relevant initiatief binnen de wereld van Manifestgroep. Ook al omdat binnen het CIP, overheid en leveranciers met elkaar actief informatie delen. Ook de instelling van ICCIO is te zien als een succesvol platform om hergebruik van kennis te stimuleren. Binnen het rijk worden wel stappen gezet op weg naar hergebruik. De I-strategie wordt als onderwerp genoemd. Onder de druk van de bezuinigingen zien we ook druk op hergebruik. In de discussie wordt geconstateerd dat we wel praten rond hergebruik; maar dat uitvoering achterblijft. We beginnen weer steeds opnieuw met het wiel uitvinden. Belangrijk bij hergebruik is standaardisatie, maar dat moet je dan wel regelen. We doen het nu wel soms via de kaders van architectuur. Maar nog weinig van onderop. Bij de discussie over hergebruik komt de vraag naar de ideale schaalgrootte om samenwerking en hergebruik vorm te geven. Die schaalgrootte is afhankelijk van het object waarmee je de samenwerking wilt vormgeven. Hergebruik van infrastructuur kent een ander model dan het hergebruik van software, waar mogelijk de ontwikkeling van een overheidsapp-store een goed model kan zijn.
• Crisiscommunicatie en fallback scenario’s Een tweede thema dat in het gesprek aan de orde komt is het acteren in crisissituaties. Benadrukt wordt dat het zinnig is om in de samenwerking aandacht te besteden aan de vraag hoe elkaar te vinden? En vervolgens welke afspraken je met elkaar kunt maken rond het bieden van fallback scenario’s. Het voorbeeld van het recente incident bij Vodafone; waarbij ‘concullega’s’ zijn ingesprongen om data-en telefoonverkeer over de eigen netwerken te hosten. Een dergelijke opstelling van overheidsorganisaties zou ook een normale werkwijze moeten zijn. We constateren dat dit op Hoe verder te werken aan samenwerking?
Hoe vinden we elkaar enten? incid bij
35
Eigen aantekeningen dit moment zo nu en dan wel gebeurt, maar onvoldoende structurele aandacht krijgt. Maar ook hier biedt de samenwerking met het bedrijfsleven kansen. De manier waarop de DigiNotar-crisis is opgevangen binnen het afsprakenstelsel e-herkenning is een goed voorbeeld.
• Digital Mainport De bestaande concepten van overheidsdienstverlening zijn nog teveel vanuit de overheid gedacht. Als deze concepten vertaald zouden worden vanuit het perspectief van een digitale samenleving dan levert dat ook voor andere stakeholders kansen op. Goede authenticatie voorzieningen als bijvoorbeeld de ontwikkeling van e-ID zijn niet alleen voor overheden van belang, maar bieden ook kansen aan webwinkels. Als we de discussie over informatieveiligheid vanuit het perspectief van een digitale overheid kunnen vertalen levert ons dat (als Nederland) een stevige concurrentiepositie op als ‘Digital Mainport’. We kunnen het wat dat betreft beter dan de Denen. Maar ook hier geldt dat zowel bedrijfsleven als overheden die betrokken zijn bij dienstverlening gebaat zijn bij het hergebruik van kennis en ervaring.
2. Welke partijen moeten bij elk van deze drie onderwerpen betrokken worden? En hoe kunnen we aansluiten op lopende initiatieven? Betrek naast het bedrijfsleven, de wetenschap en de hogescholen ook een maatschappelijk betrokken rechter: waar ligt wat hem betreft de oplossing om de bestaande gevoelde belemmering rond privacy te veranderen? Overigens het begrip ‘burger’ wordt teveel als containerbegrip gebruikt; maar is dat een terechte annotatie?
3. Welke concrete stappen dienen er gezet te worden om bij het volgende Diner in november de strategie aangaande elk onderwerp te kunnen presenteren?
• Onveiligheid managen Digitale dienstverlening houdt in dat risico’s worden gelopen. De kunst is om die onveiligheid te managen. Het vergelijk met luchtvaart wordt gemaakt. Incidenten in de luchtvaart worden wereldwijd transparant gecommuniceerd, waardoor de veiligheid in de luchtvaart steeds verbetert. Het SGR (Stichting Garantiefonds Reisbranche) wordt aangehaald als tweede voorbeeld waarin een gezamenlijke financiering wordt gevormd voor die gevallen waarin een van de deelnemende partners zou omvallen. Zowel die transparantie over incidenten als de financiering van daarmee gepaard gaande fallback scenario’s is binnen de overheid (en waarschijnlijk ook bedrijfsleven) onvoldoende. Dat gesprek zou structureel een plek moeten vinden.
Hoe verder te werken aan samenwerking?
36
Eigen aantekeningen • Wetgeving belemmert samenwerking Vanuit toezicht en handhaving worden belemmeringen ervaren met betrekking tot het naast elkaar leggen van gegevens. Dat is nu vanuit wetgeving vrij lastig. Pleidooi om gegevens in bezit van de overheid te mogen delen. We benadrukken om een opener begrip van privacy te gaan hanteren. Die is op dit moment teveel gekoppeld aan gegevens, maar dat moet gekoppeld worden aan informatie. We moeten toe naar een procesherontwerp vanuit vraag van burger en bedrijf. Bestuurlijk is dit gesprek makkelijker te voeren vanuit het besef van de gedeelde informatiepositie van de burger. Dat leidt dan vanzelf tot delen van succesvolle initiatieven. Dat werkt beter dan het huidige pushmodel vanuit de overheid. Het tempo van de technologie loopt uit de pas met bestaande regelgeving rond privacy. Die regelgeving is verouderd. • Het is een goed idee om een studieopdracht te verstrekken aan universiteiten om invulling te geven aan een ander. Meer op de bestaande technologische ontwikkelingen gestoelde, regelgeving rond privacy en transparantie te ontwerpen. Breng daarbij ook in kaart hoe het buitenland omgaat met dit privacyvraagstuk in relatie tot innovatie.
• Bussinesscase voor een overheidsappstore Wat je eigenlijk wil, is een overheid heel dicht bij de mensen. Dat betekent wel dat je wat beter nadenkt over het wezen van de dienstverlening. Dat vraagt om een voor burger en bedrijf toegankelijke overheid; waarbij voldoende work-arounds zijn om iedereen te betrekken. Vergelijk de manier waarop banken digitale dienstverlening ondersteunen. Deze is voor 80% van klanten toegankelijk; voor de overige 20% wordt gezorgd voor ondersteuning. Voor overheidsdienstverlening moet dan ook gestreefd worden naar een goede inrichting van een dergelijk steunpunt. En bij het inregelen van dergelijke overheidsdienstverlening moeten we onderzoeken of de opzet van een ‘overheidsappstore’ kan werken. Een dergelijke appstore bevordert standaardisatie en hergebruik en dat is vanuit perspectief van transparante dienstverlening een goed uitgangspunt. Voor het volgende diner informatieveiligheid wordt opgeroepen tot het uitwerken van een businesscase voor een dergelijke appstore. Het instellen van een nationale denktank vanuit overheid en bedrijfsleven om die businesscase te maken lijkt een goed idee. Onderwerpen die in die businesscase aan de orde zouden kunnen komen is bijvoorbeeld de ontwikkeling van een ‘overheids-Cloud’ maar ook licentiestructuren voor gebruik en privacyvraagstukken. Ook de betrokkenheid van universiteiten/ hogescholen lijkt een goed idee.
4. Op welke van deze drie onderwerpen moeten we de samenleving beter betrekken?
• Visie op informatiesamenleving Het perspectief van burgers rond delen van informatie is in hoog tempo aan het veranderen als gevolg van technologie. We kijken te weinig naar Hoe verder te werken aan samenwerking?
37
Eigen aantekeningen de kansen die met die ontwikkelende technologie samenhangen. We missen breed een visie op de informatiesamenleving 2020. Hoe kun je als samenleving een adequaat digitale dienstverlening organiseren? Burgers zijn competent om met risico’s om te gaan. Speel daar op in. Maar de overheid zit zichzelf ook stevig in de weg. Voorbeeld, het is niet mogelijk om een paspoort te laten bezorgen op een huisadres. We willen wel, maar we mogen het niet. Kaders en sturing moeten dan wel ‘horizontaal’ ingericht worden. Overheden weten nog veel te weinig van elkaar. Met name als het gaat over het gebruik en bezit van informatie. Overheid doet teveel aan het ontwikkelen van aanbod, maar vraagt zich onvoldoende af of ‘burger en bedrijf’ daar daadwerkelijk wat mee kunnen. Wat zou het mooi zijn om relevante informatie in ‘drie klikken’ te vinden. Onderzoek hoe dat zou moeten in nauwe samenwerking met de universitaire wereld. Ander voorbeeld, terugbetaling zorgkosten vanuit CAK. Rekening en persoonsgegevens zijn bekend vanuit perspectief eigen bijdrage. Maar die gegevens mogen niet gebruikt worden voor de zorgkostendiscussie. Die situatie is ontstaan in het verleden vanuit de privacy-discussie. Dat privacy-aspect zou herijkt moeten worden in die stip op de horizon. We constateren dat we een weg moeten vinden om met de overheid, het bedrijfsleven en de burgers een visie op deze informatiesamenleving te ontwikkelen. We stellen vast dat dit vraagstuk om sturing vraagt.In security wereld zien we veel tempoverschil; het bedrijfsleven gaat veel harder dan de overheid. Bij het bedrijfsleven is veel meer aandacht voor R&D. In die visie informatiesamenleving moet ook de overheid op dat vlak een tandje bijzetten.
Hoe verder te werken aan samenwerking?
38
Eigen aantekeningen
Een bli jvende coalitie Inform veilighe atieid is no dig Ook na 2014! .
5
5 Verslag thema 3
Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
39
40
Eigen aantekeningen 5.1 Verslag tafel 3: Hoe gerichtheid op
informatieveiligheid lange termijn te verankeren?
Tafel 3: Ira Helsloot
notulist Arjan de Jong
1. Welke drie acties/zaken zijn nodig om ervoor te zorgen dat bestuurders en topmanagers in gesprek blijven over informatieveiligheid? Uit het essay van Ira Helsloot, geschreven als inspiratie voor het Wereldcafé Informatieveiligheid, blijkt dat in het verleden een groot aantal ‘taskforces’ actief zijn geweest. Bijvoorbeeld de Taskforce Management Overstromingen. Een taskforce die in 2005 is ingesteld om Nederland beter voor te bereiden op de gevolgen van overstromingen. Taskforces worden gewoonlijk voor een korte termijn ingesteld en nadien weer ontbonden. De grote vraag die dat oproept is hoe de inspanningen en resultaten van een taskforce duurzaam gewaarborgd en verankerd kunnen worden. Hoe zorgen we ervoor, gegeven het feit dat informatieveiligheid een blijvend probleem is, dat het onderwerp informatieveiligheid niet van de (bestuurlijke) agenda verdwijnt na de ontbinding van de Taskforce Bestuur en Informatieveiligheid Dienstverlening eind 2014? Tijdens de verschillende gespreksrondes komt duidelijk naar voren dat informatieveiligheid vaak heel incident-gedreven wordt aangepakt. Meestal is eerst een ramp nodig voordat er wat aan gedaan wordt. Na een incident en escalatie raakt het onderwerp toch weer in de vergetelheid, totdat er zich een nieuw incident aandient. Dit wordt versterkt door de razendsnelle ontwikkelingen in het digitale domein die voor het gevoel zorgen dat men per definitie achter de feiten aanloopt. Vanwege deze ‘incidentgerichtheid’ zijn structurele maatregelen en blijvende awareness noodzakelijk. Hierbij dient niet alleen uitgegaan te worden van ‘worst case scenario’s’, maar moet er juist aangesloten worden bij de dagelijkse incidenten die plaats kunnen vinden en waar bestuurders zich aan kunnen relateren. Cybercrime groeit als maatschappelijk probleem en is na fietsendiefstal de tweede grootste vorm van criminaliteit. Naast grote scenario’s van black-outs waarbij het land drie weken of langer zonder energie of water zit, is er een mogelijk nog schadelijker scenario, namelijk het wegvallen van het vertrouwen in de complete ICT. Dit zal al dan niet indirect voor enorme schade zorgen in alle sectoren van de economie. Gezien de blijvende dreigingen dient de nadruk voornamelijk te worden Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
41
Eigen aantekeningen gelegd op het vergroten van de weerbaarheid. Een goede voorbereiding en adequate risicoanalyses kunnen helpen om op een juist manier met de dreigingen om te gaan. Op een gegeven moment wordt hierdoor een punt van weerbaarheid bereikt dat als ‘ voldoende’ kan worden bestempeld. Voor het bereiken van dat punt is echter wel de nodige kennis en kunde vereist, zowel bij bestuurders, topmanagers, lijnmanagers als medewerkers. Om de weerbaarheid te testen kunnen oefeningen worden georganiseerd, die bijvoorbeeld kunnen worden ondergebracht bij reguliere rampoefeningen. Indien er zich uiteindelijk toch incidenten voordoen zullen bedrijven en de overheid ruimhartig hun verantwoordelijkheid moeten nemen naar de consument of burger. Dit naar voorbeeld van de bankensector. Daarbij moet wel het unieke karakter van persoonsgegevens onderkend worden. Verlies van persoonsgegevens kan niet alleen financiële, maar ook persoonlijke gevolgen hebben. Door uitsluitend te denken in termen van risico’s worden vaak kansen niet gezien. Perspectieven op kansen die informatieveiligheid met zich meebrengt, blijven zo onderbelicht. Als Nederland zijn we een van de meest gedigitaliseerde landen ter wereld. Denk bijvoorbeeld aan de AMS-IX, het grootste internetknooppunt ter wereld. Nederland wordt door het ministerie van Economische Zaken genoemd als Digital Gateway to Europe. Dit brengt ons enorme voordelen, maar zorgt ook van kwetsbaarheden. Risico’s en kansen komen zo samen. Niet alleen bestuurders worden zich hier steeds meer bewust van, ook burgers zien het in. Dit verklaart de steeds luidere roep van burgers om meer controle over hun eigen data te krijgen.
2. Welke methoden helpen hierbij? Om de juiste balans te kunnen vinden zal wellicht een lichte vorm van wetgeving geïntroduceerd moeten worden, zodat partijen de voldoende inspanningen op het gebied van informatieveiligheid leveren, zonder dat de innovatie belemmerd wordt.
Deltacommissaris Cyberspace?
Investeringen in informatieveiligheid worden soms bemoeilijkt doordat de kosten en baten van deze investeringen niet altijd op dezelfde plaats terechtkomen. We zijn daarbij steeds meer verbonden in ketens, waardoor een onvoldoende investering van ketenpartners een gevaar voor alle met zich meebrengt. Het is dan ook belangrijk dat partners blijvend informatie over dreigingen uitwisselen, bijvoorbeeld binnen Information Sharing and Analyses Centres (ISACS) en hierop acteren. Om gezamenlijk op te trekken, regie te voeren en patstellingen te doorbreken, wordt er gedacht aan een deltacommissaris of een planbureau voor cyberspace. Die/deze zal echter wel voldoende doorzettingsmacht moeten hebben, want in de Verenigde Staten is een dergelijke constructie vastgelopen door een gebrek hieraan.
Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
42
Eigen aantekeningen 5.2 Verslag tafel 6: Hoe gerichtheid op
informatieveiligheid lange termijn te verankeren?
Tafel 6 Bertine Steenbergen
Notulist Suzie Kewal
1. Welke drie acties/zaken zijn nodig om ervoor te zorgen dat bestuurders en topmanagers in gesprek blijven over informatieveiligheid? • Security budget. Het is belangrijk om permanent een securitybudget vast te stellen. Hiermee toon je als afdeling ICT aan dat informatieveiligheid belangrijk is en borg je het in je bedrijfsproces. Het structureel (her)opleiden van medewerkers, lijnmanagers en bestuurders moet hier onderdeel van zijn. • Digitaal luchtalarm. Tevens leeft er in de groep het idee van een digitaal luchtalarm, bijvoorbeeld elke dinsdag van de maand. Op deze bewuste dag maak je de balans op als ICT- afdeling en communiceer je hierover met je bestuurder. • Burger centraal. Ook moet de burger als eigenaar van zijn gegevens centraal staan en vanuit dit gedachtegoed moeten bestuurders geprikkeld worden informatieveiligheid naar een hoger plan te tillen. Onderdeel van deze prikkel is transparantie naar de burger toe. • Ook het idee van een bestuurders app is besproken in de groep. Maak het voor bestuurders overzichtelijk welke dreigingen er zijn en communiceer middels een app.
2. Welke methoden helpen hierbij? Voor wat betreft de borging voelt de groep voor parlementair toezicht (op alle lagen), alsook voor een crisisoefening met de ministerraad (denk bv. aan het naspelen van DigiNotar), parlementariërs, bestuurders, college B&W, raadsleden, et cetera. Tevens rijst de vraag of een instituut als het College Bescherming Persoonsgegevens extra bevoegdheden moet krijgen ten aanzien van het snijvlak veiligheid en privacy. Ook het genereren van maatschappelijke druk als onderdeel van het borgingsvraagstuk is een optie (afsluiten DigiD bij niet voldoen aan DigiDbeveiligingseisen). Internationale kennisdeling en benchmarks zijn eveneens nodig. Naming and Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
Security budget
43
Eigen aantekeningen shaming is nodig, om bestuurders te prikkelen informatieveiligheid serieus op te pakken. Tevens moet de CIO een stevige rol krijgen in de organisatie en dienen we als overheid te leren van de private sector. Als overheid is het zaak dat we kaderstellend zijn: alle basiselementen moeten duidelijk zijn. Tevens is het van belang dat we als overheid één koers kiezen. Geen onderscheid maken tussen burgers en bedrijven. En in het gemeentefonds moeten we een percentage reserveren voor informatieveiligheid.
3. Welke partijen moeten bij elk van de drie acties/zaken betrokken worden? (publiek, privaat en wetenschap) [Deze is vraag is niet besproken]
4. Welke (verwachtingen t.a.v. de) rol heeft elk van deze partijen hierbij? [Deze is vraag is niet besproken]
5. Welke concrete stappen per actie dienen gezet te worden om bij het volgende Diner een voorstel te presenteren om het gesprek over informatieveiligheid blijvend vervolg te geven?
1. Informatieveiligheid dient te worden ingebed door het op te nemen in de portefeuille van de minister-president. 2. Voorkom versnippering. Als overheid doen we van alles en nog wat versnipperd. BZK moet regie nemen op informatieveiligheid bij de overheid. 3. Impactanalyse en budget. We moeten als overheid de risico’s inzichtelijk maken, de impact beschrijven en op basis hiervan structureel budget reserveren voor informatieveiligheid in de publieke sector. 4. Actieve dialoog. Voor het structureel borgen van informatieveiligheid is het verder van belang dat we hierover met elkaar in gesprek blijven. Als follow-up van de activiteiten van de Taskforce BID kunnen we bijvoorbeeld een stuurgroep informatieveiligheid overheid oprichten, met als voorzitter Brenno de Winter. 5. Evenwicht. We moeten als overheid informatieveiligheid enerzijds verplichten en anderzijds belonen als het adequaat wordt opgepakt.
Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
44
Eigen aantekeningen 5.3 Verslag tafel 9: Hoe gerichtheid op
informatieveiligheid lange termijn te verankeren?
Tafel 9 Henk Wesseling
Notulist Maria Donkersloot
1. Welke drie acties/zaken zijn nodig om ervoor te zorgen dat bestuurders en topmanagers in gesprek blijven over informatieveiligheid? “Informatieveiligheid is een raar probleem…als er geen incidenten zijn voelen we ook geen noodzaak er iets aan te doen. Hoe krijgen we dit onderwerp blijvend op de agenda?” De luchtvaart als voorbeeld. Hoe komt het dat niemand ‘vliegen’ of ‘auto rijden’ ter discussie stelt? Daar zijn incidenten (ongelukken), maar we stoppen er niet mee. In de luchtvaart is vertrouwen belangrijk, er is een groot economisch belang. Daarnaast is er wetgeving die zaken zoals audits, maar ook het publiceren van de resultaten daarvan, afdwingt. Hoe kan je die prikkels vertalen naar de overheid? Bij overheid mist het economisch belang, maar vertrouwen is key. Wie ligt er wakker van? Hoe kan de publieke sector leren van ervaringen in de private sector? Randvoorwaarde: de prikkels moeten niet alleen symbolisch zijn, maar echt werken!
• De burger als prikkel Je moet het vertrouwen van de burger organiseren (zie het stuk van Corine Prins) in een soort NMA/Algemene Rekenkamer. Binnen de overheid wordt zoiets al snel ervaren als negatief, controle, op de vingers kijken/tikken in plaats van het te zien als een manier om aan te tonen wat je al goed doet en welke zaken je nog kunt oppakken om het nog beter te maken. Hoe organiseer je het vanuit het positieve? - Elkaar aanspreken - PR en leren van elkaar aan de hand van (actuele) casussen. - Communicatie is belangrijk – maak het duidelijk en overzichtelijk.
• Accountability als prikkel In het bedrijfsleven is bewustzijn pas begonnen toen ze ophielden te wijzen naar de technici. Pas toen bestuurders accountable werden gemaakt, werd er budget en tijd beschikbaar gemaakt. - Risicobewustzijn is meer dan mentale awareness…ook middelen! Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
45
Eigen aantekeningen • Je kunt veiligheid niet delegeren. Het moet altijd op het allerhoogste niveau op de agenda staan. - Wanneer gaat een bestuurder harder lopen? Aanzien! En ook ambtenaren lopen het hardst als ze hun bewindspersoon uit de wind kunnen houden. -T rek accountability door naar transparantie en assurance. Laat een onafhankelijke derde controleren en publiceer de resultaten, een in-control-statement. -M aak een top 10 van organisaties die het goed hebben gedaan. Profileren, scoren! Dan hoeft het niet opgelegd te worden, dit moet je zelf willen organiseren. -O m vertrouwen te winnen moet er expliciet worden ingezet op zichtbaarheid. Dit kan alleen in nauwe interactie met de burger en het bedrijfsleven. Organiseer het niet alleen intern, maar ook met prikkels van buitenaf. Maak een gezamenlijke dynamiek. Ook extern is er energie die jou gaat helpen.
• Financiële prikkel Welke mogelijkheden zijn er om toch een soort van economisch belang te creëren? Positief: storting in een gemeentefonds indien zaken op orde zijn. Negatief: boete (aan controlerende instantie) of vergoeding/compensatie voor geleden schade (aan burger/bedrijfsleven).
• De politiek (Den Haag) en wetgeving als prikkel Er moet politieke druk zijn, anders sijpelt het door je vingers en blijft het niet hangen. De staatssecretaris moet professioneel boos worden. “De maat is vol…”, “Ik eis…”. Het is echter nog steeds erg incident-gedreven, we zitten inmiddels aan het 3e rapport in 5 jaar. In België is er wetgeving op dit gebied. Als je daar niet aan voldoet, dan ga je de bak in.
2. Welke methoden helpen hierbij?
• Cultuur Er is continue aandacht voor het onderwerp nodig. Het moet niet symbolisch worden, maar het moet ook niet voelen alsof je er constant bovenop moet zitten. Het moet daarom geïntegreerd zijn in je normale bedrijfsvoering, in je reguliere cyclus van normen, risicoanalyse, assurance en transparantie. Er moet een wisselwerking zijn tussen cultuur en regels. Regels moeten werken als een stimulans voor cultuur en niet andersom, er moeten keuzes worden gemaakt, prioriteiten worden gesteld en geld worden vrijgemaakt om dit goed in te richten en te borgen. Het moet niet alleen een vinkjes-cultuur zijn. Maak een lerende organisatie waarin prikkels bestaan, zodat het niet verstart. Ga daadwerkelijk testen (red-teaming), feedback organiseren, peerreviews, zodat iedereen ermee aan de slag kan.
Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
46
Eigen aantekeningen Maak arrangementen, geen regels, niet van tevoren al dichttimmeren. Maak het openbaar/transparant, niet schimmig en geheim. Ontkennen en geheim houden breekt het vertrouwen in de overheid af. “DigiNotar ging mis doordat ze het te lang onder de pet hebben gehouden of onder het matje wegmoffelen.” Niet in de schemer leren!
• Creëer (bestuurlijke) ruimte Een rem heb je om gas te kunnen geven. Start de discussie over risicoacceptatie. Rekenkamer, zero tolerance….alles moet 100%, maar ben je met minder dan dat ook nog in control? Welke risico’s accepteer je? Wat wil je bereiken en neerzetten? Bestuurders willen op tv om te kunnen scoren en wel vandaag. De Jager: “in 2009 heb ik aangegeven dat de problemen nog minstens tot 2017 zouden duren, want ons ICT-programma had nou eenmaal die planning. Eerder dan dat kon men ook niet verwachten dat het perfect zou zijn”. Je moet een omgeving hebben waar fouten gemaakt mogen worden. Ruimte om te leren en te ontwikkelen. Daar moet je als bestuurder voor gaan staan, die ruimte moet je creëren. Als een minister belooft dat alles volgend jaar geregeld en onder controle is, dan geeft dat niet veel rust. Dat schept scherpe verwachtingen…eisen. Ga weg van het incident, probeer erboven te staan, doe geen toezeggingen die je niet kunt nakomen. Je moet natuurlijk wel vooruitgang kunnen laten zien. Rapporteer alle fouten zelf. Maak transparant wat er mis gaat, dan wordt het minder interessant om erover te berichten/klagen.
Je moet een goede bestuurder zijn om de rust te hebben om die ruimte te kunnen creëren. Wat is een goede bestuurder? Iedereen vindt dat wel van zichzelf, maar (bijna) iedereen heeft de wens om te pleasen of te scoren. Wat zou helpen om ervoor te zorgen dat je slechte bestuurders kunt compenseren? • Zorg voor deskundige topambtenaren, daar drijft een bestuurder op. • Organiseer een discrete masterclass, toegerust op de rol als bestuurder. • Programma ook voor kamerleden aanbieden. • Weten waar je ‘ja’ of ‘nee’ tegen zegt.
• Leersysteem organiseren Op bestuurlijk niveau moeten er coalities worden gesmeed. Organiseer het netwerk (iedereen moet een inspanning willen leveren), de gezamenlijkheid. Het moet een gezamenlijk probleem/uitdaging zijn. Verkenners zijn belangrijk, er zijn voorlopers nodig waar anderen van kunnen leren. Organiseer peer-reviews. Breng in kaart wat er al aan gremia met initiatieven is om de horizontale benadering vorm te geven en bepaal hoe je daarvan kunt leren en hoe je daarop kunt voortbouwen.
Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
47
Eigen aantekeningen Misschien worden we nog te weinig aangesproken door de mensen die de producten daadwerkelijk afnemen. Ga de dialoog aan. Zet de burger centraal en laat hen participeren. Veel prikkels zijn er al, probeer niet het wiel opnieuw uit te vinden. Er wordt ook al veel afgedwongen door kaders zoals VIRs en BIRs. Er moet een centraal vastgesteld objectief kwaliteitsniveau zijn, maar de uitvoering moet decentraal worden opgepakt. Voor een deel is het een beeld hebben van wat er allemaal al kan of is binnen je eigen organisatie, maar kijk ook over schuttingen heen. Bij de DigiNotar-affaire bleek Microsoft ook in de keten te zitten. Maak dat inzichtelijk. Het is echter te complex geworden om het allemaal in één keer inzichtelijk te maken, dus maak een overzicht wat kan (mee)groeien. Begin niet met het einddoel, maar start ergens en zorg telkens dat de volgende stap je vooruit brengt. Als je vasthoudt aan het eindpunt, dan staar je je daar blind op. Je moet iets hebben wat als opgave heeft om alles informatieveilig te maken. Een centraal instituut wat geen vinkcultuur heeft, maar een leercultuur. Er moet een dragende kracht zijn, een organiserend gremium (zeker de komende 5 jaar) wat helpt om het leerproces op te zetten, in te richten, agendeert en prikkels organiseert. Uiteindelijk moet iedereen het zelf (kunnen) doen, maar het moet “iemand” zijn die het aanzwengelt. Wet en regelgeving is randvoorwaardelijk, maar daar dwing je verankering niet mee af. Het elektronisch patiëntendossier is lange tijd gegijzeld geweest door angst voor security en privacy. Er moet een balans worden gevonden. Hoe vind je de balans? Het is vaak een feestje van ICT. Men moet zich ervan bewust worden dat het een informatievraagstuk is en een procesprobleem. Alle ICT-problemen zijn ontsproten als procesprobleem.
• Overwegingen Er wordt nog een gemis aan visie ervaren: wat wil Nederland hiermee? Je bent altijd te laat, omdat je bezig bent met de problemen van gisteren. Wetgeving loopt daarin dus ook altijd achter, regels alleen zijn nooit sterk genoeg. De juiste expertise is een probleem. “Bij de provincies speelt het onderwerp niet, daar wordt slechts het minimale gedaan. Het ontbreekt aan geld en kunde.” “We willen als gemeente vaak burgers helpen, maar we worden door Den Haag vaak beknot. Er is te weinig expertise om binnen 403 gemeenten te blijven werken aan dit onderwerp.”
Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
48
Eigen aantekeningen 3. Welke partijen moeten bij elk van de drie acties/zaken betrokken worden? (publiek, privaat en wetenschap) [Deze is vraag is niet besproken]
4. Welke (verwachtingen t.a.v. de) rol heeft elk van deze partijen hierbij? [Deze is vraag is niet besproken]
5. Welke concrete stappen per actie dienen gezet te worden om bij het volgende Diner een voorstel te presenteren om het gesprek over informatieveiligheid blijvend vervolg te geven?
• Perspectief bieden en uitwerken voor de langere termijn. Korte termijn geeft teveel druk en daar loop je jezelf op klem • Transparantie creëren • Opleiding – ruimte voor een leeromgeving • Awareness – peerreviews
Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
B
Bijlage
Aantekeningen tafels
50
I
Inhoud
1 Thema 1: Inspelen op informatisering door technologische ontwikkelingen
Tafel 1: Douwe leguit______________________________________________________________ 51
2 Thema 1: Inspelen op informatisering door technologische ontwikkelingen
Tafel 4: Hans Goedhart____________________________________________________________ 52
3 Thema 1: Inspelen op informatisering door technologische ontwikkelingen
Tafel 7: Frans Backhuijs___________________________________________________________ 53
4 Thema 2: Hoe verder te werken aan samenwerking?
Tafel 2: Geert Munnichs___________________________________________________________ 54
5 Thema 2: Hoe verder te werken aan samenwerking?
Tafel 5: Mark van Twist____________________________________________________________ 55
6 Thema 2: Hoe verder te werken aan samenwerking?
Tafel 8: Alexander Meijer__________________________________________________________ 56
7 Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
Tafel 3: Ira Helsloot_______________________________________________________________ 57
8 Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
Tafel 6: Bertine Steenbergen_______________________________________________________ 58
9 Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?
Tafel 9: Henk Wesseling___________________________________________________________ 59
51
1 Thema 1: Inspelen op informatisering door technologische ontwikkelingen
Tafel 1: Douwe leguit
4 Aanbestedingen: hoe neem je beveiliging hier adequaat in mee?
4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4 4
o expliciet maken = kosten o eisen bij de tijd houden over de jaren heen Een overheid voor gebruiker en klanten ‘What’s in it for me?’ om informatie te delen? Wat zijn de informatiemakelaars? En hoe houd je die groep - integratie gaat verder dan wij zientransparant? Big data – positief-negatief- gebruiker Technologie- welke partijen? Informatieveiligheid in breed ICT-kader: Nadenken over innovatief vermogen, overheid in relatie tot aanbesteding. Flexibele tijdelijke regulering, die ‘ontluikend namens’ regulieren. Seeing = beleving + verankeren in P&C. Software ontwikkeling houdt hardware ontwikkeling niet bij (kwaliteit van de software). Wat is de relatie met de internationael spelregels? Geen regelgeving, maar handreikingen en regie vanuit de centrale overheid. Dit vraagt ook om zelfbeheersing Wij zeggen als overheid niet wat de burger moet doen, wij horen wat wij moeten doen Geleiden in plaats van tegenwerken kader; transparante regie, voldoende weerstandvermogen Wat is ons lerend vermogen - als onderdeel van de overheidsbrede ontwikkelingen op ICT – is noodzakelijke randvoorwaarden vanuit: overheid -Stappenplan en handleidingen? Het huidige aanbestedingsbeleid voldoet niet, ICT, rekening houdend met verschillende belangen PPS Adaptief vermogen, wat zijn de normen van de samenleving, faciliteren van de dialoog, het proces Faciliteer medewerkers ten behoeve van de veilige uitvoer van de taken Technologie is leidend vermogen Eigendom van data en gebruiker- voor wie is privacy een issue? Privacy, wat is dat precies? En wat zijn de mogelijk heden? Google glass – bang- nieuwe wereld- drone- VS- ontwikkelingen Denk ‘out of the box’- wetenschap, trendwatchers, visionars Slotdocument van de Taskforce BID nodig (stappenplan en handreikingen)
52
2 Thema 1: Inspelen op informatisering door technologische ontwikkelingen
Tafel 4: Hans Goedhart
4 Drie ontwikkelingen: ADAPAT, Bring Your Own, 3 D Printing 4 Internet of Things – onder andere Quantified Self 4 Friendly Hackers 4 Samenleving- ketenvraagstuk publiek/privaat- zorgplicht- opdrachtgeverschap 4 Regie - visie, Overheid + Europa, waterschap, bedrijfsleven, sociale partners, samenleving 4 Apps 4 Knowledge & history based authectiation 4 Minister 4 Doorzettingsmacht 4 I- strategie, apps, open data, hacken, MP- concreet 4 BYOD meet devices – meer participatie van de burger- wordt meedenken 4 Verdere automatisering van basisprocessen 4 High level activiteiten EZ – e-Identificatie- big data- wie is eigenaar van gegevens – zorgplicht 4 Gevolg democratie - besparing 4 Leer van Denemarken 4 Voorkant is niet geregeld. Kijk naar de crisis en de rampbestrijding (grip…) 4 Security technologie. Preventie & detectie 4 Cloud- veel partijen. Big data (overheid maakt …..)
53
3 Thema 1: Inspelen op informatisering door technologische ontwikkelingen
Tafel 7: Frans Backhuijs
4 Risico perceptie en vertrouwen 4 De rijks Cloud; robuust à la belastingdienst 4 Secure data strategie 4 Open data 4 Eigenaarschap 4 BIG Data 4 BIG information voor overheid (rijk, gemeente en belastingdienst), CBP en ZBO’s 4 Toegankelijkheid Encryptie 4 Organiseer de kennis uit de samenwerking 4 Raad voor de transport veiligheid – Raad voor de informatieveiligheid, niet alleen overheid - veiligheid 4 Lopende initiatieven – ICT- sector- Burger initiatief - Niche spelers – Hackers –Banken - wetenschap 4 Nieuw perspectief op privacy, zowel publiek als privaat (mengt zicht steeds meer) 4 Re-think privacy en confronteer met ‘onze’ oude waarden = i- autoriteit 4 Minder scheiding tussen publiek en privaat 4 Best Practices: -Estland en Denemarken
54
4 Thema 2: Hoe verder te werken aan samenwerking? Tafel 2: Geert Munnichs
4 Eerst gedeeld beeld/taal 4 Incidenten helpen 4 Bewustwording groeit 4 Grote afhankelijkheden 4 Meer regie op de uitvoering, basis infrastructuur 4 Onderwijzen voor lange termijn strategiesamenwerking: cloud; gebruik google; bewustwording; keten
4 4 4
afhankelijkheid; decentralisaties; samenwerken, geen nieuw bouw systeem VISO; Mens zwakste schakel vertrouwen/integriteit; doelbinding; burger als startpunt; doorbraak in dienstverlening; merendeel VS is radicaal; iedereen- heel Rijk! Regie- gezamenlijke visie- begrippenkader Samenwerking privaat- IB bewustwording kan niet zonder burger- burger is integraal onderdeel van de keten. Illusie dat overheid alles kan/controle- hoe bewust is de burger?- regie VS Bewustwording- ketenafhankelijkheden- decentralisatie 2015, privacy/doelbinding, mens zwakste schakel, systeemkoppeling, burger eigen digitale domeinnaam geven (duurt 5 of 10 jaar), pilots uitvoeren, nieuwe systeemkoppelingen, meer regie op nationaal niveau, autorisatie gegevens opnieuw opzetten, kan burger overheid vertrouwen, ombudsman kan te makkelijk scoren
55
5 Thema 2: Hoe verder te werken aan samenwerking? Tafel 5: Mark van Twist
4 Wat doen we aan de ‘gap’ tussen regelgeving en technologische ontwikkelingen? 4 Zijn veiligheidsgegevens van de burger/instelling/bedrijf te garanderen? 4 Is een digitaal bouwbesluit een oplossing? Nee= minimum standaard= ook maximum standaard? 4 Samenwerking Overheid- visie/regie ; wetenschap, bedrijfsleven en samenleving 4 Revolving fund Overheid- banken bijdrage 4 Menselijke factor- educatie burger, bedrijf, professional (niche werken) 4 Opdrachtgever moet weten wat ze bestelt. Proactief- Urgentie 4 Positieve prikkels introduceren, verantwoordelijkheden beleggen/voelen 4 Open Clouds; wat stel je wel/niet beschikbaar en hoe? 4 Digitaal bouwbesluit is zelfregulering 4 NL is een voorloper op dit moment 4 Regelgeving – niet achter de muziek aanlopen – duidelijkheid 4 Samenwerking - Structuur. Niet teveel clubjes… 4 Wat is vitaal m.b.t. digitale veiligheid?
56
6 Thema 2: Hoe verder te werken aan samenwerking? Tafel 8: Alexander Meijer
4 Horizontalisering digitalisering – digitale overheid 4 Re-Framen naar winst voor inwoners en bedrijven 4 Zoeken naar nieuwe kaders en waarden 4 Herdefinieer de definitie ‘privacy’ (de betekenis is adequaat; wat is veilig en wat niet) (model) – betreft 4 4 4 4 4 4 4
rechtelijke macht, waar lopen zij tegenaan? Standaard= wij delen informatie. Gedeelte informatiepositie inwoners/bedrijven als vertrekpunt Economy of scales Fallback-scenario is van groot collectief belang (waarborgfonds reizen) Voer meer onderwerpen van deze methoden Taskforce BID in Maak een businesscase Oerheidsappstore / marktplaats Hergebruik R&D, luchtvaart, overheid, private, overheid
57
7 Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren? Tafel 3: Ira Helsloot
4 Delta- commissaris, cyber space Nederland beschikbaarheid, meer dan ‘informatieveiligheid’ 4 Kunnen overheden een voorbeeld nemen aan banken als het gaat om regie en vertrouwen van de burger 4 4 4 4 4 4
in haar dienstverlening? Bewustwording/crisis. Nodig: bevoegdheden/doorzettingskracht, geld/gegarandeerd, bestuurlijke betrokkenheid naar burgers Bewustwording belangrijk, maar wel oppassen dat bewustwording vertrouwen niet ondergraaft – ‘veilige informatie’ moet zo vanzelfsprekend zijn als een sluitende begroting Informatieveiligheid – onderscheid maken tussen open en besloten - focus! Hoe verbind je het? Het belang van het verhaal en wie vertelt het?= belang van monitoring = meedoen op de golf (DigiNotar, Snowden etc). Innovatie/belang van groei Acceptatie- vervlechting kansen en risico’s, makkelijk kadertje voor audit/ICT-commissaris
58
8 Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren? Tafel 6: Bertine Steenbergen
4 Wat na Taskforce BID? Borgen- standaard- sturing in de organisatie- transparantie 4 Internationale kennis delen. Leren van andere landen. Bijvoorbeeld van Denemarken 4 Real-time audit – iedereen CISSP 4 Overheid focust op eigen dienstverlening met betrekking tot de digitale security. Faciliteer de private omgeving. Leg niet op! Het belang voor privaat is evident.
4 Me and MY DATA ‘Ghostary’ plug in. Zelf bepalen wie wat krijgt. 4 Elke 1e dinsdag van de maand om 12:00 uur een security check (val luchtalarm digitaal) invoeren 4 Opleiding, basiskennis, kwaliteitsslag 4 Triggers – permanente educatie, informatie , informatieveiligheid, bestuurders 4 De burger heeft recht op informatie 4 E-learning 4 App-store 4 IPO 4 CTO platform 4 PPS 4 In contact Statement 4 Bij bestuurlijke gremia, hoe krijgt de burger invloed op privacy. Professionals cultuur + link bestuurder4 4 4 4 4 4 4
data minimalisatie – privacy-coalitie CBP Coalitie of EU; invulling van bestuur houden! Prikkel in de keten Professional opdrachtgever Brenno de Winter betrekken Doorzettingsmacht – de governance Bewustwording, gedrag, handhaving, samenhang Maak overtreding. Publiek = bewustwording. Imagoschade werkt beter dan sancties.
59
9 Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren? Tafel 9: Henk Wesseling
4 Geen incidenten, geen noodzaak iets te doen. Hoe blijvend op de agenda? 4 Economisch belang ontbreekt, vertrouwen is key 4 Prikkels moeten niet alleen symbolisch zijn, maar ook echt werken 4 Het vertrouwen van de burger organiseren in een soort NMA/Algemene Rekenkamer 4 Elkaar aanspreken 4 PR en leren van elkaar aan de hand van (actuele) casussen 4 Communicatie is belangrijk – maak het duidelijk en overzichtelijk. 4 Risicobewustzijn is meer dan mentale awareness…ook middelen! 4 Trek accountability door naar transparantie en assurance 4 Drie punten voor permanent leven is: politieke druk, accountability, risico bewustzijn, tone at the top 4 Denkvaardigheid: laat techniek zien, golfmodel, ontwikkeling, toezicht, melding en transparantie, bewust4 4 4 4 4 4 4 4 4 4 4 4 4
wording-perceptie-beveiliging-, testen/hacken Maak een top 10 van organisaties die het goed hebben gedaan Financiële prikkel nodig; storting in gemeentefonds of boete voor geleden schade Politieke druk is nodig, professioneel boos worden Continue aandacht voor het onderwerp is nodig; geïntegreerd in normale bedrijfsvoering Wisselwerking tussen cultuur en regels Maak arrangementen, geen regels, niet van tevoren al dichttimmeren Er is ruimte nodig om te leren en te ontwikkelen Ga weg van het incident, probeer erboven te staan, doe geen toezeggingen die je niet kunt nakomen Op bestuurlijk niveau moeten coalities worden gesmeed Zet de burger centraal Probeer het wiel niet opnieuw uit te vinden Wet- en regelgeving is randvoorwaardelijk, maar ding je verankering er niet mee af Je bent altijd te laat, omdat je bezig bent met de problemen van gisteren
www.taskforcebid.nl Vragen?
De Taskforce BID beantwoordt deze graag (
[email protected])