juni 2012 • nummer 1
CIP-post Centrum Informatiebeveiliging en Privacybescherming, kortweg CIP, is niet het zoveelste initiatief om een lastig probleem succesvol te lijf te gaan. CIP past in het actuele streven naar een compacte overheid. De winst zit hem in het bundelen en beschikbaar stellen van de aanwezige kennis en ervaring, het op elkaar afstemmen van de activiteiten en het delen van schaarse middelen en mankracht.
Gebundelde kennis; één wiel uitvinden Belangrijk voordeel is ook dat binnen het centrum een breed netwerk opgebouwd wordt, zodat medewerkers van diverse participanten elkaar op de belangrijke onderwerpen snel kunnen vinden. Door het bijeenbrengen van deskundigen van zowel overheidsorganisaties als marktpartijen zijn we in staat ervaringen en werkwijzen te delen en op elkaar af te stemmen. Er zijn veel goede praktijken bij de verschillende organisaties ontwikkeld. De kunst is om die zoveel mogelijk te gaan hergebruiken. Ook voor nieuwe vraagstukken is het krachtig om samen over beleid en oplossingen na te denken. Het idee is ontstaan tijdens een overleg van het CIOplatform en opgenomen door de Stuurgroep Compacte Rijksdienst. ‘We doen steeds meer met internet en dan is veiligheid van informatie cruciaal! Hier kun je het vertrouwen van de burgers niet verspelen en dus heeft informatiebeveiliging en privacybescherming absolute urgentie’, aldus Frans Haverkamp, hoofd CIO UWV.
in dit nummer: • De betrouwbare digitale overheid • De voortrekkers van CIP • Vertrouwen als doelstelling • Geslaagde aftrap • Samenwerken op basis van vertrouwen
Het einddoel is uitdagend; een veilige en betrouwbare overheid als het om gegevensopslag en -verwerking en dienstverlening over internet gaat. De manier om er te komen is inspirerend en nieuw. En de voordelen voor de deelnemers, de overheid en uiteindelijk de burgers en bedrijven, zijn veelbelovend.
De betrouwbare digitale overheid
Niemand beheert zo veel informatie en persoonlijke gegevens als onze overheid. Een grote verantwoordelijkheid, want iedereen moet erop kunnen vertrouwen dat de overheid zijn informatietaken goed uitvoert en onze persoonlijke gegevens veilig zijn. Een hele uitdaging in tijden van cloud computing, online communicatie en andere nieuwe vormen van informatieverwerking.
Om die uitdagingen succesvol het hoofd te kunnen bieden, is een expertisecentrum opgezet waarin overheidsorganisaties hun kennis en ervaring kunnen bundelen. Centrum Informatiebeveiliging en Privacybescherming, kortweg CIP. Doel van het expertisecentrum is om alle kennis op dit vlak, die bij de instanties aanwezig is, te verzamelen en te delen. Zodat partijen van elkaar leren, elkaar kunnen ondersteunen en de beste werkwijzen kunnen bepalen. Verschillende diensten zullen worden ontwikkeld om de participanten te ondersteunen bij de beveiliging van hun informatiehuishouding. De eerste stappen tot realisatie van CIP zijn dit voorjaar al ondernomen. Als alles naar wens verloopt, zijn de eerste resultaten dit najaar al zichtbaar.
CIP-Post is de nieuwsbrief van CIP, die u de komende tijd zal informeren over de genomen en nog te nemen stappen. De insteek is om met vereende krachten en uit bestaande middelen te komen tot een optimaal niveau van beveiliging van de informatiestromen en een overheid waarvan men zeker kan zijn, dat persoonlijke gegevens er in goede en veilige handen zijn. Het accent in de komende tijd zal liggen op kennisuitwisseling en het delen van best practices. Als dat eenmaal werkt zal ook het gezamenlijk ontwikkelen van standaardoplossingen mogelijk worden. Meer samen gaan doen en minder ieder voor zich. Dat zal ook een gunstig effect kunnen hebben op de kosten.
De voortrekkers van CIP De stuurgroep Compacte Overheid heeft UWV, SVB, DUO en Belastingdienst/Toeslagen verzocht om samen het expertisecentrum op te zetten. Als grote uitvoeringsinstanties die uitkeringen aan burgers doen hebben zij te maken met zware eisen aan informatiebeveiliging en gegevensbescherming. Zij staan midden in de praktijk en daarmee dicht bij oplossingen.
operatie hebben op het vakgebied van informatiebeveiliging en privacybescherming zich als kennispartner aan het CIP verbinden. Iedereen voegt extra waarde toe aan het expertisecentrum en profiteert mee van de gebundelde kracht.
Andere geïnteresseerde overheidsorganisaties zijn welkom om ook deel te nemen in de samenwerking. Daarnaast kunnen marktpartijen die een relevante
Namens het UWV is Ad Reuijl aangesteld als voortrekker, met als initiële opdracht het bijeenbrengen van de partijen en het opzetten van de organisatie. De afspraak is dat dit budgetneutraal zal gebeuren, hetgeen betekent dat de deelnemers hun activiteiten uit eigen budget bekostigen.
‘De eerste conferentie op 20 maart jl. is bezocht door maar liefst 35 mensen van 18 verschillende organisaties en dat is natuurlijk enorm motiverend voor een net gestart initiatief’, vertelt Ad Reuijl. ‘De formele startdatum van CIP is op 6 juni en de vakantieperiode wordt gebruikt om de eerste diensten beschikbaar te
krijgen. We zijn ervan overtuigd heel snel successen te kunnen boeken, omdat veel partijen al over de nodige kennis beschikken. Als het vliegwiel van kennisdelen en samenwerken eenmaal op gang komt, dan kan je met minder inspanning uiteindelijk meer bereiken.’
Vertrouwen als doelstelling Het doel van CIP is niet in cijfers of in het aantal calamiteitmeldingen te meten. Uiteraard is het de bedoeling om via kennisdeling en afstemming te komen tot optimale informatieprocessen bij de overheid. Uiteindelijk zal het vertrouwen dat de burger in de digitale processen van de overheid stelt, bepalen hoe succesvol CIP is. Dit geldt ook voor het vertrouwen van overheidsinstanties onderling op dit gebied.
We leven in tijden van bezuinigingen en soms kennisschaarste. Efficiënt met middelen en mankracht omgaan is belangrijker dan ooit tevoren. In het geval van CIP werkt dit niet beperkend, maar opent het de weg naar nieuwe samenwerkingsvormen. Het is zaak om de doelen te realiseren met de bestaande mensen en middelen, door gebruik te maken van de gebundelde kracht van de instellingen en hun partners. Wat dat betreft hoopt CIP een voorbeeld te zijn voor alle andere informatieverwerkende organisaties.
Geslaagde aftrap bijeenkomst waarbij alle belangrijke spelers aanwezig waren op het gebied van security in de overheidsketen. Wat me opviel was de openheid waarmee de partners over hun eigen organisatie spraken. Er zijn veel nuttige en belangrijke zaken besproken en er is zeker behoefte aan een vervolg.’
De startbijeenkomst op 20 maart was bedoeld om de eerste concrete stappen te zetten op weg naar een gezamenlijk expertisecentrum. Deze bijeenkomst werd bijgewoond door medewerkers van verschillende overheidsinstellingen. Ad Reuijl, Bart van Staveren en Petra van Dellen van UWV tekenden voor de organisatie van deze vruchtbare eerste bijeenkomst.
De dag heeft veel opgeleverd. Ad Reuijl: ‘We hebben elkaar leren kennen en de basis gelegd voor een effectieve samenwerking. De aanwezigen waren erg betrokken bij de bepaling van de richting, waarin het plan wordt afgerond. En van de onderwerpen waarmee we gaan starten. We hebben een goede eerste stap gezet’. Prioriteiten Top 5 1. Opzetten en onderhouden van kennisnetwerken met participanten en kennispartners. 2. Tot stand brengen, onderhouden en uitdragen van gemeenschappelijke normenkaders.
Het doel was om het conceptplan te presenteren en de instellingen te interesseren tot deelname als participant. Door de groep zijn de beste samenwerkingsvormen bepaald en in de middagsessie is verkend welke diensten en kennisgebieden het expertisecentrum als eerste moet oppakken.
3. Tot stand brengen van secure hulpmiddelen, zoals de overheidsdropbox, federatieve single sign-on en werkgever-DiGiD.
Namens het ICT-bedrijf van UWV nam Martin Franse deel aan de dag: ‘Het was een nuttige
5. Aanbieden van awareness trainingen en workshops.
4. Opzetten van een consultancy voor hulp op afroep met hoogwaardige IB-expertise vanuit CIP.
Samenwerken op basis van vertrouwen Informatie met elkaar delen, open communiceren en samen focussen op een gezamenlijk doel. Succesvol samenwerken lukt alleen als die samenwerking is gestoeld op wederzijds vertrouwen. Ook bij CIP. Je hebt het dan niet alleen over het inbrengen van best practices maar ook over het onderling delen van leerpunten en kwetsbaarheden. Om eerst te investeren om daarna te kunnen profiteren. Alleen op die manier kom je gezamenlijk tot een expertisecentrum en uiteindelijk tot betere oplossingen. De participanten binnen CIP, de initiatiefnemers, deelnemende organisaties en instanties en de kennispartners, spreken dat vertrouwen in elkaar uit door ondertekening van een convenant. De participanten spelen een belangrijke rol in CIP. Buiten de vier initiatiefnemers, UWV, SVB, DUO en Belastingdienst, zal ook een aantal organisaties gaan participeren die elkaar al kennen
van het Manifestgroepoverleg. Ook enkele organisaties buiten de Manifestgroep hebben belangstelling getoond om zich aan te sluiten. Alle overheidsdiensten die met informatiestromen werken, met name de uitvoeringsinstanties, worden gestimuleerd om zich bij CIP aan te sluiten. Hun kennis en hun inbreng vormen de basis van CIP. Het is immers een expertisecentrum van, voor en door de overheid. Hoe meer participanten, hoe meer kennis, middelen en mankracht, hoe waardevoller het expertisecentrum en hoe beter de uiteindelijke resultaten. Ook niet-overheidsorganisaties, zoals de ICT-leveranciers en adviseurs die voor de overheidsorganisaties werken, zijn overigens van harte uitgenodigd om bij te dragen. Met als investering kennis en kunde en hun rendement is een plaatsje op de voorste rang bij de ontwikkeling van een gedegen informatiehuishouding bij de overheid.
Met enkele organisaties die al een centrale rol spelen in overheidsland zoekt CIP structureel contact: - Nationaal Cyber Security Centrum - College Bescherming Persoonsgegevens - Rijks Audit Dienst - King Marktpartijen die als kennispartner meedoen of waarmee CIP in gesprek is over kennispartnership: - MS - Atos - NetIQ - CAP - NL Net Labs - Cisco - Noordbeek - Deloitte - Oracle - E&Y - Ordina - IBM - PWC - LBVD - SIG - Logica - Sogeti - KPMG - Unisys - KPN - VKA - Motiv
Structuur in de netwerkorganisatie Het leidende principe voor CIP luidt: ‘vóór allen, door allen’ en betekent voor de organisatie van haar activiteiten in concreto dat wordt uitgegaan van enerzijds een kleine, vaste kern van mensen die vanuit het CIP werkzaam zijn en anderzijds een netwerk van mensen die voor een stukje van hun tijd inzetbaar zijn vanuit de organisaties van participanten en kennispartners. Een viertal permanente werkgroepen (zogenaamde domeingroepen) wordt voorgezeten door trekkers van DUO, Belastingsdienst, SVB en UWV. Zij gaan met de leiding van CIP samen het management-
team vormen van de netwerkorganisatie. Elke domeingroep zal worden samengesteld uit medewerkers van meerdere participanten. De vier domeingroepen zullen elke een eigen kenniscluster beheren. Die clusters worden: Privacy, Normenkaders, Awareness en Ketenafhankelijkheden. Naast de domeingroepen zullen nog enkele werkvormen worden toegepast: tijdelijke werkgroepen (voor het realiseren van concrete deliverables), ronde tafels (georganiseerd door kennispartners) en conferenties (voor plenaire terugkoppeling naar alle participanten en kennispartners).
participanten en geïnteress ee de conferentie van 20 maart SVB Dhr. Kreleger Dhr. Gmelig Meijing Dhr. Backer
directeur Informatiemanagement lead architect Informatiemanagement CISO
Belastingdienst Dhr. Polkerman Dhr. Goudbeek Dhr. Lovink
CTO security officer security specialist
DUO Dhr. de Widt Dhr. Jean Pierre Dhr. Dragstra
centrale security officer functionaris gegevensbescherming ICT security manager
Provincie Groningen Dhr. Wekema Mininisterie OCW/DUO Dhr. W.J. Molema CJIB Mw. Oeseburg Dhr. van den Berg
adviseur Strategie en Beleid informatiebeveiligingsfunctionaris
Kadaster Mevr. Weerman Mevr. Zegers
privacy functionaris adviseur Informatiebeveiliging
RDW Dhr. Steunebrink Mininisterie BRP BZK Mevr. de Jong NCSC Dhr. Stofbergen RWS Dhr. Buursink Dhr. Yildirim
senior adviseur ICT Strategie en Sturing senior consultant Information Security
ss eerden die deelnamen aan rt UWV Dhr. Haverkamp Dhr. van Alphen Dhr. Franse Dhr. van Staveren Dhr. Koers Mevr. Unk Dhr. Reuijl Mevr. van Dellen Dhr. Heestermans Dhr. Tewarie
chief Information Officer hoofd ICT Services teammanager Productie Management beleidsadviseur Beveiliging & Privacy senior Enterprise Architect functionaris Beveiliging & Privacy UWV kwartiermaker Beveiliging & Privacy secretaresse Beveiliging & Privacy beleidsadviseur kwaliteit UWV bedrijfseconomisch adviseur AD
RAD Dhr. Roodnat Dhr. Jacobs
clustermanager clustermanager
BKWI Dhr. Breeman Dhr. Strolenberg
CISO BKWI security officer BKWI
Mininisterie BZK Dhr. Mendrik
coördinerend senior beleidsmedewerker
Ministerie SZW Dhr. Slijkhuis
senior beleidsmedewerker
OM Parket Noord Nederland Dhr. Kamstra
Dagelijks worden op tal van gebieden initiatieven ontwikkeld. Om duidelijk en onderscheidend te zijn heeft CIP een eigen logo ontwikkeld. De keuze is gevallen op een solide vormgeving met een overkoepelend dak gesteund door pijlers. Hiermee wordt de samenwerking tussen de verschillende partijen, welke gaan zorgen voor de informatiebeveiliging en privacybescherming van burgers, gesymboliseerd.
meer weten over cip? Als u meer wilt weten over de doelstellingen en activiteiten van CIP bezoek dan de website www.cip-overheid.nl.
Voor meer informatie over uw deelname als participant of kennispartner neemt u contact op met Ad Reuijl.
Colofon Dit is CIP-Post, de nieuwsbrief van Centrum Informatiebeveiliging en Privacybescherming kortweg CIP. CIP-Post is van en voor de deelnemers van dit initiatief en bestemd voor onderlinge promotie en informatie over activiteiten. Heeft u suggesties of wilt u direct een bijdrage leveren? Mail dit naar
[email protected]. Concept en realisatie: Adrenaline Communicatie BV
