Over vernetwerken van informatie, decontextualiseren … en meer Op 15 maart 2011 heeft de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) het rapport iOverheid aangeboden aan de regering. In dit rapport concludeert de WRR dat in de dagelijkse digitale praktijk een ioverheid is ontstaan die gebruikmaakt van nieuwe informatiestromen die door ICT mogelijk zijn gemaakt. Deze nieuwe i-overheid loopt echter flink uit de pas met de bestaande structuur en de verantwoordelijkheden van de overheid. De overheid staat voor de uitdaging om op een nieuwe manier om te gaan met de inzet van ICT in het openbaar bestuur. De kunst voor de overheid daarbij is om niet alleen ICT op innovatieve wijze te gebruiken in haar beleid en beleidsuitvoering maar tegelijkertijd ook haar burgers te beschermen tegen de voorzienbare en onvoorzienbare effecten van ICT en in het bijzonder complexe informatiestromen. Over dit intrigerende thema spreken we met Corien Prins, hoogleraar Recht en Informatisering aan de Universiteit van Tilburg en raadslid bij de WRR. In die functie is zij verantwoordelijk voor en auteur van het rapport iOverheid. Voor haar bepalende bijdrage aan het WRR-rapport ontving zij de ICT Personality Award 2011; de jury noemt het een van de beste studies van de laatste jaren op het raakvlak van overheid, samenleving en informatisering. THEA GERRITSE EN THOMAS WIJSMAN
Zou je de boodschap van het WRRrapport voor ons kunnen samenvatten? 'De boodschap van het WRR-rapport is dat de overheid onder invloed van digitalisering van gedaante is veranderd van een eoverheid naar een i-overheid. Op dit moment zijn er veel instanties binnen de overheid die nog denken, redeneren en beleid voeren vanuit de e-overheidgedachte en niet vanuit de i-overheid. Wat is dan het verschil tussen die twee?, vraag je je af. De e-overheid staat voor een overheid die denkt, redeneert en beoordeelt vanuit technologie en individuele applicaties – denk aan het Elektronisch Patiëntendossier (EPD), biometrie op het paspoort, automatic number plate recognition (ANPR, het systeem van de camera's boven de weg). Dat zijn concrete systemen die je inzet voor de uitvoering van het beleid, bijvoorbeeld bij de politie. De ‘i’ van i-overheid staat voor informatie, informatiestromen en informatiehuishouding. Als je goed kijkt waar het nou eigenlijk om gaat, wat de waarde is van digitalisering, dan gaat het niet zozeer om de losse applicaties en om de technologie maar meer om de achterliggende informatie, de verknoping en de verbinding van informatie over organisaties heen.' Informatisering is volgens het rapport tot in de haarvaten van de overheid doorgedrongen en bepaalt in toenemende mate het reilen en zeilen van organisaties en professionals die er werken en de relatie die zij met de burgers onderhouden. Kun je dat eens toelichten? 'Een illustratief voorbeeld hoe informatisering tot in de haarvaten van de overheid is
doorgedrongen, is DigiNotar. Denk aan de situatie die ontstond toen hun certificaten niet meer te vertrouwen waren. Toen pas bleek hoe afhankelijk het functioneren van de overheid daarvan is en hoe de verbondenheid en verknooptheid werkt en in dit geval de overheid ook afhankelijk en kwetsbaar maakt.'
interview
INTERVIEW MET CORIEN PRINS
'De gebeurtenissen bij DigiNotar illustreren ook een ander aspect dat wij in het rapport belichten, namelijk dat door de verknooptheid grenzen diffuus worden. Grenzen tussen beleidsterreinen – bijvoorbeeld tussen dienstverlening, zorg en controle – maar ook grenzen tussen het publieke en private domein. Bij DigiNotar, een klein bedrijfje in de private sector, ging iets mis en dat had enorme consequenties. Consequenties voor de communicatie tussen overheid en burgers, overheid en bedrijfsleven, de Belastingdienst. En waar in de politieke en publieke discussie minder aandacht aan is besteed, maar wat wel van belang is voor de IT-auditor, is dat de systeem-tot-systeem communicatie potentieel onder druk kwam te staan. Het is nog allemaal redelijk goed gegaan, maar als het flink uit de hand was gelopen dan had de hele backoffice van de overheid platgelegen.' Microsoft heeft toch voor een noodoplossing gezorgd? 'Zelfs daarin zie je dat je als overheid nog afhankelijk bent van de private sector om het probleem op te lossen, althans om het niet nog verder uit de hand te laten lopen. Je ziet de afhankelijkheden, de verwevenheid – DigiNotar is wat dat betreft een prachtig voorbeeld.'
de IT-Auditor nummer 1 | 2012
5
interview
Het rapport stelt dat de overheid ‘stapje voor stapje, besluit na besluit’, onder invloed van digitalisering fundamenteel van karakter verandert. Kun je dit toelichten? 'Beleidsvoorbereiding vertrekt vaak vanuit een concreet initiatief met een specifieke applicatie. Neem de Jeugdzorg. Binnen Jeugdzorg moeten organisaties beter samenwerken want we willen nooit meer een “Maasmeisje” hebben. Digitalisering is een mooi mechanisme om organisaties met elkaar te kunnen laten praten en zo
‘Context is altijd belangrijk om informatie te kunnen interpreteren en op zijn waarde te kunnen waarderen’ wordt besloten tot een Digitaal Kinddossier (EKD) en een VerwijsIndex Risicojongeren. Dat is een stap. Binnen de gezondheidszorg willen we de kwaliteit van de patiëntenzorg verhogen, we willen voorkomen dat mensen op de eerste hulp komen en artsen op dat moment niet weten welke medicijnen die mensen gebruiken. Dus wordt het initiatief genomen om het Elektronisch Patiëntendossier (EPD) te realiseren. Zo kunnen veel doden worden voorkomen, om met de woorden van minister Klink te spreken. Dat is ook een stap die wordt gezet.' 'Vervolgens blijkt op uitvoeringsniveau dat het waardevol zou kunnen zijn deze systemen voor sommige doeleinden te combineren. Huisartsen zetten in het EPD informatie over kinderen die langskomen en een blauwe plek hebben en zijn min of meer verplicht om signalen af te geven in de VerwijsIndex en ze doen dat aan de hand van het EPD. Jeugdhulpverleners noteren de ontvangen informatie ook weer in hun systeem, het EKD. En zo zie je dat stap voor stap – een losse stap als de VerwijsIndex en nog een losse stap zoals het EPD – op uitvoeringsniveau gecombineerd gaat worden en dat de combinatie meer oplevert dan twee losse systemen samen. Binnen de VerwijsIndex participeert ook de
6
politie met systemen, bijvoorbeeld het systeem ProKid, dat is geïnitieerd om kinderen, jongeren, in een heel vroeg stadium in beeld te brengen als dit kind een potentieel risico loopt om een strafrechtelijk traject te ontwikkelen. De politie participeert indirect ook in de VerwijsIndex en zo werkt deze VerwijsIndex ook weer op basis van gegevens verzameld met behulp van ProKid. Wij discussiëren in Den Haag nooit over de combinatie van die gegevens! Voor je het weet hebben we één plus één is twee en – soms met de verworven kennis – is drie! '
de IT-Auditor nummer 1 | 2012
Digitalisering als pushfactor? 'Wij constateren als WRR dat er een enorm geloof bestaat in technologie. Gekoppeld aan de redenering “we zijn toch allemaal vóór veiligheid, efficiency en effectiviteit, dus waarom zouden we die systemen niet koppelen?”, ontstaat er een dynamiek en er is geen politieke discussie aan de hand waarvan de grenzen van die dynamiek worden bepaald. Overigens gebeurt dit op uitvoeringsniveau soms wel, zoals de Belastingdienst die zegt: “aan deze gegevensuitwisseling doen wij niet mee, omdat onze gegevens daarmee in handen komen van partijen waar ze niet voor zijn bedoeld, bijvoorbeeld bepaalde private partijen”.' 'In het rapport zijn we begonnen met zaken in beeld te brengen en hebben we vervolgens daar het politieke debat tegenaan gehouden. Dan zie je de verschillen. In de praktijk zie je dat zich een informatiehuishouding ontwikkelt, die over grenzen heengaat, die ook over grenzen van departementen heen gaat. Maar in het politieke debat redeneren we nog steeds van “dit is een beleidsinitiatief van departement X of departement Y”. We zien een wereld die redeneert vanuit een e-gedachte, maar die inmiddels zodanig verknoopt is dat het een i-wereld is geworden.'
En de fundamentele karakterverandering van de overheid?' 'Een gedigitaliseerde overheid is in ieder geval een overheid die ons burgers veel dichter op de huid zit. Een voorbeeld daarvan zijn de toeslagen die op maat voor individuele burgers door computers gegenereerd worden aan de hand van informatie die we over die burgers hebben. Het op maat dienst verlenen, was niet mogelijk geweest zonder digitalisering. Het is ook een overheid die heel proactief aan het sturen is, dat laten de voorbeelden van de VerwijsIndex Risicojongeren en ProKid zien. Dat was ook nooit mogelijk geweest zonder digitalisering. En ten slotte zie je dat onder invloed van digitalisering de positie van de burger ten opzichte van de overheid verandert als het gaat om bewijslast. Ter illustratie: “Leuker kunnen we het niet maken, wel makkelijker” van de Belastingdienst. Wij hebben alles voor u ingevuld maar daarmee verandert ook de bewijslast. Vroeger vulde ik mijn T-formulier in en had de Belastingdienst een controlefunctie en vroeg aan mij: “dit is ons niet duidelijk, leg eens uit?” Nu is dat andersom. Ik krijg een formulier, waar allerlei informatie al is ingevuld en als ik het er niet mee eens ben, ben ík degene die aan de bel moet gaan trekken en dan moet ik zeggen, “dit klopt niet, want...” en gegeven het feit dat ik niet weet waar ze de informatie vandaan hebben gehaald, is het voor mij lastig om aan te tonen waar het ergens fout is gegaan.’ 'Wij willen als WRR niet zeggen dat de boel teruggedraaid moet worden, want het is een ontwikkeling van deze samenleving. Maar we zeggen wel in het rapport: besef, overheid, dat je af en toe niet zozeer hebt te redeneren vanuit een vertrouwen in informatie, maar ook vanuit wantrouwen in informatie.' Over wantrouwen gesproken … het vertrouwen van de burger in de i-Overheid zal voor een groot deel bepaald worden door de betrouwbaarheid van de informatie, zegt het rapport. Zou je daar een toelichting op willen geven? 'In het rapport noemen we een drietal processen van informatieverwerking en informatiegebruik waaraan we “waar-
Illustratie uit Corien’s eigen ervaring ‘Ik heb een tweeling, twee jongens, geboren op dezelfde dag, geboren in dezelfde plaats, ze hebben dezelfde achternaam, maar ze zitten op een verschillende school. Hun Burgerservicenummer verschilt slechts één cijfer aan de achterkant van de cijferreeks. Niet verrassend natuurlijk zijn ze per vergissing administratief omgewisseld door de overheid – heel concreet: Bureau Jeugdzorg. Alle 13-jarige kinderen krijgen via school een enquête die ze moeten invullen in het kader van, zeg maar, “voel je je nog wel happy”. Toen we destijds die enquête kregen, bleek een van de zoons in de administratieve wereld op de verkeerde school geplaatst. De situatie is: we wonen in Brabant, mijn kinderen zitten in Oosterhout op school. Voor Bureau Jeugdzorg hoort Oosterhout tot de regio Breda. We wonen in Rijen en Rijen valt onder de regio ‘s-Hertogenbosch. Ik heb het tot nu toe niet voor elkaar gekregen om mijn kinderen “op de juiste school” te krijgen in de administratie van de overheid. Dat heeft alles te maken met het feit dat de organisatie waar de foutieve gegevens van afkomstig zijn tegen mij zegt “Maar mevrouw, daar kunnen wij niets aan veranderen. Omdat u in Rijen woont, heeft u te maken met Bureau Jeugdzorg in ’s-Hertogenbosch”. En andersom zegt deze laatste tegen mij dat men er niets aan kan doen, omdat zij niet bevoegd zijn de gegevens in het systeem van de andere organisatie te wijzigen. Het is maar een heel klein voorbeeld en we hebben er niet zo veel last van – maar je kunt je een andere situatie voorstellen waarin mijn kinderen verwisseld zijn die serieuzere consequenties heeft. En een overheid die zegt, "nee, daar kunnen we niets aan doen, want het staat in ons systeem, toont u maar aan dat...", zet mij in de positie dat ik de juistheid van mijn stelling moet gaan aantonen. En dat ook nog eens voor verschillende instanties die wat betreft verantwoordelijkheid voor onjuiste gegevens niet zijn gekoppeld, maar die hun digitale systemen wel met elkaar hebben verknoopt: dat is de situatie waarin de burger tegenwoordig verkeert.’
schuwingsvlaggen” meegeven, omdat die processen extra alertheid van de overheid vragen, vooral op de kwaliteit van informatie en op de vraag wie er verantwoordelijk is voor de juistheid ervan. Het gaat hier om het “vernetwerken” van informatie, het samenstellen en verrijken van informatie en het voeren van preventief en proactief beleid op basis van informatie. Ik zal uitleggen wat ik hiermee bedoel.'
'Bij vernetwerken gaat het er in essentie om dat je informatie hebt die is verzameld in een bepaalde context. Context is altijd belangrijk om informatie te kunnen interpreteren en op zijn waarde te kunnen waarderen. Ga je vernetwerken, dan haal je informatie uit zijn context en gebruik je het in een andere context. Informatie die bijvoorbeeld verzameld is in de zorgsector wordt later gebruikt door de politie. Op het moment dat je die informatie in een nieuwe context zet, dus “hercontextualiseert”, betekent dit iets voor de kwaliteit van de informatie omdat je de oorspronkelijke context verliest en de duiding niet meer 100 procent kunt doen vanuit de context. Wij willen niet zeggen dat je niet moet decontextualiseren, maar we willen waarschuwen dat het om meer gaat dan de informatie alleen, het gaat ook om de context waarin de informatie oorspronkelijk is verzameld. Als je informatie opnieuw in een andere context gebruikt, moet je je afvragen of het in die andere context ook wel zo bedoeld wordt. Dat is dus de waarschuwingsvlag.'
de betreffende persoon op arbeidstherapeutische basis weer voorzichtig wat nachtdiensten draait en daarom een ander dag-nacht ritme heeft. Kortom, op harde gegevens alleen mogen geen conclusies worden getrokken en kennis van de context van gegevens is nodig voor de nadere duiding ervan. En die oorspronkelijke context verliezen we bij het vernetwerken van gegevens soms gemakkelijk uit het oog.'
'Om een voorbeeld te geven: Vanwege Europese initiatieven installeren energieleveranciers de komende jaren bij ons thuis een zogenaamde slimme energiemeter. Deze meter kan over zeer gedetailleerde tijdvakken, bijvoorbeeld per vijftien minuten, ons energieverbruik inzichtelijk maken. Deze informatie is bedoeld ons in staat te stellen zuiniger met ons energieverbruik om te gaan. De gedachte is dat als we meer in detail weten op welke momenten we piekmomenten in energieverbruik hebben, we daar eventueel wat aan gaan doen als we willen minderen. Maar deze informatie kan natuurlijk ook voor andere doeleinden worden gebruikt. Denk maar eens aan handhaving binnen de sociale zekerheid. Als het energieverbruik in een huis ’s morgens en ’s avonds vrijwel nihil is, terwijl het gemiddelde gebruik in ons land op die tijdstippen juist hoog is, zou de gedachte kunnen opkomen dat de bewoner niet alleenstaand is maar samenwoont, terwijl hij of zij voor de uitkeringsinstanties te boek staat als alleenstaand. Maar er kunnen natuurlijk heel andere redenen zijn waarom het energieverbruik in die woning op die momenten zeer laag is, bijvoorbeeld omdat
Mogen we er niet van uitgaan dat organisaties binnen de overheid zich houden aan zaken als privacywetgeving en beveiligingseisen? 'Als het gaat om een afzonderlijk initiatief dat op rijksniveau en in het parlement bediscussieerd wordt, dan is er wel discussie over doelbinding, maar wat je ziet op uitvoeringsniveau is dat mensen worstelen omdat de privacywet een ontzettend ingewikkelde wet is. En als mensen op uitvoeringsniveau enthousiast zijn omdat ze iets kunnen bereiken, omdat het wat oplevert en noch de wet noch een ander raamwerk hen een duidelijk richtsnoer geeft waarin grenzen worden gesteld, zal de neiging zijn enthousiast met digitalisering aan de slag te gaan. Niet omdat ze nou heel welbewust de wet naast zich neer willen leggen, maar omdat de wet ingewikkeld is en wij als overheid nauwelijks aandacht besteden aan voorlichting over die wet. Instanties moeten van het kabinet gaan werken met een zogenaamde PIA – een Privacy Impact Assessment. Maar een handvat, een standaard, hoe ze dit moeten doen, ontbreekt vooralsnog. Het College Bescherming Persoonsgegevens doet aan advisering en
'Gegevens die voor een bepaald doel verzameld en bewaard worden, kunnen makkelijk een andere functie krijgen als ze gecombineerd worden met gegevens die voor een ander doel verzameld zijn. De nieuwe mogelijkheden tot samenstellen en verrijken van gegevens werkt function creep in de hand: het voor een ander doel gebruiken van de gegevens dan waarvoor je ze in eerste instantie hebt verzameld. Function creep gebeurt onder invloed van een drang naar efficiency, effectiviteit en veiligheid. De redenering is: Waarom zouden we gegevens die we toch al hebben niet nog een keer gebruiken?'
de IT-Auditor nummer 1 | 2012
7
interview
handhaving van de wetgeving, maar niet aan voorlichting. Hoe kun je verwachten dat mensen die aangesteld zijn om fraude te bestrijden, die daarvoor met elkaar aan tafel zitten en fantastische mogelijkheden zien, zich afvragen of dit nou allemaal mag van de privacywet?' 'En in de uitvoeringspraktijk gaat het dan ook gemakkelijk mis. In ons rapport laten we bijvoorbeeld aan de hand van de VerwijsIndex Risicojongeren zien dat je de privacy keurig kunt regelen op wetgevingsniveau en de politieke discussie kunt voeren in de Eerste en Tweede Kamer. Dan heb je een nette wet voor een net systeem dat helemaal privacyconform is, maar vervolgens gaan uitvoeringsorganisaties ermee aan de slag. En dan gebeurt er van alles en nog wat, er wordt gebouwd, verrijkt en gedecontextualiseerd, hergebruikt et cetera. En vervolgens is er nooit meer controle op die uitvoeringspraktijk.'
bij departementen, dat soort organisaties. Verder zie je die functionarissen enorm worstelen met hun positie. Want ze moeten onafhankelijk zijn, maar in tijden van vooruitgangsgeloof, van geloof in digitalisering als oplossing voor beleidsproblemen en met een wet die veel open normen bevat, waar ga je dan staan? Bovendien willen we met het rapport laten zien dat het bij digitalisering om meer gaat dan alleen de naleving van de privacyregels. Het gaat veel breder, namelijk om de randvoorwaarden voor een adequate en verantwoorde informatiehuishouding en een goede kwaliteit van gegevens. Dat verlangt ook aandacht voor kwesties als “is de verantwoordelijkheid voor kwaliteitsborging goed belegd?”, “hoe kunnen we voorkomen dat we te kwetsbaar en afhankelijk worden van onzekere factoren?”, et cetera. Ik zie daar absoluut een rol voor de IT-auditor omdat die vanuit een veel sterkere positie sowieso dingen op zich af ziet komen en
‘Je hebt mensen nodig die gevoel hebben voor bijvoorbeeld privacy, gevoel voor hoe kwetsbaar systemen kunnen zijn vanuit technisch perspectief’ 'Voor IT-auditors is daarom de vraag: hoe wil je in die vernetwerkte samenleving, vernetwerkte overheid, waarin ook het private en publieke domein bij elkaar komen, hoe wil je daar sturen op de controle. Dat is een hele uitdaging. Het is niet aan de WRR om te zeggen hoe je het uit moet werken, dat is de opdracht die organisaties nu zelf hebben. Het moet inbedding krijgen in de organisaties zelf. De Belastingdienst heeft inmiddels een initiatief genomen in de vorm van ‘iBelastingdienst’. Zij zeggen: “we gaan het in ieder geval binnen onze eigen organisatie een plekje geven, met mensen die verantwoordelijk zijn omdat nou eens uit te werken”.' Hebben we daar niet de Functionarissen Gegevensbescherming al voor? 'Allereerst: die zitten lang niet overal. Je hebt ze eigenlijk alleen bij de grote steden,
8
de IT-Auditor nummer 1 | 2012
vanuit het besef van i-overheid vraagtekens kan plaatsen en door kan vragen hoe bij bepaalde ICT-initiatieven deze kwesties handen en voeten krijgen. Hoe verbindingen worden gelegd en hoe verantwoordelijkheden zijn belegd. Je komt als organisatie minder makkelijk om een IT-auditor heen en daardoor komt die eerder in beeld dan een functionaris gegevensbescherming.' 'In het rapport zeggen we dat als het om vraagstukken rond de i-overheid gaat, iedereen vanuit zijn eigen functie, zijn eigen niveau aan de slag moet; het is niet iets alleen voor het kabinet. Daar ligt natuurlijk wel de eerste verantwoordelijkheid, maar deze thematiek en deze dynamiek raakt alle niveaus. Op een heel hoog bestuurlijk-politiek niveau moet dat besef er zijn, maar dat besef moet net zo goed heel laag zitten, op uitvoeringsniveau –
gemeentelijk dan wel binnen het departement. De een kan namelijk niet zonder de informatie van de ander. En de IT-auditor is cruciaal om de informatie op tafel te krijgen, de kritische reflectie op de agenda te krijgen – op voorwaarde dat op hoog politiek-bestuurlijk niveau dat besef aanwezig is. Dat is de uitdaging waar we nu voor staan, maar als dat besef er op dát topniveau inderdaad is, dan hebben ze jullie informatie en input zeker nodig.' Wat moet de IT-auditor dan doen? 'Dé IT-auditor bestaat niet. Het is teamwerk met verschillende specialisten. Dus als ik baas was van zo’n club, dan zou ik allereerst met een aantal cruciale spelers binnen de IT-audit kijken naar het rapport van de WRR. En dan zou ik zeggen: oké, laten we dat nu eens proberen, dat rederenen vanuit informatie, stromen van informatie, informatiestromen over de grenzen van organisaties heen en kijken naar de nieuwe kwetsbaarheden van de overheid zelf. Dus niet alleen vanuit de burger naar risico’s kijken, maar ook vanuit de overheid zelf. En wat betekent dat dan voor ons type werk? Vervolgens vraag je je af wat je dan voor instrumentarium nodig hebt, zowel heel concreet in protocollen aan de hand waarvan je checkt en je audits inricht, als in type mensen. Je hebt mensen nodig die gevoel hebben voor bijvoorbeeld privacy, gevoel voor hoe kwetsbaar systemen kunnen zijn vanuit technisch perspectief... iemand die ook weet hoe het “bestuurlijk-organisatorische” werkt. Langs een dergelijke denklijn zou ik proberen de IT-audit van de i-overheid handen en voeten te geven.' ‘Ik geef toe, dat zijn hoge eisen. Maar het hoeft ook niet morgen af te zijn. Ik vind het prachtig dat de Belastingdienst heeft gezegd: wij maken een “iBelastingdienst”, daar zetten wij twee, drie mensen op en die voelen zich verantwoordelijk om dit handen en voeten te geven in onze eigen organisatie. Die organiseren dingen, beginnen met mensen te praten: hoe kunnen we dit oppakken, herken jij dít, worstel jij dáár ook mee? En op die manier eerst maar eens intern het debat voeren en vanuit het nu en het traditionele werken kijken: wat missen we dan? Op een gegeven moment,
maar misschien ben ik wat te optimistisch, moet het tussen de oren gaan zitten, is het een andere manier van denken geworden. Net zoals het op een bepaalde manier denken over kosten en baten jullie gewoon “in de genen zit”.’ Vind je dat er ook een rol is weggelegd voor de opleidingen? 'Mijn boodschap zou zijn om in de opleidingen aandacht te besteden aan onderwerpen als verantwoordelijkheid voor informatie, reguleren van kwaliteit van informatie, hoe verschillende belangen te wegen, bijvoorbeeld efficiëntie en effectiviteit ten opzichte van privacy, et cetera. Mijn leeropdracht sinds 1994 in Tilburg is Recht en informatisering. In het verlengde daarvan ligt privacy en in het verlengde daarvan informatiebeveiliging vanuit een juridisch perspectief. Dat terrein is al veel meer dan de Wet Computercriminaliteit, want dat gaat ook over aansprakelijkheid, over de contracten met je partners, over wat er in de privacywetgeving staat over
informatiebeveiliging. En wat staat er in de contracten met een organisatie als DigiNotar, wat staat daarin over aansprakelijkheid? Hoe kun je met het recht in de hand verantwoordelijkheden in een vernetwerkte wereld goed regelen en hoe kun je daar vanuit een controle- en auditperspectief op sturen? Dat soort kwesties, daar moet je in een opleiding aandacht aan besteden.' En voor de beroepsorganisatie? 'Beroepsorganisaties krijgen regelmatig te maken met nieuwe ontwikkelingen. De beroepsorganisatie van IT-auditors wordt nu geconfronteerd met de ontwikkeling van eoverheid naar i-overheid. De beroepsorganisatie zou op de eerste plaats dat besef moeten uitdragen, maar ook de aangesloten leden faciliteren om ermee om te gaan.' Het rapport gaat over de overheid, maar de beroepsorganisatie is niet beperkt tot overheid 'DigiNotar laat zien dat het in elkaar grijpt. De overheid beseft dat ze het niet alleen
kan doen, dus zo'n beroepsorganisatie, die juist breder is dan alleen de overheid, heeft daar zijn voordeel. Die beroepsorganisatie zou faciliterend kunnen werken, denk aan wat we in het rapport aangeven, namelijk dat de i-overheid zich niet verder kan ontwikkelen zonder de isamenleving. De beroepsvereniging is een prachtig platform om daar handen en voeten aan te geven, juist omdat het inzicht heeft in die samenleving en samenwerking.' Heb je tot slot nog een boodschap voor IT-auditors? 'Begrijp wat de i-overheid betekent en ga de uitdaging aan om aan dit begrip in je eigen werk handen en voeten te geven. Een professional die zijn vak waar wil maken, zou dit als een uitdaging moeten zien en er mee aan de slag moeten willen gaan. Het wijkt af van de gebaande paden, biedt nieuw perspectief, nieuwe richting, je kunt het heel positief oppakken. Ga daar aan werken!' ■
de IT-Auditor nummer 1 | 2012
9