Rapport
Informatieveiligheid en de Raad Met de hamer op tafel
Enquête over hoe raadsleden denken over het thema Informatieveiligheid
Inhoudsopgave 1. Inleiding____________________________________________________________________ 2 1.1 Achtergrond_________________________________________________________ 3 1.2 Achtergrond enquête__________________________________________________ 3 2. Bewustzijn informatieveiligheidsrisico’s_ ________________________________________ 4 2.1 Vraag________________________________________________________________ 5 2.2 Uitkomst_____________________________________________________________ 5 2.3 Conclusie en aanbeveling_______________________________________________ 6 3. Informatieveiligheid in portefeuille_ ____________________________________________ 7 3.1 Vraag________________________________________________________________ 8 3.2 Uitkomst_____________________________________________________________ 8 3.3 Conclusie en aanbeveling_______________________________________________ 9 4. Privacygevoelige informatie op (draagbare) apparatuur (devices)_ __________________10 4.1 Vraag_______________________________________________________________11 4.2 Uitkomst____________________________________________________________11 4.3 Conclusie en aanbeveling______________________________________________12 5. VNG Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’_ _____________________________________________13 5.1 Vraag_______________________________________________________________14 5.2 Uitkomst____________________________________________________________14 5.3 Conclusie en aanbeveling______________________________________________15 6. Implementatie BIG___________________________________________________________16 6.1 De vraag____________________________________________________________17 6.2 Uitkomst____________________________________________________________17 6.3 Conclusie en aanbeveling______________________________________________18 7. Budget voor Informatieveiligheid______________________________________________19 7.1 Vraag ______________________________________________________________20 7.2 Uitkomst____________________________________________________________20 7.3 Conclusie en aanbeveling______________________________________________21 8. Vragen aan college van B&W over informatieveiligheid___________________________22 8.1 Vraag ______________________________________________________________23 8.2 Uitkomst____________________________________________________________23 8.3 Conclusie en aanbeveling______________________________________________24 9. Informeren raad over informatieveiligheid_ _____________________________________25 9.1 Vraag_______________________________________________________________26 9.2 Uitkomst____________________________________________________________26 9.3 Conclusie en aanbeveling______________________________________________27 10. Decentralisaties en informatieveiligheid_ _______________________________________28 10.1 Vraag_______________________________________________________________29 10.2 Uitkomst____________________________________________________________29 10.3 Conclusie en aanbeveling_ ____________________________________________ 30 11. Conclusies_ _______________________________________________________________31 12. Aanbevelingen______________________________________________________________33 onderzoek raadsleden en informatieveiligheid
1
Inleiding
1
1
Inleiding
1.1 Achtergrond Incidenten rond informatieveiligheid kunnen voor gemeenten grote gevolgen hebben. Of dit nu komt door onzorgvuldige medewerkers of hackers met kwade bedoelingen. Als gevoelige gegevens onbedoeld op straat komen te liggen, dan kan dit het imago van de gemeente en van de bestuurlijk verantwoordelijke beïnvloeden. Het kan zelfs leiden tot een verlies aan vertrouwen bij burgers. Burgers mogen immers van hun gemeente verwachten dat zij de zaken op orde heeft. Kortom, de continuïteit van de dienstverlening en het vertrouwen van burgers moeten centraal staan als het om informatieveiligheid gaat. Om aandacht te vragen voor informatieveiligheid is de Taskforce Bestuur en Informatieveiligheid Dienstverlening (Taskforce BID) voor een periode van twee jaar in het leven geroepen. Het doel van de Taskforce BID is om het onderwerp informatieveiligheid hoog op de agenda te krijgen bij bestuurders en topmanagers van alle overheidslagen. Voor raadsleden is het belangrijk zicht te hebben op hoe de gemeente omgaat met informatieveiligheid en met de risico’s die de eigen gemeente loopt, zowel technisch als bestuurlijk. Van belang voor raadsleden is het antwoord op de vraag ‘Is de gemeente ‘in control’ als het om informatieveiligheid gaat?’ Raadsleden hoeven zeker geen informatieveiligheidsspecialist te zijn om deze verantwoordelijkheid goed uit te kunnen voeren. Het gaat er immers niet om dat een raadslid weet hoe de gemeentelijke organisatie informatieveiligheid tot in de details borgt, het gaat er vooral om dat hij/zij weet dát het wordt geborgd en dat de gemeente gericht stuur zet op het onderwerp. Raadslid.NU en de Taskforce BID hebben onder raadsleden een enquête uitgezet, om te onderzoeken hoe raadsleden denken over het onderwerp informatieveiligheid. Het is immers belangrijk dat ook de gemeenteraad een sterke en krachtige rol vervult in de informatiesamenleving en de risico’s die hierbij komen kijken.
1.2 Achtergrond enquête De enquête bestond uit een digitale vragenlijst met negen inhoudelijke vragen en is door 182 raadsleden1 ingevuld. De enquête is ingevuld door raadsleden uit gemeenten van verschillende grootte:
4 6% van de raadsleden is raadslid van een gemeente van 0 tot 10.000 inwoners. 4 31% van de respondenten is raadslid van een gemeente van 10.000 tot 25.000 inwoners. 4 34% va de respondenten is raadslid van een gemeente van 25.000 tot 50.000 inwoners. 4 15% van de respondenten is raadslid van een gemeente van 50.000 tot 100.000 inwoners. 4 6% van de respondenten is raadslid van een gemeente van 100.000 tot 200.000 inwoners. 4 En 9% van de respondenten is raadslid van een gemeente van meer dan 200.000 inwoners.
Van de 182 raadsleden is 42% geïnstalleerd als raadslid na de verkiezingen van maart 2014. 29% is al raadslid sinds maart 2010 en is opnieuw herkozen. 29% is al drie of meer termijnen raadslid. In de volgende hoofdstukken worden de uitkomsten van de vragen, inclusief een aanbeveling per vraag beschreven. De enquête is geheel anoniem en de antwoorden zijn in alle vertrouwelijkheid verwerkt. De resultaten in het onderzoeksrapport zijn dan ook niet te herleiden tot individuele gemeenten.
1 In totaal is de enquête uitgezet onder ca. 9000 raadsleden. Met een respons van 2% valt er nog wat af te dingen op het representatiegehalte en daarmee de betrouwbaarheid van het onderzoek, maar de resultaten geven wel voldoende indicatie. Door het afronden van de percentages van de onderzoeksgegevens komt het totaalpercentage bij de verschillende tabellen in dit rapport niet exact uit op 100%.
3
onderzoek raadsleden en informatieveiligheid
Bewustzijn informatieveiligheidsrisico’s
2
2 Bewustzijn informatieveiligheidsrisico’s 2.1 Vraag In hoeverre bent u zicht bewust van informatieveiligheidsrisico’s?
A. B. C. D.
Ik lees zo nu en dan een bericht, want er is aandacht vanuit de media voor informatieveiligheid. Ik verdiep me actief in dit thema en ik heb aardig zicht op wat er speelt. Ik verdiep me actief in dit thema en ik heb zicht op wat dit betekent voor mij als persoon en ons als gemeente. Ik houd mij niet bezig met informatieveiligheidsrisico’s.
Informatieveiligheid begint met het bewust zijn van de risico’s die je loopt als persoon, maar ook als gemeente. 100% veiligheid bestaat niet. Doel is dat iedereen in de organisatie het voor hen relevante beleid op gebied van informatieveiligheid kent en zich bewust is waar hij of zij een rol kan spelen bij het verkleinen van de risico’s in relatie tot informatieveiligheid. Desalniettemin blijft een aantal risico’s over, daar heeft de gemeente bewust voor gekozen. Als raadslid is het nuttig om zeker te weten dat eventuele financiële -, technische - en imagoschade van deze risico’s bij een incident beperkt blijft en dat de privacy van burgers of de integriteit van de gemeente nooit in het geding zijn.
2.2 Uitkomst
D 16%
C 14%
A 49%
B 21%
onderzoek raadsleden en informatieveiligheid
5
2.3
Conclusie en aanbeveling
Bijna de helft van de raadsleden, die heeft meegewerkt aan het onderzoek, geeft aan wel eens iets te lezen over het thema informatieveiligheid. 21% van de respondenten geeft aan wel globaal een idee te hebben van de risico’s en 14% van de raadsleden verdiept zich actief in het thema en geeft aan echt te weten wat de risico’s zijn van informatieveiligheid voor zowel hemzelf als voor de organisatie. Slechts 16% van de raadsleden, geeft aan zich niet bezig te houden met informatieveiligheidsrisico’s. Over het algemeen kunnen we stellen dat raadsleden voldoende aandacht schenken aan het thema informatieveiligheid. Zoals eerder aangegeven bestaat 100% veiligheid niet. Bewustwording en het kennen van de risico’s is echter belangrijk en wordt door de meeste raadsleden wel gezien. Als raadslid hoef je geen expert te zijn op het gebied van informatieveiligheid. Wel is het van belang de juiste vragen te stellen aan de eigen organisatie, zodat men zeker weet dat het thema geborgd wordt binnen de organisatie. Vragen die een raadslid kan stellen met betrekking tot de risico’s zijn:
8
4 Welke risico’s op informatieveiligheid accepteert het college voor onze gemeente en welke niet? 4 Welke politiek-bestuurlijke en maatschappelijke gevolgen kan dit hebben in geval van een incident? 4 Is de privacy van onze burgers gegarandeerd? En zo ja op welke wijze?
onderzoek raadsleden en informatieveiligheid
Informatieveiligheid in portefeuille
3
3 Informatieveiligheid in portefeuille 3.1 Vraag Heeft u als raadslid informatieveiligheid in uw portefeuille?
A. B. C. D. E.
Ja, als specifiek aandachtspunt binnen mijn fractie. Ja, als onderdeel van mijn bredere portefeuille Veiligheid. Ja, als onderdeel van mijn bredere portefeuille rond ICT en informatisering en/of dienst-verlening en/of bedrijfsvoering. Nee, het zit niet in mijn portefeuille, maar in de portefeuille van een collega raadslid. Nee, binnen onze fractie is informatieveiligheid geen aandachtspunt.
Om informatieveiligheid als thema te borgen, is het van belang dat een van de raadsleden het thema in zijn portefeuille heeft, zodat regelmatig aan het college van Burgemeester en Wethouders van de gemeente kan worden gevraagd wat de ontwikkelingen zijn op het gebied van informatieveiligheid. Informatieveiligheid is een continue proces dat verankerd dient te zijn in de organisatie. Het is daarom ook van belang om informatieveiligheid op te nemen in een portefeuille, ook bij raadsleden. Het gaat er immers niet om dat een raadslid weet hoe de gemeentelijke organisatie informatieveiligheid tot in de details borgt, het gaat er vooral om dat een raadslid weet dát het wordt geborgd en dat de gemeente stuur zet op het onderwerp.
3.2 Uitkomst
A 7% E 30%
B 9% C 15%
D 38%
onderzoek raadsleden en informatieveiligheid
8
3.3
Conclusie en aanbeveling
70% van de ondervraagde raadsleden geeft aan dat informatieveiligheid belegd is, al dan niet in een bredere portefeuille. 30% van de ondervraagde raadsleden geeft aan dat informatieveiligheid geen aandachtspunt is. Bij een ruime meerderheid van de gemeenteraden is informatieveiligheid dus belegd. Als raad is het belangrijk informatieveiligheid als aandachtspunt op te nemen in een portefeuille. Informatieveiligheid vraagt om dagelijkse aandacht. Zeker nu de landelijke politiek digitale overheidsdienstverlening als speerpunt heeft gekozen. Ook komt met de decentralisaties een groeiende hoeveelheid privacygevoelige informatie bij gemeenten te liggen. Als deze gegevens onbedoeld op straat komen te liggen dan kan dit, naast financiële en technische gevolgen, ook het imago van de gemeente en de bestuurlijk verantwoordelijken beïnvloeden. Het kan zelfs leiden tot een verlies aan vertrouwen bij burgers. Kortom, de continuïteit van de dienstverlening en het vertrouwen van burgers moeten centraal staan als het om informatieveiligheid gaat. Daarom is het aan te bevelen dat de raad de juiste vragen stelt over informatieveiligheid en informatieveiligheid wordt opgenomen in de portefeuille van een raadslid.
9
onderzoek raadsleden en informatieveiligheid
Privacygevoelige informatie op (draagbare) apparatuur (devices)
4
4 Privacygevoelige informatie op (draagbare) apparatuur (devices) 4.1 Vraag Hoe gaat u zelf om met privacygevoelige informatie en informatieveiligheid op uw computer, mobiele telefoon en eventueel uw tablet?
A. B. C.
In de omgang met privacygevoelige informatie denk ik altijd aan het informatieveiligheids-aspect. Ik weet niet wat veilig omgaan met privacygevoelige informatie exact inhoudt. In de omgang met informatie denk ik eigenlijk niet aan het informatieveiligheidsaspect.
Informatieveiligheid is meer dan techniek alleen. In onze digitale samenleving kunnen we steeds makkelijker tijd-, plaats- en apparaatonafhankelijk allerlei informatie ontsluiten, maar helaas niet zonder risico. Risico’s die ontstaan door incidenten als een cyberaanval of door (onbewust) onzorgvuldig handelen kunnen grote schade aanrichten. Verkeerd omgaan met inlognamen en wachtwoorden, het onbedoeld verspreiden van gevoelige informatie via privémail of USB-sticks of het printen van gevoelige documenten op onbeheerde printers. Het zijn allemaal voorbeelden uit de dagelijkse praktijk die duiden op het belang van voldoende bewustzijn bij het werken met gevoelige informatie. Daarnaast krijgen gemeenten met onder andere de drie decentralisaties steeds meer te maken met privacygevoelige informatie. In de omgang met privacygevoelige informatie op verschillende apparaten (devices), is het van belang extra alert te zijn op mogelijke veiligheidsrisico’s.
4.2 Uitkomst
C 15% B 10%
A 74%
onderzoek raadsleden en informatieveiligheid
11
4.3 Conclusie en aanbeveling Driekwart van de respondenten geeft aan in de omgang met privacygevoelige informatie wel te denken aan de informatieveiligheid. 10% geeft aan niet exact te weten wat het inhoudt en 15% geeft aan er helemaal geen rekening mee te houden. Een ruime meerderheid van de raadsleden is zich dus bewust van het belang van informatieveiligheid bij privacygevoelige informatie. In de omgang met privacygevoelige informatie op apparaten (devices) kan een aantal acties ondernomen worden om informatieveiligheid te borgen:
12
4 Zorg dat de computer bij het verlaten van de werkplek is geblokkeerd. 4 Gebruik geen ongeautoriseerde software of USB-sticks van onbekende bronnen. 4 Maak geen gebruik van onbekende en onbeveiligde netwerken. 4 Maak geen onnodige kopieën van informatie, hoe minder informatie, hoe makkelijker te beveiligen. 4 Laat (mobiele) apparatuur en gegevensdragers niet slingeren. 4 Zorg ervoor dat mobiele apparatuur voorzien is van een wachtwoord om in te loggen. 4 Gebruik sterke wachtwoorden die niet makkelijk zijn af te leiden.
onderzoek raadsleden en informatieveiligheid
VNG Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’
5
5 VNG Resolutie ‘Informatieveiligheid, rand -
voorwaarde voor de professionele gemeente’
5.1 Vraag Kent u de VNG Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’?
A. B. C.
Ja, ik ken de Resolutie en ik ben op de hoogte van de inhoudelijke afspraken die dit met zich meebrengt. Ja, ik ken de Resolutie, maar ik ben niet op de hoogte van de inhoudelijke afspraken die dit met zich meebrengt. Nee, ik ken de Resolutie niet en ben niet op de hoogte van de inhoudelijke afspraken die dit met zich meebrengt.
De Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ is opgesteld door de Vereniging van Nederlandse Gemeenten (VNG) in samenwerking met gemeenten, de Informatiebeveiligingsdienst voor gemeenten (IBD), een initiatief van de VNG en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en de Taskforce BID. De Resolutie houdt in dat iedere gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), die is opgesteld door de IBD. Tevens zullen gemeenten informatieveiligheid zowel bestuurlijk als ambtelijk borgen en maken ze de invulling op informatieveiligheid transparant voor burgers, bedrijven en ketenpartners.
5.2 Uitkomst
A 8% B 16%
C 76%
onderzoek raadsleden en informatieveiligheid
14
5.3 Conclusie en aanbeveling Ruim driekwart van de ondervraagde raadsleden geeft aan de Resolutie niet te kennen. Het is aan te bevelen dat de Resolutie door het college van B&W bij de raad onder de aandacht wordt gebracht en dat het college laat zien hoe invulling wordt gegeven aan de Resolutie binnen de eigen gemeente. De Resolutie biedt raadsleden namelijk handvatten om te vragen naar hoe informatieveiligheid wordt opgepakt binnen de gemeente. Door het tekenen van de Resolutie hebben gemeenten zich nog meer gecommitteerd aan het onderwerp. Een raadslid kan vragen of de gemeente een start heeft gemaakt met de punten uit de Resolutie, zoals de implementatie van de BIG en of de gemeente is aangesloten bij de IBD. Vragen die een raadslid kan stellen over de Resolutie zijn bijvoorbeeld: Hoe heeft het college van B&W de punten van de Resolutie opgepakt? Geldt de BIG als norm voor het basis beveiligingsniveau voor de informatieveiligheid van onze gemeente?
15
onderzoek raadsleden en informatieveiligheid
Implementatie BIG
6
6 Implementatie BIG 6.1 Vraag Weet u of uw gemeente de ‘Baseline Informatiebeveiliging Nederlandse Gemeenten’ (BIG) heeft geïmplementeerd of aan het implementeren is?
A. B. C. D. E.
Ja, mijn gemeente heeft de BIG geïmplementeerd. Ja, mijn gemeente is de BIG aan het implementeren. Nee, mijn gemeente is de BIG niet aan het implementeren. Ik weet niet of mijn gemeente de BIG aan het implementeren is. Ik ken de BIG niet.
De BIG is een gemeentelijke doorontwikkeling van de Baseline Informatiebeveiliging Rijksdienst (BIR). Met deze baseline hebben bestuur en management van gemeenten een instrument in handen waarmee zij in staat zijn om te meten of de eigen organisatie ‘in control’ is op het gebied van informatiebeveiliging. Met het aannemen van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ hebben gemeenten aangegeven de BIG als hét gemeentelijke normenkader te hanteren. Als raadslid kunt u bij het college informeren of uw gemeente de BIG heeft geïmplementeerd of aan het implementeren is en hoe ver uw gemeente hiermee is gevorderd.
6.2 Uitkomst
A 9% D 26%
B 13% C 3%
D 48%
onderzoek raadsleden en informatieveiligheid
17
6.3 Conclusie en aanbeveling Bijna de helft van de raadsleden geeft aan geen beeld te hebben of de gemeente de BIG aan het implementeren is en een kwart geeft aan de BIG niet te kennen. Informatieveiligheid is een thema dat continue aandacht verdient en juist niet alleen wanneer het mis gaat. De implementatie van de BIG leidt bijvoorbeeld tot het vaststellen van een informatiebeveiligingsbeleid door het college van B&W. De raad kan opdracht geven de uitvoering van dit beleid te controleren. Daarnaast kan de raad controleren of de gemeente bezig is met het implementeren van de BIG. Als raadslid hoeft men niet te weten hoe de gemeentelijke organisatie de BIG implementeert, het gaat er vooral om dat een raadslid weet dát het wordt geïmplementeerd binnen de gemeente.
18
onderzoek raadsleden en informatieveiligheid
Budget voor
Informatieveiligheid
7
7 Budget voor Informatieveiligheid 7.1 Vraag Is er in uw gemeente een budget voor informatieveiligheid? A. Ja B. Nee C. Ik weet het niet De dreigingen nemen toe, de wet- en regelgeving op het gebied van informatieveiligheid groeit en gemeenten krijgen steeds meer te maken met privacygevoelige informatie. De inspanningen op het gebied van informatieveiligheid dienen daarom verhoogd te worden. Dat vraagt ook dat er voldoende budget gereserveerd wordt voor informatieveiligheid en de verankering daarvan in de organisatie.
7.2 Uitkomst
A 20%
C 67%
B 13%
onderzoek raadsleden en informatieveiligheid
20
7.3 Conclusie en aanbeveling 67% van de ondervraagde raadsleden geeft aan geen idee te hebben of er budget is voor informatieveiligheid. 20% geeft aan dat er wel budget is en 13% geeft aan dat er geen apart budget is voor informatieveiligheid. Het is belangrijk, zeker met het oog op de decentralisaties, dat de raad vragen stelt over het budget dat door de eigen gemeente gereserveerd wordt op het vlak van informatieveiligheid. En uiteraard ook over de besteding ervan.
21
onderzoek raadsleden en informatieveiligheid
Vragen aan het college van B&W over informatieveiligheid
8
8 Vragen aan het college van B&W over informatieveiligheid
8.1 Vraag Stellen de raadsleden vragen aan het college van Burgemeester & Wethouders (college van B&W) omtrent de voortgang van informatieveiligheid met betrekking tot uw gemeente?
A. Ja, bij incidenten worden er vragen gesteld over de informatieveiligheid van de gemeente. B. Ja, er zijn enkele raadsleden die systematisch vragen stellen aan het college van B&W over informatieveiligheid van de gemeente. C. Nee, er zijn geen raadsleden die vragen stellen aan het college van B&W over informatieveiligheid van de gemeente. D. Ik weet het niet.
Vanuit haar controlerende rol kan de raad vragen stellen aan het college van B&W over informatieveiligheid en de voortgang daarvan. Als raadslid is het belangrijk inzicht te hebben in hoe de gemeente omgaat met informatieveiligheid en met de risico’s die zij loopt. Zowel technisch als bestuurlijk. Een raadslid hoeft geen informatieveiligheidsspecialist te zijn om deze verantwoordelijkheid goed uit te kunnen voeren. Belangrijk om te weten is dát het geborgd wordt binnen de organisatie, zodat veiligheid van informatie zo goed als mogelijk gegarandeerd is en privacy van burgers niet in gevaar komt.
8.2 Uitkomst
D 19%
C 32%
A 32%
B 17%
onderzoek raadsleden en informatieveiligheid
23
8.3 Conclusie en aanbeveling Een derde van de ondervraagde raadsleden geeft aan dat er vragen worden gesteld aan het college van B&W als er zich incidenten voor doen. Bovendien geeft bijna een vijfde van de ondervraagde raadsleden aan dat enkele raadsleden systematisch vragen stellen aan het college van B&W over informatieveiligheid van eigen de gemeente. Een derde van de raadsleden geeft aan dat er nooit vragen aan het college van B&W worden gesteld. Informatieveiligheid vraagt, gezien de ontwikkelingen, continue aandacht. Raadsleden hebben de mogelijkheid om vanuit hun controlerende functie de juiste vragen te stellen om te weten of de gemeente informatieveiligheid voldoende borgt binnen de organisatie. Het is ook van belang deze vragen vooraf te stellen en niet alleen op het moment dat er incidenten plaatsvinden. Op die manier kan de raad nog sturen op borging van informatieveiligheid binnen de gemeente. Zo kan een raadslid onder andere checken of de eigen gemeente zich al ‘officieel’ aangesloten heeft bij de IBD, een eerste vereiste voor een informatieveilige gemeente.
24
onderzoek raadsleden en informatieveiligheid
Informeren raad over informatieveiligheid
9
9 Informeren raad over informatieveiligheid 9.1 Vraag Informeert het college van B&W de raad periodiek over de voortgang van informatieveiligheid, ook ongevraagd?
A. B. C. D.
Ja, het college van B&W informeert de raad periodiek over de voortgang van informatieveiligheid, ook ongevraagd. Ja, maar het college van B&W verschaft alleen gevraagd informatie over informatieveiligheid. Nee, het college van B&W informeert de raad niet over de voortgang van informatieveiligheid. Ik weet het niet.
Het college van B&W kan raadsleden periodiek informeren over informatieveiligheid, ook wanneer het goed gaat. De raad als controlerend orgaan is op deze manier op de hoogte van de ontwikkelingen en voortgang rondom informatieveiligheid binnen de organisatie. Mochten zich incidenten voordoen, dan is de raad wel op de hoogte van de voortgang en van wat de gemeente doet rondom informatieveiligheid.
9.2 Uitkomst
A 10%
D 26%
B 17%
C 47%
onderzoek raadsleden en informatieveiligheid
26
9.3 Conclusie en aanbeveling 27% van de ondervraagde raadsleden geeft aan wel geïnformeerd te worden, waarbij het om 10% van de gevallen gaat om periodieke voortgang. Bijna de helft van de ondervraagde raadsleden geeft aan niet geïnformeerd te worden door het college van B&W en nog een 26% van de raadsleden geeft aan het niet te weten. Het is raadzaam dat het college van B&W de gemeenteraad periodiek informeert over informatieveiligheid. Zo weet de raad hoe informatieveiligheid wordt opgepakt binnen de organisatie en wanneer zich incidenten voor doen, is de raad op de hoogte van de maatregelen die de organisatie getroffen heeft om risico’s zo veel mogelijk in te perken.
27
onderzoek raadsleden en informatieveiligheid
Decentralisaties en informatieveiligheid
10
10 Decentralisatie en informatieveiligheid 10.1 Vraag Ten aanzien van de drie decentralisaties is informatieveiligheid een belangrijk aandachtspunt. Heeft u zicht op hoe dit is geregeld in uw gemeente?
A. Ja, in onze gemeente wordt informatieveiligheid getoetst ten aanzien van de producten en diensten die onderdeel zijn van de decentralisaties. B. Nee, in onze gemeente wordt informatieveiligheid niet getoetst ten aanzien van de producten en diensten die onderdeel zijn van de decentralisaties. C. Ik weet het niet.
Door de drie decentralisaties krijgen gemeenten steeds meer privacygevoelige informatie in hun bezit. Het is van belang hier op een juiste manier mee om te gaan en de veiligheid van deze zeer gevoelige informatie te waarborgen.
10.2 Uitkomst
A 38%
C 49%
B 13%
onderzoek raadsleden en informatieveiligheid
29
10.3 Conclusie en aanbeveling Bijna de helft van de raadsleden geeft aan geen beeld te hebben van informatieveiligheid rondom de drie decentralisaties. Een kleine 40% van de respondenten geeft echter aan dat informatieveiligheid wel getoetst wordt ten aanzien van de producten en diensten van de drie decentralisaties. Een groot deel van de raadsleden is zich bewust van de gevoeligheid van deze informatie. Het is aan te bevelen dat informatieveiligheid extra aandacht krijgt bij de ontwikkelingen rondom de drie decentralisaties, gezien de privacygevoeligheid van deze informatie. Raadsleden kunnen vragen aan het college van B&W stellen over hoe de informatieveiligheid rondom de drie decentralisaties gewaarborgd wordt.
30
onderzoek raadsleden en informatieveiligheid
Conclusies
11
11 Conclusies We kunnen concluderen dat informatieveiligheid door raadsleden als een belangrijk thema wordt gezien; het heeft de aandacht. Zeker in de uitvoering van hun werk, is een meerderheid van de raadsleden alert op informatieveiligheidsrisico’s. Bij maar liefst 70% van de gemeenteraden is informatieveiligheid belegd in de portefeuille van een van de raadsleden. Structurele aandacht vanuit de raad richting de organisatie verdient echter versterking. Raadsleden stellen vooral vragen wanneer incidenten op informatieveiligheidsvlak hebben plaatsgevonden. Verder blijkt uit het onderzoek dat 76% van de respondenten niet op de hoogte is van de ins & outs van de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’, die is opgesteld door de Vereniging van Nederlandse Gemeenten (VNG) in samenwerking met gemeenten, de Informatiebeveiligingsdienst voor gemeenten (IBD), een initiatief van de VNG en het Kwaliteitsinstituut Nederlandse Gemeenten (KING) en de Taskforce BID. En weet 50% van de raadsleden niet of hun gemeente de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als het gemeentelijke normenkader hanteert voor een informatieveilige gemeente. Ook geeft een meerderheid van de raadsleden aan niet structureel geïnformeerd te worden over informatieveiligheid door het college van B&W. De raad vervult een belangrijke rol waar het gaat om informatieveiligheid. Zij kan meer sturen en controleren op zaken rondom informatieveiligheid. Het vraagt om dagelijkse aandacht en als raadslid is het belangrijk zicht te hebben op hoe de gemeente omgaat met informatieveiligheid en met de risico’s die zij loopt. Zeker nu de landelijke politiek ‘digitale overheidsdienstverlening’ als speerpunt heeft gekozen. Met de decentralisaties komt tevens een groeiende hoeveelheid privacygevoelige informatie bij gemeenten te liggen. Als deze gegevens onbedoeld op straat komen te liggen dan kan dit, naast financiële en technische gevolgen, ook het imago van de gemeente en bestuurlijke verantwoordelijken beïnvloeden. Het kan zelfs leiden tot een verlies aan vertrouwen bij burgers. Kortom, de continuïteit van de dienstverlening en het vertrouwen van burgers dienen centraal te staan als het om informatieveiligheid gaat. Daarom is het van belang dat de raad vanuit haar controlerende functie informatieveiligheid periodiek bevraagt aan het college van B&W en niet alleen wanneer er incidenten plaatsvinden. Op die manier weet de raad zeker dat informatieveiligheid geborgd wordt binnen de organisatie. Kortom, het gaat er niet alleen om dat een raadslid weet hoe de gemeentelijke organisatie informatieveiligheid tot in de details borgt, het gaat er vooral om dát een raadslid weet dat het wordt geborgd en dat de gemeente stuur zet op het onderwerp.
32
onderzoek raadsleden en informatieveiligheid
Aanbevelingen
12
12 Aanbevelingen Aan de hand van bovenstaande conclusies heeft de Taskforce BID een aantal vragen opgesteld voor raadsleden, die gesteld kunnen worden aan het college van B&W om te kijken of de organisatie stuur zet op informatieveiligheid:
1. Hoe heeft het college de punten van de Resolutie opgepakt? Geldt de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als norm voor het basis beveiligingsniveau van onze gemeente? In de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ is vastgelegd dat iedere gemeente het informatieveiligheidsbeleid vaststelt aan de hand van de BIG. Als raadslid kunt u vragen of uw gemeente een start heeft gemaakt met de punten uit de Resolutie, zoals de implementatie van de BIG en of de gemeente is aangesloten bij de IBD.
2. Hoe is het informatiebeveiligingsbeleid vormgegeven binnen onze gemeente? Wie zijn er als verantwoordelijken aangesteld en is er aandacht voor bewustwording? Het college van B&W is integraal verantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente en stelt het informatiebeleid vast. Als raadslid wilt u in ieder geval weten op welk managementniveau informatieveiligheid is belegd. Is er bijvoorbeeld een Chief Information Security Officer (CISO) in uw gemeente aangesteld? Daarnaast is het van belang dat iedereen in de organisatie het informatieveiligheidsbeleid kent en zich bewust is van de risico’s in relatie tot informatieveiligheid.
3. Welke risico’s accepteert het college van B&W voor onze gemeente en welke niet? Welke politiek-bestuurlijke en maatschappelijke gevolgen kan dit hebben in geval van een incident? Is de privacy van onze burgers gegarandeerd? 100% Veiligheid bestaat niet. Doel is dat iedereen in de organisatie het voor hen relevante beleid op gebied van informatieveiligheid kent en zich bewust is waar hij of zij een rol kan spelen bij het verkleinen van de risico’s in relatie tot informatieveiligheid. Desalniettemin blijft een aantal risico’s over, daar heeft de gemeente bewust voor gekozen. U wilt als raadslid echter wel zeker weten dat eventuele financiële en technische schade van deze risico’s bij een incident beperkt blijft en dat de privacy van burgers of de integriteit van de gemeente nooit in het geding zijn.
4. Functioneert de cyclus van informatieveiligheid binnen onze gemeente? Vindt er een jaarlijkse toetsing plaats, om na te gaan of onze gemeente ‘in control’ is op het gebied van informatieveiligheid via peer reviews, audits of self-assessments? Wat zijn de resultaten van deze toetsing? Wordt de cyclus jaarlijks bijgesteld op basis van lessons learned? Gemeenten hebben in de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ vastgelegd dat gemeenten zich moeten verantwoorden over de informatieveiligheidscyclus binnen de organisatie en daarbuiten. Dit houdt in dat informatieveiligheid bestuurlijk en organisatorisch geborgd is in de bestaande planningen controlcyclus. Toetsing vindt jaarlijks plaats via self-assessments, peerreviews of audits. In de Resolutie is afgesproken dat gemeenten zich in het jaarverslag verantwoorden over het te voeren informatieveiligheidsbeleid. Als raadslid kunt u vragen of deze toetsing plaatsvindt, wat de resultaten zijn en wat de gemeente met deze resultaten doet.
5. Hebben we binnen onze gemeente procedures opgesteld voor incidenten? Welke risico’s loopt de gemeente in geval van verstoring of cyberaanval, ook wanneer deze verstoring elders in de keten plaatsvindt? Hoeveel incidenten zijn er in de afgelopen periode (maand/half jaar) geweest? Melden wij die incidenten bij de IBD? Het is van groot belang dat uw gemeente noodscenario’s opstelt voor incidenten met hoge impact. Dergelijke incidenten kunnen de dienstverlening in ernstige mate verstoren. Het is belangrijk deze risico’s inzichtelijk te maken even als de maatregelen die de gemeente treft om zich hiertegen te wapenen. Als raadslid kunt u bijvoorbeeld vragen of uw gemeente de (informatie)veiligheid regelmatig toetst en de incidentprocedures periodiek oefent. Hier horen ook vragen bij als: Wanneer stelt het college van B&W de gemeenteraad op de hoogte in geval van een incident? En hoe is de verantwoording aan de gemeenteraad over beheersing van een incident of crisis geregeld?
34
onderzoek raadsleden en informatieveiligheid
6. Hebben we per domein zicht op het netwerk van landelijke en regionale partners waarin we opereren? Hebben we zicht op de informatiehuishouding en de informatie-uitwisseling in dit netwerk van actoren? Weten we hoe in de praktijk bij deze actoren informatieveiligheid is geborgd? Maken we (contractuele) afspraken over informatieveiligheid bij het opzetten van (regionale) samenwerkingsverbanden en bij de inkoop van diensten? In het kader van de decentralisaties zullen veel taken van gemeenten in een complex netwerk van aanbieders van zorg en maatschappelijke ondersteuning door wijkteams worden uitgevoerd. Tussen deze actoren ontstaan steeds meer complexe informatiestromen. De eindverantwoordelijkheid voor het functioneren van deze netwerken ligt bij de gemeente. Het is van belang dat inzichtelijk wordt waar, welke gegevensverzamelingen er zijn, hoe gegevens worden uitgewisseld en op welke wijze de betrokken actoren informatieveiligheid hebben geborgd. Dit kan worden vastgelegd in een zogenaamde Bewerkersovereenkomst.
onderzoek raadsleden en informatieveiligheid
35
www.taskforcebid.nl