CIP-post. Naar een nieuwe manier van governance op ketens. in dit nummer o.a.

Transcriptie

1 november 2013 nummer 4 CIP-post Naar een nieuwe manier van governance op ketens De tijd dat ketens overzichtelijk waren en vanuit één punt eenvoudig te besturen, ligt ver achter ons. Ketenbeheersing is een complex vraagstuk geworden. Het draait steeds meer om netwerken van organisaties en leveranciers, die gezamenlijk goed moeten functioneren om een goede dienstverlening aan burgers te kunnen realiseren. Het betreft als het ware vernetwerkte ketens. De informatiebeveiliging van deze ketens is daarmee enorm ingewikkeld geworden. Daarbij is het goed te beseffen dat je nooit het hele netwerk zult kunnen overzien, maar dat dit ook geen probleem hoeft te zijn. Zolang je helder hebt wat de belangrijke knooppunten zijn, en zolang ieder knooppunt met zijn directe relaties goede afspraken maakt over wie wat wanneer levert, wordt de keten beheersbaar. Afspraken over beveiligingskwesties kunnen daarin aan de orde zijn. Voor de beheersing van al die leveringsafspraken is het nuttig, zo niet noodzakelijk, om door de netwerken heen ook afspraken te maken over standaards. Het gaat bijvoorbeeld over de normen die we adopteren op het terrein van informatiebeveiliging, over hoe en met betrekking tot welke items leveringsafspraken gemaakt worden, etc. Deze wijze van denken zal de komende tijd de kern vormen van de activiteiten in de domeingroep Ketens. Want juist op het gebied van normatiek en standaardisatie kan het CIP een rol spelen. In samenwerking met de Taskforce BID werken we aan de praktische toepassing van dit denken. De ambitie daarbij is een Keten Service Library op te bouwen, met hanteerbare checklists, praktijken en voorbeelden, die kunnen helpen bij het inrichten en besturen van onze vernetwerkte ketens. in dit nummer o.a. Samenwerken is de norm Kick-off CIP Cyber Security Platform Doen grootgebruikers het wel veilig? Meldplicht datalekken op komst Bericht uit de stuurhut

2 Participatiesamenleving CIP Dat was even schrikken op prinsjesdag: De Participatiesamenleving! Nu moeten we elkaar gaan helpen met het boodschappen doen en daarnaast een beetje naar elkaar gaan omzien. Daar hadden we de overheid toch voor? Je kon het zien aankomen. Het was al een veeg teken dat het recht op één schone luier per dag niet in de wet vastgelegd werd. Het mag wel een tikje ironisch zijn, binnen ons vertrouwde netwerk, toch Ik realiseerde me dat CIP eigenlijk een participatiesamenleving is, in het klein. De deelnemende overheidsbedrijven noemen we participanten. Ook in wat we samen doen zie je dat participatiemodel. Echt een samenwerkingsplatform. De laatste tijd hebben we in dat opzicht ook niet stilgezeten. Op 26 september beleefden we de kick-off van het Cyber Security Platform, een community voor mensen binnen onze organisaties die zich bezighouden met cyberincidenten. Doel is elkaar onderling snel op de hoogte te brengen als er problemen ergens in het netwerk ontstaan. Wat voor de één een incident is, moet voor de rest een snelle waarschuwing kunnen zijn. Onderlinge hulp kunnen bieden door snelle kennisuitwisseling en soms ook daadwerkelijke hulp; het zijn een paar voorbeelden van de functie van dit platform. In deze CIP-post wordt er verder op ingegaan. Ook op de relatie die CIP met het NCSC en kennispartners opbouwt, op het terrein van Cyber Security. In oktober van dit jaar waren we bijeen met een flink aantal betrokken organisaties, om elkaar te helpen met inzichten en ervaringen rond de assessments op de webrichtlijnen. Die konden nog net worden meegenomen in de assessments van dit najaar. Ook Logius, verzekeraar CZ (die met DigiD werkt), Studielink en Kwaliteits Instituut Nederlandse Gemeenten waren daarbij. Voor de gemeenten vormen deze assessments een forse opgave. Zo zien we dat leereffecten ook buiten de directe kring van de uitvoerders optreden. Dat gaat over en weer. En zo werken we aan de informatieveiligheid van een breed netwerk van dienstverlening. Over netwerken gesproken. Met bestuurders van een aantal uitvoerders is een eerste stap gezet op weg naar de verkenning van ketenrisico s. Uit de miniconferentie die daarover belegd werd, kwam sterk naar voren dat de complexiteit hand over hand toeneemt en wel op ongeplande wijze. De techniek en de grote hoeveelheid ontsluitbare gegevens stuwen dit proces. Het gebeurt niet omdat het zo ontworpen is, maar omdat het kán. Voor de beheersing van ketens is een paradigmawijziging nodig: van het beschouwen van ketens naar het beschouwen van netwerken. Daarin zijn de knooppunten centraal. Per knooppunt alle relaties afgaan en afspraken maken en houden, op basis van een consequent doorgevoerd klantleverancierprincipe moet de basis voor beheersing zijn. Voor de robuustheid van de afspraken en de beheersing ervan, zijn standaarden nodig voor zowel de wijze waarop afspraken worden gemaakt als voor de normatiek en de toetsing daarop. Een aantal CIPontwikkelingen op het gebied van normatiek sluiten hier goed op aan. In overleg met de taskforce BID is in het Bestuurders Overleg Compacte Uitvoering (BOCU), dat ook het jaarplan van CIP goedkeurt, met het oog op de Verplichtende Zelfregulering vastgesteld dat jaarlijkse rapportages over volwassenheid en compliancy gewoon onderdeel moeten zijn van de rapportage aan het moederministerie. Voor uitvoeringsorganisaties geldt daarbij de BIR (Baseline Informatiebeveiliging Rijk) als toetsingskader. De ZBO s zijn in tegenstelling tot de Uitvoeringsorganisaties, niet gehouden aan de BIR. Voor ZBO s zou het goed zijn om ook een minimale standaard te kiezen. Door CIP wordt onderzocht of dat mogelijk het VIR (Voorschrift Informatiebeveiliging Rijk) zou kunnen zijn. Allemaal onderwerpen die hun vervolg krijgen in de komende tijd en zijn opgenomen in het jaarplan. Genoeg te doen dus. Mag ik rekenen op een voortzetting van jullie constructieve bijdrage aan de Participatiesamenleving CIP? Belangrijk, want het vóór allen bestaat slechts bij de gratie van het dóór allen. Ad Reuijl Samenwerken is de norm! Na 11 september 2001 was een van de belangrijkste lessen dat veel overheidsonderdelen in de Verenigde Staten teveel langs elkaar heen werken en te weinig kennis delen. Daardoor werden diverse waarschuwingen voor de aanslagen gemist door inlichtingen- en veiligheidsdiensten. Het Department of Homeland Security werd opgericht en nu zou alles beter moeten gaan. Nu 13 jaar later is duidelijk dat het samenwerken op bizarre wijze vorm heeft gekregen. Dankzij de onthullingen van klokkenluider Edward Snowden weten we dat er een structuur van samenwerking is, waarbij niet alleen diensten als de NSA, CIA, FBI samenwerken maar ook bedrijven als Microsoft, Yahoo, Google, Apple, Facebook, AOL en anderen input leveren. Daarnaast leverde de nodige Europese inlichtingendiensten informatie aan. Ontbrekende informatie wordt aangevuld met inbraken op netwerken van niet- Amerikaanse overheden, bedrijven en universiteiten. De hoeveelheid data die daardoor wordt verwerkt gaat ieder voorstellingsvermogen te boven. Kennis delen de criminele norm Wat ook de reden is dat PRISM bestaat: er is geen twijfel over het feit dat samenwerking enorme voordelen biedt. Criminelen weten dat al langer en wisselen ook kennis uit. Via ondergrondse fora delen aanvallers informatie over zwakheden, handelen ze in botnets en leveren gestolen gegevens uit. Dat is een levendige economie tussen kwaadwillenden onderling, omdat kennisdelen nu eenmaal werkt. Aan business cases die tonen dat het uitwisselen van informatie voordelen heeft, is dan ook geen gebrek. Alleen als wij ons willen verdedigen zijn we terughoudend in het uitwisselen van ervaringen. Precies daar kan het CIP een breekijzer zijn. Nu is vaak de norm nog dat stilhouden beter is voor de reputatie. Maar als uw ketenpartner dat doet na zelf lering te hebben getrokken, zult u diezelfde lessen opnieuw moeten leren. Dat is dubbel plezier voor de aanvaller die met een simpel trucje meerdere partijen kan hacken. Juist door ervaringen uit te wisselen laten we het niveau stijgen en dat is enorm hard nodig. Veel organisaties blijken nu helaas geen partij te zijn voor vreemde mogendheden of criminelen. Continue aanval Laten we nu eens realistisch onder ogen zien dat botnets zulke vormen hebben aangenomen, dat uiteindelijk iedereen wel ergens een gecompromitteerde machine in het eigen netwerk heeft. In feite zijn we allemaal gehacked en slechts een beperkt aantal organisaties is in staat dit te detecteren. In een wereld waar de AIVD bij herhaling waarschuwt voor inbraken en spionagepogingen die vanuit de hele wereld komen, spionageprogramma s als PRISM, diefstal van gevoelige informatie door criminelen en allerhande oplichterstrucs hebben we niet de luxe om niet samen te werken. Eigenlijk is het delen van kennis en ervaring bittere noodzaak. Hoe breder lessen worden opgepakt hoe beter dat is voor de BV Nederland. Ik zeg daarom: stap over de schaamte heen, gooi de luiken open en deel of leer de lessen die er zijn. Bij grotere uitbraken van malware hebben we daar al voordeel van gezien, want snel en effectief reageren blijkt cruciaal te zijn. In het CIP-netwerk is een schat aan kennis aanwezig die we steeds beter moeten leren aanboren. Het mooie van dit verband is dat we alles legaal doen. Scheelt toch weer een Nederlandse Snowden die weeffouten in de samenwerking moet blootleggen. Brenno de Winter Onderzoeksjournalist

3 nieuwe CiO UWV Aart van der Vlist is trendwatcher en werkt sinds september 2013 als CIO van UWV. Aart heeft hiervoor als IT directeur en CIO gewerkt voor Nationale Nederlanden, waar hij onder andere verantwoordelijk was voor IT-driven innovatie, bedrijfsbrede SAP programma s en de de IT-splitsing tussen bank en verzekeraar binnen ING. In de periode vóór 2005 heeft hij 12 jaar gewerkt bij KPMG Consulting, waarvan een aantal jaar als senior partner IT-management in de financiële markten. Aart van der Vlist CIO UWV Aart heeft een IT-achtergrond en diverse studies gedaan aan de Erasmus Universiteit en de Vrije Universiteit. Deze studies betreffen IT, EDP Auditing en Consulting. Naast deze activiteiten heeft Aart zich sinds 1995 beziggehouden met IT-trendwatching, hij is mede-auteur van de jaarlijks uitgebrachte bestseller Trends in IT, op tijd investeren in de juiste technologie. Aart is net 50 geworden, getrouwd en heeft vier kinderen. Hij is gepassioneerd klokkenverzamelaar en sociaal geëngageerd geraakt in zijn geloofsgemeenschap in Bodegraven. De IT wapenwedloop Vandaag is in het nieuws dat mensen in de toekomst steeds meer cyborg zullen worden. Van pacemaker tot insuline pomp, van Google glasses tot elektronische arm. En waarom zouden die niet in verbinding staan met de buitenwereld (the internet of things) om vervolgens kwetsbaar te zijn voor hackers? Het klinkt misschien ver in de toekomst, maar het is eigenlijk al dichtbij. De DDOS-attacks en de kwetsbaarheid van bijvoorbeeld DIGID hebben ons geleerd dat IT beveiligen nooit af is. Huur een ethical hacker in nadat je denkt dat je portal OWASP proof is en ze vinden weer nieuwe gaten. Monitoren, testen, aanvullende maatregelen nemen: het wordt een continue verbeterloop. Dat is niet iets om eenmalig bij de inproduktiename van een systeem te doen. De hoeveelheid risico s als gevolg van een totaal aan elkaar verknoopte IT-wereld worden groter. De beveiligingsvraagstukken worden daarbij dus ook groter en de strijd om incidenten vóór te blijven ervaar ik als een wapenwedloop. En dan zijn we bij het CIP aan het goede adres, want een wapenwedloop is lastig om alleen te doen. Dat gaat stukken beter als je dat samen doet. Het begint met het delen van kennis, maar de wapenwedloop zal ook groeien door het gezamenlijk treffen van maatregelen in plaats van dat een ieder dat voor zichzelf doet. Ik ben verheugd sinds september als CIO te mogen werken voor UWV. Maar ik zie ook de enorme uitdagingen, in het bijzonder betreft dat het gebied van informatiebeveiliging. Daarom is het goed dat we samenwerken in het CIP en ik hoop daaraan de komende jaren een bijdrage te mogen leveren. Kick-off CIP Cyber Security Platform Op 26 september was het zover, de kick-off van het CIP Cyber Security Platform (CIP-CSP). We waren te gast op een mooie locatie bij het BKWI (Bureau Keteninformatisering Werk & Inkomen), centraal gelegen in het centrum van Utrecht en we kregen een zeer hartelijk welkom van directeur Bert Uffen. De subcommunity CIP-CSP richt zich op het delen van informatie over actuele bedreigingen op het gebied van informatiebeveiliging, ter ondersteuning van kennisuitwisseling en het snel en daadkrachtig kunnen nemen van maatregelen. Daarmee wil het platform bijdragen aan het verhogen van de informatieveiligheid bij participanten. In de voorbereidingen naar deze kick-off hebben organisatoren Rutger Heerdink en Inez de Fluiter met meerdere CIP-leden gesproken. In die gesprekken zijn ideeën opgehaald over hoe concreet aan bovenstaande doelstelling invulling kan worden gegeven. Deze ideeën zijn tijdens de eerste bijeenkomst gedeeld en gezamenlijk is een prioriteitsstelling bepaald. Maar voordat hieraan werd begonnen is tijd genomen om elkaar wat beter te leren kennen. Ten slotte gaat het niet alleen om de Inhoud, maar zeker ook om de onderwerpen Relatie, Emotie en Proces. Het desbetreffende acroniem is REPI, aldus een van de deelnemers Hjalmar Leenders van het BKWI. Eén van de vervolgacties is ook het vervaardigen van een smoelenboek waarin de deelnemers elkaar kunnen vinden, zodat men elkaar zonder tussenkomst van CIP-CSP kan gaan helpen. Voor het Cyber Security Platform is de relatie met het NCSC van vitaal belang. Peter Westerveld lichtte de ontwikkeling toe van het Nationaal Expertise Netwerk Cyber Security (NENCyS). Dit is een netwerk van liasons, expertorganisaties en individuele vakmensen. Het CIP-CSP wordt hierin gezien als expertorganisatie en krijgt daar gezelschap van onder andere Nederland ICT en het CIO platform. Het NENCyS is erg blij met de oprichting van het CSP en is enthousiast over een goede op te bouwen samenwerking. Gezamenlijk hebben de deelnemers bepaald dat de volgorde van op te zetten zaken moet zijn: 1. Het opzetten van een PIO (Periodiek Informatie Beveiligings Overleg) met daaraan gekoppeld een community, die ook op operationeel niveau toegevoegde waarde biedt; 2. Het samen uitwerken van good practices. Hier zijn meerdere zaken benoemd, bijvoorbeeld hoe zet je een SOC (Security Operations Centre) op, hoe ziet de crisisorganisatie er uit; 3. Het onderling delen van early warnings of head s up signalen; 4. Het elkaar helpen met het in kaart brengen en beheersen van ketenafhankelijkheden. Ook is geïnventariseerd welke deelnemers willen helpen en bijdragen aan de totstandkoming van bovenstaande zaken. Daarmee hebben we een stevige basis gelegd om in de komende maanden gezamenlijk van het CSP een blijvend succes te maken.

4 De schouders onder het eid stelsel Als dit kabinet het eigen regeerakkoord wil waarmaken dat bedrijven en burgers uiterlijk in 2017 zaken die ze met de overheid doen digitaal kunnen afhandelen, moet er nog heel wat gebeuren. Er is weliswaar in de Visiebrief digitale overheid 2017 een prachtige ambitie geformuleerd, maar daarbij wordt ogenschijnlijk voorbijgegaan aan de eigen besluitvormingsprocessen. Dat is jammer, want er liggen prachtige kansen, waar wij graag aan meewerken om die te realiseren. Een van de kansen betreft deontwikkeling van de DigiD kaart. Zeg maar een kaart voor iedereen, waarmee je je digitaal kunt identificeren, digitaal transacties kunt ondertekenen en die optimaal je privacy beschermt. Dit maakt het verzenden en ontvangen van digitale informatie en het zakendoen via internet een stuk veiliger. Bui In een positieve bui denk ik dat de overheid al een heel eind op de goede weg is. Met de Berichtenbox vindt immers al de nodige digitale communicatie tussen overheid en burgers plaats. De ambitie van de Belastingdienst om vanaf 2014 uitsluitend nog via de Berichtenbox de correspondentie over toeslagen en aangiftes te regelen, is eveneens een stap in de goede richting. Ook de vooringevulde Belastingaanslag is een mooi voorbeeld. Maar helaas wordt dit positivisme af en toe flink op de proef gesteld. De ambities lijken niet altijd aan te sluiten bij de ambtelijke discussies over de bekostiging van de algemene voorzieningen die deze ontwikkeling ondersteunen. Begrijp mij niet verkeerd, zaken als beheer, techniek, kosten en privacy zijn stuk voor stuk zaken die goed geregeld moeten worden. Maar kan de aanpak hier en daar ook iets pragmatischer? Pragmatisch In verschillende landen om ons heen, waaronder Duitsland, België en Denemarken, is al voorwerk verricht en de nodige ervaring opgedaan. Daarvan kunnen wij optimaal profiteren en dat wordt ook al gedaan. Maar laten wij vooral marktpartijen bij deze ontwikkeling betrekken. Ook daar zit veel kennis, waarvan de overheid kan profiteren. Dat is goed voor het draagvlak, het aantal toepassingen en het vertrouwen in deze ontwikkeling. En dat kon nog wel eens hard nodig zijn. Toen de site Tweakers. net in augustus een artikel publiceerde over de marktconsultatie van de DigiD kaart, was al binnen vier minuten de eerste reactie te lezen: Dit dreigt gewoon weer zo n megalomaan overheidsproject te worden. Mondig Burgers zijn mondig en dat is een goede zaak. Zij hebben er immers recht op om te weten of de kaart al dan niet gratis verstrekt wordt, of het gebruik ervan verplicht wordt en hoe het met de privacy is gesteld. Er zijn gelukkig ook burgers die er wél vertrouwen in hebben, zo valt te lezen op dezelfde site: Maar doe het dan goed. Maak er meteen de bankpas van. Niks geen verschillende passen bij verschillende banken, gewoon je DigID koppelen aan je bankrekening en klaar. Maak er meteen je Stadionpas van. Misdraag je je bij het voetballen, wordt je DigID ingenomen. Maak er meteen je telefoonpas van! Je OV-tegoed als beltegoed en je mobieltje heeft wel NFC om hem uit te lezen. Alles bij elkaar nog maar één pas waar je hele identiteit op staat zodat je nooit meer iets anders hoeft mee te nemen. Geen portemonnee meer nodig, geen rijbewijs, pinpas of OV-chipkaart. Zorg Mijn zorg of we 2017 gaan halen gaat niet zozeer uit naar de techniek of naar de toepassingen. In diverse landen om ons heen is al met succes een dergelijke kaart ingevoerd. Bovendien denk ik dat veel burgers wel de voordelen zien van een overheid die via de digitale weg communiceert en daardoor goedkoper en efficiënt diensten kan aanbieden. Dat geldt helemaal als het eveneens een oplossing biedt voor digitale transacties tussen burgers onderling en tussen burgers en bedrijven. Mijn zorg gaat wél uit naar het vertrouwen dat burgers hebben in de overheid, in de toon van de discussie over privacy en over de snelheid van handelen van die overheid. Er is nog veel politieke besluitvorming en politieke daadkracht nodig. Daar waar het maar mogelijk is, dragen wij ons steentje bij. Pas als we met zijn allen de schouders eronder zetten, komen we ergens! Johan Hakkenberg Directeur RDW Activerend taalgebruik, een korte overpeinzing. Taal doet wat met mensen. Dat kan zowel ten goede als ten kwade zijn, activerend of informerend, etc. Het zorgvuldig kiezen van woorden is daarom altijd belangrijk. Die keuze moet passen bij de boodschap die beoogd wordt over te dragen. Deze en soortgelijke gedachten gingen door mijn hoofd, toen ik mij realiseerde hoeveel jargon er eigenlijk rondgaat in ons vakgebied, de informatiebeveiliging. Veelal ook nog eens in afkortingen schuilgaand. Een woord waarop ik speciaal bleef haken, was Awareness of Security Awareness. Het is een woord dat te pas en te onpas valt binnen het vakgebied. Binnen CIP hebben we er een aparte domeingroep voor. Niet zo gek, want het begrip duidt op die zachte kant, die menselijke kant, die belangrijk is als pendant van de hardere, technische veiligheidsmaatregelen. Iedereen moet zich bewust zijn van het gevaar dat dreigt; techniek alleen is niet genoeg. Dat bedoelen we ermee. Maar is die zachte kant voldoende afgedekt als we aware zijn? Het woord doet dat wel vermoeden. Dit terwijl we toch weten dat awareness de neiging heeft om snel weg te zakken. Het moet steeds actief op de agenda gezet worden om dat te voorkomen (zie ook de acties die in de domeingroep ondernomen worden, elders in dit bulletin). En wat meer is: als we ons al bewust zijn, gedragen we er ons dan ook naar? Wat we uiteraard willen bereiken is die gedragsverandering. Kortom: we willen verantwoordelijk gedrag op alle niveaus in de organisatie. We kunnen het goed Nederlandse begrip awareness dan ook beter gaan vervangen door het evenzeer goed Nederlandse begrip (maar nu voorzien van een meer activerende lading): Responsible Behavior. Domeingroep Awareness: Bewustwording Een groot risico als het gaat om informatiebeveiliging zijn de mensen in je organisatie. Zij kunnen onbewust fouten maken die er toe leiden dat gegevens op de verkeerde plaatsen beschikbaar komen. Daarom is het ook van groot belang aandacht te besteden aan de awareness bij zowel individuele medewerkers als afzonderlijke doelgroepen, zoals managers en ICT-medewerkers. Dit moet geen eenmalige communicatieactie zijn, maar een gedegen aanpak die continu aandacht blijft vragen van de organisatie. Vandaar dat de werkgroep Borging heeft gewerkt aan een opzet voor een awarenesscampagne met een totaalaanpak. In deze werkgroep hebben Sjoerd Weiland (RDW), Peter Konings (Belastingdienst), Rutger Heerdink (UWV) en René Backer (SVB) zitting. De aanpak kenmerkt zich niet alleen door het goed nadenken over de materie, de doelgroep en het plannen van communicatie-uitingen, maar vooral ook Ad Reuijl door dit integraal onderdeel te laten uitmaken van een ieders dagelijks werk. Het is van groot belang om de medewerkers zélf hierin een actieve rol te laten spelen. De eerste stappen voor het adopteren en gaan uitrollen van deze aanpak worden op dit moment gezet bij RDW en UWV. Daarnaast legt de domeingroep op dit moment de laatste hand aan de eerste e-learning module over Phishing. Deze module zal door het CIP beschikbaar worden gesteld om in te kunnen zetten in de eigen organisatie. De module komt ook goed van pas in combinatie met bovengenoemde awarenesscampagne. De modules over Bring your own device, Social engineering, Internet en zijn in de maak. Dienaangaande wordt de samenwerking gezocht met het Rijksbrede programma I-bewustzijn.

5 Ordening helpt In de domeingroep Normen wordt al sinds de start gewerkt aan stroomlijning van normenkaders voor de informatiebeveiliging en de audits daarop. In eerdere nieuwsbrieven en op de CIP-congressen hebt u gaandeweg kennis kunnen maken met het gedachtegoed van het SIVA-model: een structuur voor normenkaders waarin bestaande principes voor informatiebeveiliging volgens een strikte syntax - integraal en in onderling verband - kunnen worden geschreven. Het betreft dus geen nieuwe normen, maar slim en toekomstvast hergebruik, van implementatie tot en met algemeen beleid en beheersing, zonder doublures of open plekken. Het is geen gemakkelijk materie en de kunst is nu om de uitgangspunten in een toegankelijke uitwerking te gieten. Daarvoor is een samenwerking met het NCSC aangegaan (Nationaal Cyber Security Centrum). Het NCSC-normenkader is het eerste (bestaande) kader, dat wordt heringericht volgens SIVA. Het zal naar verwachting nog in 2013 gereed komen. Daarna staan andere kaders zoals de BIR en dat van het GBA op het SIVA-programma. Er is ondertussen een nieuw element aan deze ontwikkelingen toegevoegd. Gaandeweg ontstond het idee dat de SIVA structuur zich heel goed zou lenen voor een koppeling aan de ideeën van Capability Maturity Modelling (CMM): een systeem om de volwassenheid van organisatieonderdelen en de totale organisatie te kunnen uitdrukken. Dit idee wordt nu toegepast op een deel van het NCSC normenkader - het gedeelte dat betrekking heeft op de specifieke normen voor DigiD. Ook hierbij is de ambitie een eerste drukproef nog in 2013 te laten verschijnen. De ambities van de domeingroep Normen zijn hoog: toepassing van SIVA + ITOMM (IT-Object-Maturity- Model) in de DigiD-assessments voor Logius in Als dat lukt en goed bevalt, ligt de weg open voor herordening van het nu nog onoverzichtelijke landschap van normenkaders en de soms onevenwichtige waardering van auditbevindingen. Dit zal ook geschieden in nauwe samenwerking met NORA. Wiekram Tewarie Senior Adviseur IT Audit, bij UWV Meldplicht datalekken op komst Privacy staat flink in de publieke belangstelling en is ook een hot onderwerp in overheidsland. Er is belangrijke wetgeving in de maak voor aanbieders van producten en diensten, waarvan de beschikbaarheid en/of betrouwbaarheid van vitaal belang is voor de samenleving. Dit betreft daarom zeker ook deelnemers van het CIP. De voorgestelde wetgeving zal organisaties verplicht stellen om incidenten te melden waarbij persoonsgegevens betrokken zijn. Het betreft dan een melding aan zowel het CPB (College Bescherming Persoonsgegevens) als aan de individuele burgers om wier gegevens het gaat. Naast de ontwikkeling in de Nederlandse wetgeving is ook de Europese Privacy Verordening in aantocht. Deze is van gelijksoortige strekking, en valt op onderdelen nog iets strenger uit. De Nederlandse wetsvoorstellen houden in dat er binnen 24 uur na de ontdekking van een inbreuk een analyse gemaakt dient te worden, die aangeeft of melding nodig is, gezien de ernst van het geval. Tegelijk moeten ook onmiddellijk de individuele burgers worden ingelicht, van wie de persoonsgegevens mogelijk zijn gestolen. Dit alles op straffe van een boete van per incident. Deze verplichting eist veel van de organisatie. Is het wel realistisch om te verwachten dat je binnen 24 uur kunt achterhalen waar er precies is ingebroken, of er überhaupt gegevens zijn ontvreemd en van wie? Dat is geen sinecure. Het vraagt om stevige inregeling binnen een organisatie. De domeingroep Privacy is bezig de belangrijkste punten van de aankomende wetgeving op een rijtje te zetten en hieraan een beslismodel te koppelen. Daarmee kunnen organisaties snel zien of ze van doen hebben met een inbreuk die ze moeten melden of niet. Ook wil de domeingroep een lijst maken van organisatorische voorzieningen die ingericht moeten zijn om dat allemaal tijdig en volcontinu te kunnen doen. Doen groot-gebruikers het wel veilig? In het laatste kwartaal van 2012 vonden voor de eerste maal audits plaats op de NCSCwebrichtlijnen bij een aantal groot-gebruikers van DigiD. Organisaties die hun diensten onder DigiDauthenticatie aanbieden, moeten voldoen aan dit normenkader. Geen van de organisaties voldeed volledig aan de normen. In het eerste kwartaal van 2013 werden daarom diverse extra pentests georganiseerd en werden verbeterplannen opgeleverd (zie cip-pleio.nl voor een model/voorbeeld-verbeterplan). CIP heeft in april een gesprek georganiseerd om ervaringen te delen en beelden uit te wisselen over een meer optimale aanpak. Eind 2013 worden de audits voor de tweede keer uitgevoerd. Op 17 oktober heeft CIP opnieuw een bijeenkomst georganiseerd voor uitwisseling. In de meeting bleek opnieuw dat er veel van elkaar te leren valt. Zo werd duidelijk op welke wijze de mogelijkheid van toelichting optimaal benut kan worden. Bij de auditslag in 2012 werd hiervan nog niet optimaal gebruik gemaakt, waardoor soms een te zwart-wit beeld ontstond. Dr. Koen Versmissen werkte ruim acht jaar bij het College Bescherming Persoonsgegevens in verschillende beleids- en leidinggevende functies. Daarbij had hij zowel met de overheid als met het bedrijfsleven te maken. Koen is een gepromoveerd informaticus en Certified Information Privacy Professional / Europe (CIPP/E). Ook is hij geaccrediteerd als juridisch én technisch expert voor de EuroPriSe privacywaarborg. De stand van zaken van de verbeterde versie van het normenkader kwam eveneens in de vergadering aan de orde. Samen met het NCSC heeft CIP het kader beschreven in een vorm die enerzijds fundamenteel scheiding maakt tussen wat en hoe, en anderzijds tussen beleid, uitvoering en beheersing. Per onderdeel zijn genormaliseerde volwassenheidsniveaus beschreven, waarmee een aanpak van maturity assessment mogelijk wordt. De ambitie is om in 2014 over te gaan op zowel de nieuwe beschrijving als de aanpak van maturity assessments. Deze vormen een betere basis voor gerichte planning van verbetertrajecten. De deelnemers van de bijeenkomst waren Belastingdienst, BKWI, CZ, CAK, Deloitte, DUO, King, Logius, RDW, Studielink, SVB en UWV. Koen Versmissen CIPP/E Privacy moet je dóén. Natuurlijk zijn privacyweten -regelgeving belangrijk, maar écht respectvoor klanten en medewerkers blijkt uit de moeite die je doet om fatsoenlijk om te gaan met wat je over ze weet. En daar hoeft je bedrijfsvoering niet onder te lijden.

6 Berichten uit de stuurhut BOCU Sinds 1 juli 2013 valt het CIP onder het bestuur van het BOCU. Met een knipoog naar het programma Compacte Rijksdienst, hebben de bestuurders van de Belastingdienst, DUO, SVB en UWV het Bestuurders Overleg Compacte Uitvoering opgezet. Dit overleg komt eens in de twee maanden bijeen, om zicht te houden en te sturen op de initiatieven die zijn ontstaan binnen het inmiddels beëindigde programma 12 van de Compacte Rijksdienst. Voor het CIP is dit overleg een belangrijk orgaan. Het stelt de jaarplannen vast en geeft prioriteiten aan. Mede op basis van de input van de vier organisaties is het CIP-jaarplan 2014 opgemaakt. Het BOCU stelde het plan vast in de vergadering van 30 oktober. Voor het CIP is dit een goede ontwikkeling, want hoe beter onze planning aansluit op de wensen van de initiatiefnemers, hoe beter de CIP-samenwerking verankerd is en hoe meer doelgericht we kunnen werken. Verplichtende zelfregulering Het grote thema van de Taskforce BID is het komen tot vormen van Verplichtende Zelfregulering. Het betreft zelfregulering op zowel het niveau van de individuele organisatie, als dat van de overheidslaag. Het doel daarbij is dat per overheidslaag een normenkader wordt geadopteerd op het gebied van informatiebeveiliging, dat periodiek wordt getoetst en via verbetercycli leidt tot structurele verhoging van het niveau van informatieveiligheid van de gehele overheid. Binnen het BOCU is vastgesteld dat de overheidslaag van de uitvoering bestaat uit een tweetal smaken: enerzijds de Uitvoeringsorganisaties en Agentschappen, anderzijds de Zelfstandige Bestuursorganen (ZBO s). De eerste categorie is voor wat betreft haar normatiek gehouden aan de BIR (Baseline Informatiebeveiliging Rijk), die ook basis moet zijn voor zelfregulering. De tweede categorie heeft geen gemeenschappelijk kader. ZBO s hebben zelf normenkaders ingevoerd, die weliswaar meestal ontleend zijn aan de ISO27000-serie, maar uiteindelijk allemaal onderling van elkaar verschillen. Er is dus behoefte aan een gemeenschappelijke basis, ook voor ZBO s. Op het eerste gezicht zou je dan zeggen: laat de BIR dat zijn. Maar dat is een brug te ver. Doordat ZBO s altijd een grotere mate van vrijheid hadden, is ook het landschap van informatiebeveiliging heterogener dan bij de departementale organisaties. In overleg met de Taskforce BID zoeken we dan ook naar een meer globale richtlijn als basis voor de ZBO s. Het BOCU stelt hierbij voor om onderzoek te doen naar het VIR (Voorschrift Informatiebeveiliging Rijk). Het VIR geldt al vele jaren als uitgangspunt voor het Rijk en is jaarlijks de basis voor toetsing door de Algemene Rekenkamer. Het VIR begeeft zich op een wat globaler niveau dan de BIR en is daarmee mogelijk een goede basis voor een eerste stap naar zelfregulering voor het smaldeel van ZBO s. Inmiddels is CIP aan de slag gegaan met een onderzoekje, waarbij voor SVB en UWV wordt nagegaan of het VIR hanteerbaar zou zijn. De resultaten zijn tot dusver bemoedigend. Als het BOCU het VIR hanteerbaar acht, kan vervolgens in de Manifestgroep en met de ministeries worden nagegaan of het VIR kan worden geadopteerd als minimale basis voor verplichtende zelfregulering voor ZBO s. CIP Jaarplan 2014 Even voorstellen, ik ben Maurice Dezentjé Hamming. Na het vwo ben ik mijn loopbaan gestart bij Defensie, daar de officiersopleiding gedaan en Russisch gestudeerd. Vervolgens een aantal jaren bij de Militaire Inlichtingendienst gewerkt en uitgezonden geweest naar onder andere Bosnië. In 2000 ben ik overgestapt naar de Douane op Schiphol en heb ik daar een gezamenlijk drugsbestrijdingsteam van de Douane en de Koninklijke Marechaussee geleid. Vanuit deze functie opnieuw uitgezonden geweest naar de Nederlandse Antillen. Sinds 2009 werk ik bij Rijkswaterstaat, een functie die ik combineer met Defensie. Bij Rijkswaterstaat houd ik me bezig met integrale beveiliging en bij Defensie met crisisbeheersing. Wat vind ik belangrijk in ons vak?: vooral goede up-to-date vakkennis, multidisciplinair werken (samenwerken aan een integrale beveiligingsaanpak), en beveiliging is vooral van ons allemaal binnen de organisatie (en dus geen mag niet -cultuur)! Op basis hiervan heb ik flink geïnvesteerd in diverse internationale security-management certificeringen (ASIS CPP, IFPO CPO). Daarnaast breng ik binnen onze dienst graag de deelgebieden fysieke beveiliging, informatiebeveiliging, bescherming persoonsgegevens en integriteit bij elkaar. Tenslotte leg ik in het dagelijks werk vooral de focus op continuïteit en veiligheid, in plaats van de wettelijke regeltjes. Ik probeer integrale beveiliging vooral begrijpelijk te maken met behulp van het bekende 3 poortenmodel, waarbij bescherming persoonsgegevens eigenlijk een bijzondere vorm is van informatiebeveiliging. Het gaat er vanuit het 3 poortenmodel om dat inbreuken op assets via de voordeur, het netwerk of medewerkers kan plaatsvinden. Dit vereist dus een integrale en afgestemde aanpak voor wat betreft risico s en maatregelen, om een kosteneffectieve beveiliging te bieden, die niet verstorend is met de primaire processen van de organisatie. Ik ben 42 jaar oud, ben getrouwd met Brenda (stewardess) en samen hebben we een zoontje van anderhalf. Ik hou van (haaien)duiken, genealogie en honkbal. Maurice Dezentjé Hamming CPP CPO Landelijk coördinator Integrale Beveiliging & Bescherming Persoonsgegevens RWS Jan Breeman Security Adviseur BKWI In deze wereld is de ICT niet meer weg te denken en of we het willen of niet: ons leven wordt steeds meer beïnvloed door de ICT. ICT heeft veel goede kanten, maar van bepaalde kanten hebben we last. Zo wisselen we steeds meer persoonsgegevens uit en koppelen deze steeds meer aan elkaar. Dit vergroot de kans op identiteitsdiefstal. Ook zijn systemen en toepassingen niet altijd beschikbaar zoals wij dat willen. Met mijn ervaring wil ik meehelpen die last te reduceren. Soms ligt daarbij de nadruk op het beschikbaar zijn van toepassingen en informatie, dan weer op de integriteit van de (persoons)gegevens. Ik zie het CIP dan ook als een perfect instrument voor de overheid om kennis te delen en partijen te helpen niet steeds opnieuw hetzelfde wiel uit te vinden. Wat ik ook denk te zien, is dat we gevangen zitten tussen het oude en het nieuwe denken. Vanuit het oude denken willen we in uitgebreide documenten alles vastleggen wat een relatie heeft met het onderwerp. Vanuit het nieuwe denken wil je komen tot korte teksten op bepaalde topics met verwijzing naar relevante andere topics. Dit zie ik als een uitdaging voor het CIP (en mijzelf).

7 Workshop Veilig mobiel werken op 16 september voor het CIP. Op 16 september 2013 organiseerde Ordina voor de overheidsorganisaties uit het CIP-netwerk een workshop over veilig mobiel werken. Tijdens een uitgebreide introductie is eerst besproken waarom dit onderwerp zo hoog bij iedereen op de agenda staat. Daarbij bleek dat het spanningsveld tussen beveiligen en vrijlaten een belangrijk thema is. Het continu zoeken naar een balans tussen enerzijds restricties via techniek en beleid en anderzijds het opbouwen van awareness bij de gebruiker is daarbij de uitdaging. Alle beschikbare middelen en technieken ten spijt, zit de uitdaging in het definiëren van een kader dat door de organisatie als adequaat wordt beschouwd. Er werden verschillende elementen benoemd, die in de discussies telkens terugkwamen, over hoe de juiste balans te vinden. Peter de Witte Information Security Officer SVB Informatiebeveiliging is voor mij een enorm divers en interessant vakgebied om in te werken. Het reikt van menselijk gedrag tot uitermate technische aspecten. Bovendien zijn de ontwik- kelingen op het vakgebied dynamisch (zowel positief als negatief) en raakt het ons allemaal. Juist vanwege deze aspecten is samenwerking zo belangrijk. Zeker als individu, maar ook als bedrijf of instelling is het bijna onmogelijk om bij te blijven met alle ontwikkelingen. Door deel te nemen aan het CIP, kan ik vraagstukken die bij de SVB leven, delen met andere deelnemers en kan ik gebruik maken van door het CIP opgeleverde producten en de kennis van de deelnemers. Vaak zijn de uitdagingen waar de SVB tegenaan loopt niet heel verschillend dan die van andere organisaties. Kortom, deelname aan het CIP is voor de SVB en voor mijzelf bijzonder waardevol gebleken. Het betreft: 1. Technische versus organisatorische maatregelen; 2. De impact op de gebruikerservaring en het belang ervan; 3. Veilig mobiel werken versus kunnen gebruiken wat je wil; 4. De impact en steun vanuit regels zoals de VIR, BIR, VIR-BI, WBP en WPG; 5. De impact op houding en gedrag van de mogelijkheid om plaats- en tijdonafhankelijk te werken. De volgende drie kernelementen kwamen hierbij meerdere malen terug in de vorm van twee vragen en een constatering: - Hoe beheers ik datgene wat ik ogenschijnlijk niet kan beheren? - Wordt veilig mobiel werken voldoende vanuit het business-belang opgepakt? - De constatering hierbij was dat de discussie over veilig mobiel werken stelselmatig teruggebracht wordt tot een technische discussie, wat het niet zou moeten zijn. Mobiel werken: kans, bedreiging of noodzaak? De kansen hebben voornamelijk betrekking op de toegevoegde waarde die mobiel werken heeft met betrekking tot het creëren van extra flexibiliteit en efficiency voor organisaties. Informatie kan real time, any time, any place beschikbaar worden gesteld. Dit stelt medewerkers in organisaties in staat snel te reageren op ontwikkelingen. Tegelijkertijd is mobiel werken een positieve impuls voor organisaties om hun dienstverlening aan de klanten en de interne processen opnieuw te definiëren. Aan de kostenkant worden wel besparingen mogelijk geacht, maar ontbreekt inzicht. De bedreigingen liggen veelal in het verlengde van de kansen. Dataverlies en daarmee gepaarde inbreuk op vertrouwelijkheid of verlies van organisatie-kritische informatie komt in veel van de bedreigingen naar voren. Groot gevaar is verlies/diefstal van apparatuur. Een ander risico is dat elke technologie zijn eigen risicoprofiel heeft voor bijvoorbeeld malware met alle gevolgen van dien. De gevleugelde uitspraak van de middag was daarbij hoe gratis is die gratis app nu echt? Maar ook meer op de mens georiënteerde bedreigingen kwamen uitvoerig aan bod. Medewerkers laten mobiele apparatuur wellicht onbeheerd ergens achter (bijvoorbeeld op een tafeltje op een terras) of laten in de privésfeer mensen de apparatuur gebruiken, terwijl diezelfde mensen vanuit de organisatie als ongeautoriseerd zouden kunnen worden geduid. Als bijzondere categorie bedreigingen werd nog het risico aangetekend dat veilig mobiel werken ook zou moeten inhouden, dat de medewerker beschermd moet worden. Altijd en overal bereikbaar zijn kan leiden tot een hogere - ervaren - werkdruk, toenemende stress en daarmee toenemend ziekteverzuim. Concluderend Organisaties met een sterk risicoprofiel hebben zich tot dusverre veelal technisch kunnen wapenen. De uitdaging wordt met elke technische ontwikkeling echter groter en hiermee wordt ook de discussie over de te treffen maatregelen moeilijker. Wel wordt hierbij steeds nadrukkelijker gezocht naar de antwoorden op de volgende twee vragen: 1. Wat is het risico voor de organisatie? Een gedegen risicoanalyse is nodig. 2. Welke niet-technische middelen kunnen we, naast de technische maatregelen, inzetten om de risico s af te dekken? Het thema gaat een vervolg krijgen. De bestuurders van het CIP hebben dit ook als onderwerp gemeld voor de jaarplanning. Full frontal Het moest er eens van komen: na anderhalf jaar CIP sta ik dan ook in de CIP-Post. Full frontal is het niet, maar het voelt wel zo. Want beroepshalve ben ik helemaal niet blij met mijn gezicht op het internet. Dat zie je ook aan mijn fotootje op CIP.pleio: hoedje, zonnebril en een beetje onduidelijk. Je wordt in dit vak behoorlijk achterdochtig en dat is niet verwonderlijk. Combineer de berichten over toenemende identiteitsdiefstal, wereldwijde en onbeschaamde staatshackers, geen straathoek meer zonder camera, massale bestandskoppelingen en opportunisme in de politiek, en je durft je eigenlijk niet meer te verroeren. Nog geen Faceboekpagina? Facebook kan hem zó voor u maken, u hoeft daar helemaal niets aan te doen, hooguit aangeven welk van de voorgestelde fotootjes u het aardigst vindt voor uw profiel. Wie dit allemaal vertrouwt, wie vindt dat er alleen maar goeds uit voortkomt en denkt dat hij of zij niets te verbergen heeft (think again!), die zal welgemutst en onbekommerd aan dit moderne leven meedoen - van mij mag het. Maar ik hou er niet van, al weet ik ook wel dat het eigenlijk allang niet meer te keren is en dat ook mijn Facebookpagina op enig moment per ongeluk zal worden gepubliceerd. Zou het wat? Mijn gegevens gaan immers toch al de wereld rond. Heeft dit iets met CIP te maken? Ja en nee. CIP is een nuttig initiatief om overheidsgerelateerde uitvoeringsorganisaties te helpen bij hun inspanningen om aan verplichtingen op het gebied van informatiebeveiliging en privacybescherming te voldoen. Het gaat om het bereiken en handhaven van gezamenlijk afgesproken minimum standaards, beveiligingsbewustzijn, samenwerking en vertrouwen in ketens. En het bijzondere is: ze helpen elkaar. CIP is niets anders dan de ontmoetingsplaats daarvoor. Op het virtuele wereldtoneel zullen we echt het verschil niet gaan maken, maar op onze eigen schaal kunnen we laten zien dat we zeer hechten aan een betrouwbare, integere en als het moet vertrouwelijke dienstverlening. Dat we, kortom, onze klanten serieus nemen. Daarom werk ik voor het CIP. Ik vertrouw erop dat dit een goede manier is om op den duur de privacybalans tussen burgers, bedrijven en overheid weer wat te kunnen herstellen. Ruud de Bruijn Senior Adviseur ICT Assurance CIP

8 Samen dienstbaar en veilig op koers naar Digitaal 2017 Uit cijfers van Eurostat, het statistisch bureau van de EU, blijkt dat 90% van de Nederlanders (van jaar) regelmatig het internet gebruikt. 71% hiervan gebruikt het ook voor contact met de overheid, zoals het zoeken en downloaden van informatie, het downloaden en verzenden van formulieren en chatten. Nederland behoort hiermee tot de koplopers! Met deze cijfers mag worden verwacht dat een zeer grote groep burgers hun zaken met de overheid voortaan achter de computer kan afdoen. De burger dient centraal te staan in het dienstverleningsproces van de overheid. Hij moet eenvoudig zijn weg kunnen vinden in de dienstverlening van de overheid via gebruiksvriendelijke en toegankelijke websites die voldoen aan internationale standaarden voor toegankelijkheid (webrichtlijnen). Diezelfde burgers kunnen dan ook eenvoudig inzien welke gegevens over hen zijn vastgelegd en aan wie deze worden verstrekt. Daar hebben ze wettelijk recht op. Ook krijgen zij de mogelijkheid om fouten te (laten) corrigeren. MijnOverheid geeft die inzage en de mogelijkheid om online correcties door te geven wordt zo snel mogelijk georganiseerd. Het kabinet heeft de ambitie geformuleerd dat bedrijven en burgers uiterlijk in 2017 zaken die ze met de overheid doen, zoals het aanvragen van een vergunning, digitaal kunnen afhandelen. Dit is een prachtige opgave waarmee de overheid zichzelf kan laten zien, compact, met intelligente en behulpzame dienstverlening. Deze ambitie kan alleen verwezenlijkt worden door er gezamenlijk de schouders onder te zetten, want deze ambitie heeft gevolgen voor de informatiehuishouding van de gehele overheid. Zo wordt verwacht dat de bouwstenen van i-nup, waaronder de basisregistraties, de digilevering en digimelding (waarmee resp. wijzigingen in basisregistraties worden doorgeven en onjuistheden kunnen worden teruggemeld), tijdig geïmplementeerd zijn. Ook wordt verwacht dat gegevens met andere overheidsorganisaties goed en veilig worden uitgewisseld. Papieren post wordt min of meer taboe. Burgers en bedrijven mogen in 2017 al hun gegevens digitaal aanbieden en via de berichtenbox wordt informatie naar hen teruggestuurd. Dat vergt aanpassingen in de eigen processen en informatiehuishouding van afzonderlijke overheidsorganisaties. Overigens mag de digitale dienstverlening niet ten koste gaan van de continuïteit van de publieke dienstverlening. Het blijft van belang een voorziening binnen de overheid te creëren waar de klassieke post of het vertrouwde loket een plek krijgt om echt iedere burger te kunnen voorzien. Samenwerking en elkaar helpen zijn hierbij de kernbegrippen. De verbetering van de digitale dienstverlening hangt namelijk samen met vele andere processen waar de overheid aan werkt, zoals het invlechten van de decentralisaties in de gemeentelijke informatiehuishouding. Dit kan alleen wanneer professionals veilig in de keten gegevens met elkaar kunnen uitwisselen. Dit vraagt niet alleen om ICTvoorzieningen, maar ook om (vertrouwens-)afspraken tussen de verschillende overheidsorganisaties. Met de gezamenlijke kennis moeten deze klussen geklaard kunnen worden. De overheid werkt ook samen met private partijen om tot een eid-stelsel te komen, waarmee burgers en bedrijven nog veiliger toegang kan worden verleend tot de digitale voorzieningen. De burger mag verwachten dat de beschikbaarheid en continuïteit van de dienstverlening en de bescherming van de (persoons-)gegevens tot in de haarvaten van de overheidsorganisaties goed geregeld is. Acute, redelijkerwijze te voorkomen beveiligingsrisico s die de veiligheid van mensen, informatie of organisaties in het geding brengen, zouden zich niet voor mogen doen. Dat betekent investeren in informatieveiligheid! Bekend is dat overheids- en uitvoeringsorganisaties primair zelf verantwoordelijk zijn voor de beveiliging van de eigen netwerken en systemen. Maar ook hier brengt samenwerken op het niveau van de afzonderlijke organisaties uitkomst. Neem bijvoorbeeld de DDos-aanvallen. Als de overheid de diensten zoals scrubbing en gebruik van datacenters zo veel mogelijk gezamenlijk organiseert en inkoopt, is dat veel goedkoper. Daar wordt nu voorzichtig naar toegewerkt, want het gaat om vertrouwen naar elkaar toe. Om dit alles te bereiken is het allerbelangrijkste dat bestuurders en topmanagers bewust worden van het belang van informatieveiligheid en de noodzaak tot samenwerking op dat vlak. Hierbij gaat het om provincies, gemeenten, waterschappen, rijksoverheid en zelfstandige bestuursorganen. De koepelorganisaties en diensten, zoals de IBD en het CIP, spelen hierbij een belangrijke rol. Daar werkt het ministerie van BZK op volle toeren aan met de Taskforce Bestuur en Informatieveiligheid Dienstverlening, zoals op het voorgaande CIPcongres werd gepresenteerd. De taskforce maakt inmiddels grote stappen. Er worden vele bijeenkomsten georganiseerd door de taskforce voor bestuurders en topmanagers. De taskforce levert voor die doelgroep toegesneden inhoudelijke informatie en handvatten. De deelnemers worden meegenomen in het systeem van de verplichtende zelfregulering en de aanpak in de ketens. Met de koepels en vertegenwoordigers van alle overheidsdomeinen krijgt de verplichtende zelfregulering nu behoorlijk vorm. Verschillende overheidsdomeinen hebben met hun baseline hier al invulling aan gegeven, samen met de taskforce. Ook uitvoeringsorganisaties moeten hier in mee. Uiteindelijk draait het uiteraard om het daadwerkelijke resultaat van deze inspanningen. Op deze manier kunnen de keuzes voor informatieveiligheid zo goed mogelijk worden afgestemd op de wensen en behoeften van de sectoren en domeinen zelf. Europa werkt momenteel aan een nieuwe Europese privacyverordening, een verordening betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties (eidas) en een richtlijn voor Netwerk- en informatiebeveiliging (NIB) in het kader van de Europese Cyber Security Strategie. Om deze verordeningen en richtlijnen goed in de afzonderlijke organisaties te implementeren is overzicht en samenwerking binnen het overheidsdomein en binnen de verschillende sectoren nodig. Er is immers steeds vaker sprake van samenwerking in ketens, waarbij duidelijke afspraken moeten worden gemaakt om zwakke schakels te voorkomen. De normering rondom de informatieveiligheid is overigens vaak onderwerp van discussie. Vragen als welke set normen, hoe goed zijn ze, welke zijn verplicht en door wie, zijn regelmatig te horen. BZK en de taskforce werken samen met andere departementen, koepels en diensten zoals het CIP om deze vragen op te lossen. In gesprekken blijkt vaak dat beelden verschillen. Niet in de laatste plaats over welke normen nu beter zijn. Met de samenwerking wordt gewerkt naar een helder kader en inzicht over wat waarop van toepassing is. En niet onbelangrijk, er wordt gezocht naar oplossingen om de toezichts- en auditlasten te verminderen. Veel audits en meldplichten gaan over hetzelfde. Onderzocht wordt of gekomen kan worden tot meer eenduidige normen en of één samengestelde audit op de informatiehuishouding van de organisatie kan gaan werken, zoals het systeem dat de rijksoverheid hanteert voor de verantwoording van specifieke uitkeringen. Incidenten kunnen nooit volledig worden uitgesloten. Daarom is het vergroten van de weerbaarheid van de systemen van het openbaar bestuur en het vergroten van de ICT- response een belangrijk onderdeel van het informatieveiligheidsbeleid. Er wordt ingezet op de bestuurlijke ontwikkeling van een netwerk waarin detectie, coördinatie bij het oplossen van incidenten, preventie en kennisdeling centraal staan. Hierbij wordt interbestuurlijk samengewerkt en aangesloten bij het in volle ontwikkeling zijnde Nationaal Response Netwerk. Met dit netwerk wordt via het Nationaal Cyber Security Centrum (NCSC) partner- en schakelorganisaties gediend om digitale dreigingen zo spoedig mogelijk te ondervangen. Eén van deze belangrijke partners is de Gemeentelijke Informatiebeveiligingsdienst (IBD), die sinds begin dit jaar actief is. Al met al vergt het een grote inzet om zowel de dienstverlening als de informatieveiligheid bij de overheid naar het gewenste hoge plan te tillen. Daarbij is het goed om te realiseren dat in beide gevallen dit in grote mate afhankelijk is van de inspanningen en de werkwijze van de individuele werknemer bij de overheid. Denk maar aan Het Nieuwe Werken, thuis en met gadgets en in de cloud. Informatieveiligheid en goede dienstverlening worden niet alleen bereikt met techniek, maar is ook en vooral mensenwerk. Het belang van digivaardige burgers, gaat niet alleen over die ander, maar ook over jezelf in het dagelijkse werk. Binnen de overheid zal dan ook de komende jaren gezamenlijk en gedreven aan de slag gegaan moeten worden om deze ambities waar te maken. Gert-Jan Buitendijk Directeur-Generaal Bestuur en Koninkrijksrelaties van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Irene Coenen Projectleider bij Directie Burgerschap & Informatiebeleid BZK