Verplichtende Zelfregulering. Nadere concretisering n.a.v. drie bijeenkomsten

Maat: px
Weergave met pagina beginnen:

Download "Verplichtende Zelfregulering. Nadere concretisering n.a.v. drie bijeenkomsten"

Transcriptie

1 Verplichtende Zelfregulering Nadere concretisering n.a.v. drie bijeenkomsten April 2013

2 Inhoudsopgave 1 Inleiding 3 2 Waarom aandacht voor informatieveiligheid? 3 3 Waarom Verplichtende Zelfregulering? 4 4 Hoe ziet de set van afspraken er uit? Kaderstelling Mens en organisatie Gerichtheid: scherpte voorop Verankering Ketens 11

3 1 Inleiding De Taskforce Bestuur en Informatieveiligheid Dienstverlening (BID) heeft zich, in samenwerking met de Vereniging van Nederlandse Gemeenten (VNG) ten doel gesteld eind 2014 te komen tot een verplichtende vorm van zelfregulering als het gaat om informatieveiligheid binnen de gemeentelijke overheidslaag. In maart heeft de Taskforce BID samen met VNG drie bijeenkomsten over Verplichtende Zelfregulering voor gemeentelijkeen overheidsbestuurders, managers en informatiebeveiligingsexperts georganiseerd. Doel van de bijeenkomsten is om samen met deze bestuurders, managers en informatiebeveiligingsexperts te komen tot een concrete invulling van het begrip Verplichtende Zelfregulering. In dit document staan de belangrijkste opbrengsten van de drie bijeenkomsten weergegeven. In de derde bijeenkomst is bewust ook met representanten uit de andere overheidslagen van gedachten gewisseld. 2 Waarom aandacht voor informatieveiligheid? Tijdens de bijeenkomsten is gebleken dat de aanwezigen zich zeer bewust zijn van de huidige incidenten op het vlak van informatieveiligheid. Er is begrip voor de wijze waarop de politiek hier aandacht voor heeft en geeft, maar daarbij is wel de vraag gesteld in hoeverre, of eerder nog waarom informatieveiligheid eigenlijk een urgente kwestie is op dit moment. Drie redenen zijn hier debet aan. In de eerste plaats is evident dat er wel degelijk sprake is van een urgent vraagstuk vanwege de risico s die de digitale wereld met zich meebrengt. Dit is simpelweg al zo omdat veel informatie betrouwbaar, integer en gegarandeerd moet zijn om de continuïteit van dienstverlening te garanderen. De volgende overwegingen blijken hierbij te overheersen: Actuele incidenten, maar ook actuele onderwerpen, zoals het werken in regievorm, regioverband of ketensamenwerking, het plaats-, tijd en apparaatonafhankelijk werken en thema s als Open Data en Cloud Computing vragen om een herziening van het bestaande beleid. Gemeentelijke organisaties hebben te maken met veel (persoons-)informatie, die betrouwbaar, integer en gegarandeerd moet zijn om de continuïteit van dienstverlening te garanderen en aan de wettelijke taken en regelgeving te kunnen voldoen. Dit wordt ingewikkelder naarmate gemeenten meer in ketens en/of decentraal werken. Tijdens de bijeenkomsten is vooral ook de bestuurlijke en ambtelijke aandacht voor het thema informatieveiligheid aan de orde geweest. De aandacht voor dit onderwerp is nog niet wat het moet zijn. Met name bij grote incidenten ontstaat er tijdelijke aandacht voor het onderwerp, die daarna wegebt. Bestuurders en topmanagement zullen zich daarom meer moeten verdiepen in de problematiek van informatieveiligheid en inzake de gerelateerde maatschappelijke-, politieke- en organisatierisico s keuzes moeten maken. Daarnaast zullen zij kaders moeten stellen 3

4 en sturing dienen te geven aan informatieveiligheid. Goed voorbeeld doet, zeker in dit geval, ook echt volgen. Wat opviel tijdens de bijeenkomsten is het feit dat ook vanuit organisaties die al ver gevorderd zijn met de systematische verankering van informatieveiligheid, de mensfactor steeds weer als centraal aandachtspunt wordt benoemd. In de besprekingen is een groot aantal van de genoemde risico s aan de orde gekomen. Bovendien blijkt het startpunt van elke redenering steeds weer bij de maatschappelijke- en politieke risico s te liggen, met een vertaling naar de onderliggende technische oorzaken én remedies. Een duidelijk overzicht van de risico s vanuit die maatschappelijke aspecten lijkt er overigens niet te zijn. Als tweede is er consensus gebleken over het besef dat er altijd risico s bestaan, maar dat organisaties zelf wel degelijk invloed hebben op die risico s. Bijvoorbeeld door alleen die informatie vertrouwelijk te verklaren, die dat ook echt moet zijn. Overigens is hierbij wel de conclusie getrokken dat integriteit en beschikbaarheid vaak eisen stellen die niet veel afwijken van die bij vertrouwelijkheid. Tot slot kwam als derde punt naar voren dat er altijd risico s blijven bestaan; het risico nul bestaat niet bij informatieveiligheid. Het gaat daarom met name om het bepalen van de voorkomende risico s en bovendien om een verantwoorde omgang met deze risico s. Dit betekent dat bestuurders en topmanagement zich zodanig moeten verdiepen in de problematiek van veiligheid dat ze inzake die risico s fall back scenario s opstellen, keuzes maken, kaders stellen en het goede voorbeeld geven. Tijdens alle drie de bijeenkomsten is gebleken dat er grote behoefte is om de risico s goed en aanschouwelijk in beeld te brengen Hierbij redenerend vanuit de maatschappelijke-, politieke- en bestuurlijke invalshoek naar de technische implicaties. Bestuurders moeten bovendien op die maatschappelijk- technische relatie kunnen sturen. De Taskforce BID is dringend geadviseerd die relatie overtuigend in beeld te brengen. 3 Waarom Verplichtende Zelfregulering? De aanwezigen hebben onderschreven dat gemeenten het onderwerp informatieveiligheid daadwerkelijk moeten borgen. Verankeren binnen de diverse overheidslagen én over overheidslagen heen (de ketens) wordt hierbij als noodzakelijk gezien. Informatieveiligheid is immers een gezamenlijke uitdaging; de keten is zo sterk als de zwakste schakel. Verplichtende Zelfregulering kan hierbij helpen. Het is uiteraard essentieel dat iedereen wel hetzelfde beeld heeft van wat dit begrip inhoudt. Zelfregulering houdt kort gezegd in dat organisaties zelf verantwoordelijk zijn voor het opstellen en/of uitvoeren en/of handhaven van de regels. Verplichtende Zelfregulering houdt in dat bestuur of overheid vraagt om een bepaalde mate van zelf verantwoordelijk zijn voor invoering van regelgeving en regulering. Dit betekent in praktijk dat vanuit gestelde kaders op landelijk- en koepelniveau in iedere organisatie een jaarlijkse cyclus is geborgd, waarin ambtelijke- en bestuurlijke oordeelsvorming over informatieveiligheid plaatsvindt. Daarin is 4

5 bovendien een verbeteraanpak neergelegd. In deze cyclus van analyseren, plannen, uitvoeren, controleren en bijstellen is het opstellen van een risicoanalyse de eerste stap. Op basis van deze analyse kunnen organisaties beleid formuleren in een beleidsplan en een implementatieplan. In dit beleid worden de normen voor de organisatie toegepast. Organisaties zullen gericht op dit beleid en deze normen moeten sturen. Met regelmaat vindt een evaluatie van het beleid plaats door middel van controle, verantwoording en toezicht op beleid en de uitvoering daarvan. De organisatie doet dat zelf, maar een externe vorm van toetsing gericht op blijvende scherpte is hier eveneens onderdeel van. Daar waar nodig passen organisaties het beleid aan. Verschillende aanwezige bestuurders en managers benadrukten de gezamenlijkheid van het probleem. Juist omdat het alle organisaties betreft, vereist dit een slimme set aan afspraken die voor alle organisaties gelden en die de mogelijkheid geven van elkaar te leren en elkaar aan te spreken. 4 Hoe ziet de set van afspraken er uit? 4.1 Kaderstelling Bij gesprekken over die set van afspraken is steeds de vraag aan de orde gekomen welke kaderstelling vanuit stelsel- en koepelniveau nu wenselijk is. In dat licht is ook uitvoerig ingegaan op de vraag wel of geen nadere wetgeving. De aanwezigen hebben in de gesprekken benadrukt dat wetgeving soms voordelen heeft. Wetgeving geeft de duidelijkheid dat organisaties hun informatieveiligheid geregeld moeten hebben en verschaft informatiemanagers een duidelijke basis om bestuur en management ook daarop aan te spreken. Tegelijkertijd is er bij de aanwezigen geen enkele twijfel dat het met name op organisatieniveau van belang is dat de betrokkenen gemotiveerd zijn om informatieveiligheid goed (in) te regelen. Nadeel bij wetgeving is dat de dwingendheid van nadenken over en sturing op informatieveiligheid van buitenaf ontstaat. Dit prikkelt het eigen lerend vermogen van de organisatie en van de koepel niet of slechts in geringe mate. Wetgeving zal op zich niet leiden tot de overtuiging van organisatie en bestuur dat sturing op informatieveiligheid vanuit bestuur en topmanagement onlosmakelijk verbonden is met organisatiebesturing anno De digitale wereld is niet langer van anderen; overheidsdienstverlening, alsook de overheidsprocessen, zijn in grote mate gedigitaliseerd. Informatieveiligheid is hierdoor een onlosmakelijk gegeven geworden van sturing op de continuïteit van de organisatie en haar dienstverlening. De recente hackaanval (DDoS) op de website van gemeente Weert is hier een pakkend voorbeeld van. Zonder die innerlijke overtuiging van noodzaak van de hiervoor genoemde omgang met risico s zal ook wetgeving weinig helpen. Gaandeweg de gesprekken is steeds duidelijker naar voren gekomen dat wetgeving of geen wetgeving eigenlijk niet de beste en echte vraagstelling is. Er is op dit moment geen helder beeld van wat er op koepel- en stelselniveau allemaal aan kaders bestaat en hoe verplichtend die zijn. Er zijn bijvoorbeeld: afspraken rond de bekende ISO-normen, verbonden aan het College voor Standaardisatie. 5

6 Logius heeft bepaalde bevoegdheden. Er zijn afspraken met het NCSC. NORA stelt kaders en er zijn wettelijke verplichtingen rond belangrijke informatieketens zoals SUWI en GBA. Bovendien zijn er vanuit EZ kaders en zijn er al een aantal gedetailleerde afspraken op koepelniveau gemaakt, zoals inzake de BIR op rijksniveau en de baseline van de provincies Een goede stap is om te onderzoeken wat er aan bestaande kaders ligt en hoe we deze kunnen inzetten voor een optimale coördinatie vanuit stelsel- en koepelniveau. Juist om organisaties in staat te stellen hun zaken optimaal te reguleren. De vraag gaat met andere woorden niet zozeer om wel of geen extra wetgeving, maar eerder om hoe kaderstelling kan leiden tot een optimale coördinatie die organisaties ook daadwerkelijk helpt. De stroomlijning van allerlei bepalingen op stelselniveau kan heel wenselijk zijn; hierbij kan wellicht een lean en mean kaderwetje gewenst zijn voor uniformering van de behandeling van de verschillende informatiestromen. Op koepelniveau zijn in dat geval bijvoorbeeld meer gedetailleerde afspraken nodig over normatiek. Wellicht is de inzet van een peerreview te regelen op koepelniveau of periodieke externe visitatie. Uit de gesprekken over dit onderwerp blijkt een duidelijke behoefte om helderheid in die kaders te verkrijgen. We zullen moeten toetsen waar in praktijk behoefte aan is om voor organisaties optimale kaders te stellen en in coördinatiebehoeften te voorzien. 4.2 Mens en organisatie Tijdens de bijeenkomsten hebben de aanwezigen benadrukt dat de overgang naar verplichtende zelfregulering vraagt om een stapsgewijze aanpak. De aanpak loopt van een invulling naar normatiek, via het uitwerken van een systematiek voor risicoanalyse, implementatie daarvan, naar auditing daarop en verantwoording daarover. Hiervoor moeten gemeenten in gezamenlijkheid de kaders vaststellen die daarvoor gelden. Dit is een voortdurend leerproces, waar de mogelijkheid tot bijstelling en leren onderdeel vanuit maakt. Dit zorgt ervoor dat iedereen bestuurlijk- en managerial scherp is en gericht blijft op risico s en de omgang daarmee. Het is immers niet wenselijk dat organisaties van incident naar incident gaan, maar dat een organisatie en de mensen daarbinnen van elk incident (binnen de eigen organisatie en daarbuiten) leren. Op deze manier kunnen organisaties zaken meer preventief aanpakken en maatregelen treffen, zodanig dat schade minimaal is. De aanwezigen zijn het er allen over eens dat het niet alleen om processen en systemen gaat, maar dat juist de mensen daarachter een doorslaggevende factor vormen. We moeten op de eerste plaats met elkaar scherp zijn op het tot stand komen van afspraken en op het formuleren van adequaat beleid. En op de tweede plaats dat we dit beleid vervolgens stapsgewijs implementeren. Informatieveiligheid moet prioriteit krijgen en prioriteit blijven. Dit leren én verankeren, zoals dat door de Taskforce BID steeds is geformuleerd, ondervind brede steun. Op basis van de drie bijeenkomsten blijkt een volgende lijn om daar verder invulling aan te geven. 6

7 4.2.1 Gerichtheid: scherpte voorop In de discussie over informatieveiligheid is realisme van wezenlijk belang. Onderdeel van deze discussie is een stapsgewijze aanpak en een antwoord op de vraag: hoe kunnen we de scherpte blijven vasthouden en steeds blijven leren? Informatieveiligheid gaat in praktijk om het verbinden van techniek aan mensen. Het gaat in belangrijke mate om mensen die vanuit hun functie dat leren blijven organiseren. Een groot aantal punten is op dit vlak naar voren gekomen: De dialoog is vooral bindend als die in gewone mensentaal plaatsvindt, waarbij de nadruk ligt op het doordringen van het belang van informatieveiligheid. Door risico s helder te maken en door voortdurend met best practices van elkaar te leren. Dit kan mede door informatieveiligheid te koppelen aan belangrijke kwesties. Denkbaar is informatieveiligheid tot een systematisch onderdeel van het veiligheidsbeleid te maken. In de bijeenkomsten zijn verschillende ideeën aangereikt over hoe informatieveiligheid meer prioriteit kan krijgen bij bestuurders: geef bestuurders bijvoorbeeld de top 10 van vragen die zij intern moeten stellen om veilig zijn te toetsen, of om imagoschade te voorkomen. Bestuurders moeten instrumenten krijgen om de juiste stuurvragen te stellen en opdrachten te formuleren richting de ICTverantwoordelijke en richting top- en lijnmanagement. Spreek bovendien de taal van de bestuurder en appelleer aan waar die bestuurder verantwoordelijk voor is. Vraag ook in een persoonlijk gesprek wat bestuurders belangrijk vinden op het gebied van informatieveiligheid en wat zij nodig hebben van hun ICT-verantwoordelijken. Het is verstandig om hierbij niet de nadruk op ISO-normen te leggen, want bij dat onderwerp zal een verkeerde discussie ontstaan: we zijn ISO-gecertificeerd, dus we zijn klaar. Een andere optie is informatieveiligheid in de Beleidsvisie op te nemen, waardoor de Raad het bestuur over dit onderwerp gaat bevragen. Toewijzing als aparte portefeuille in het college is denkbaar, of wellicht zelfs opname in de veiligheidsportefeuille van de burgemeester zijn interessante opties. In de reguliere crisishandboeken binnen organisaties is vaak het onderwerp digitale crisis niet opgenomen. Dit onderwerp dient een wezenlijk onderdeel te vormen van een crisis- handboek, met oefeningen voor de organisatie waar iemand expliciet verantwoordelijk voor is. Wat voor de ene organisatie kloppend is op informatieveiligheidsvlak, hoeft niet haalbaar te zijn voor de andere organisatie. Generieke informatieveiligheid voor elke organisatie bestaat niet. Het is dan ook belangrijk als bestuurder en topmanagement te bepalen wat de huidige stand van de organisatie is op dit vlak (nulmeting) Verankering Stelsel Over het algemeen hechten de aanwezigen waarde aan centrale voorzieningen, zoals Logius en NCSC. Er zijn wel meer sluitende afspraken nodig. Wie doet wat en hoe komt ook op stelselniveau voldoende transparantie tot stand? Zie ook de 7

8 passages over wetgeving en kaderstelling (4.1) en de passages hierna over controle, toezicht en leren. Koepel Koepelorganisaties kunnen verschillende posities innemen. In eerste instantie heeft de koepel een rol op het vlak van normatiek. Dit is de set van afspraken die eerder is besproken. Daarnaast heeft de koepel een functie in het leren. De koepel is bijvoorbeeld belangrijk bij het treffen van voorzieningen en het verder vormgeven en faciliteren van het, opleidingsaanbod in de toekomst. Iets complexer, of zelfs omstreden, is de rol van de koepelorganisaties bij het toezicht, want welke positie nemen koepelorganisaties in? Deze discussie is verder uitgewerkt onder het kopje Controle en Toezicht. Organisatie Normatiek Een goede eerste stap is de inzet van instrumenten om te zien waar de organisatie staat; een nulmeting. Veel aanwezigen geven aan dat er al veel kaderstelling is, bijvoorbeeld de ISOnormatiek; de daarvan afgeleide Baseline Informatiebeveiliging voor Gemeenten (BIG) kan als eerste kader gelden. Risicoanalyse Deelnemende organisaties zijn het eens dat een gedegen risicoanalyse de basis vormt om meer bewustzijn te creëren en verdere stappen te kunnen zetten. Een verantwoorde wijze van omgang betekent onder meer het opstellen van fall back scenario s in geval één van deze risico s zich voordoet. Er zijn al verschillende modellen van risicoanalyse en scenario s om daarop in te spelen in gebruik. Bestuurders en topmanagement zullen zich zodanig moeten verdiepen in de problematiek van veiligheid, dat ze inzake die risico s weloverwogen keuzes kunnen maken, kaders kunnen stellen en het goede voorbeeld kunnen geven. Zeg niet dat het nooit fout mag gaan, maar geef aan wat je als overheidsorganisatie doet als het wél fout gaat en hoe je het risico minimaliseert. Hierdoor kan de hectiek in de Kamer bij incidenten ook afnemen. Het kabinet schaft het autoverkeer immers ook niet af, omdat er nog steeds mensen verongelukken. Beleid De veiligheidscyclus van preventie tot herstel als basis van beleid wordt breed ondersteund. Essentieel is het zorgen voor een fall back scenario. Burgers hechten niet zozeer waarde aan digitalisering, maar aan dienstverlening ( geholpen worden ). Belangrijk is dan ook om als organisatie uit te leggen wat je doet als het misgaat en hoe je de digitale dienstverlening eventueel gaat vervangen. Dit hangt uiteraard tevens samen met het type dienstverlening van een organisatie: het leveren van een maatwerk- of een standaard product is een wereld van verschil en zorgt voor een verschil in 8

9 beleving bij de klant als het product plots niet meer geleverd kan worden via bijvoorbeeld een website. Bovenstaande laat bovendien zien dat het niet alleen gaat om het implementeren van de normatiek, maar ook om het kunnen reageren op incidenten. Uitvoering Maak afspraken over de implementatie van deze normatiek en laat die periodiek benchmarken door een onafhankelijke instantie, zodat iedereen er van kan leren. De implementatie van de BIG is complex en moet stap voor stap, op basis van de stand van de organisatie en gestelde prioriteiten voortkomend uit de risicoanalyse. Als eerste stap kan de organisatie de 10 belangrijkste organisatieprocessen in kaart brengen ten behoeve van de continuïteit van het primaire proces en de dienstverlening. Controle en toezicht Met name omtrent controle en toezicht bestaan veel verschillende ideeën bij de aanwezigen. Wat gebeurt er intern en wat extern en wie doet wat? De gemene deler hierin is dat het van groot belang is dat in ieder geval de eigen controle op orde is. Alle aanwezigen zien de Gemeenteraad als eerste toezichthouder. Een belangrijke vraag hierin is: Hoe organiseer je het interne toezicht op en handhaving van informatieveiligheid binnen specifieke overheidsdomeinen? En wie is daarvoor verantwoordelijk? Het instellen van onderlinge peerreviews tussen gemeenten kan hier een oplossing in zijn. Zo kunnen organisaties van elkaar leren en verder professionaliseren. Met betrekking tot het kader, de verankering en de wijze van auditen in de reguliere planning- en controlecyclus moeten organisaties afspraken maken. Om binnen de organisatie goed toezicht te houden, kunnen verschillende instrumenten worden ingezet: peerreviews, thematisch auditen, zelf-assessments, verplichte assessments voor leveranciers, et cetera. Hierbij kunnen gemeenten gezamenlijk besluiten alle resultaten openbaar te maken. Daarnaast kan een tweede lijns-toezicht worden ingeregeld, waarbij wordt gekeken of de interne organisatie ook daadwerkelijk capabel is om processen goed uit te voeren. Ook hier kunnen organisaties van leren. Een extra optie is: Kijk niet alleen naar jaarlijkse audits, maar laat maandelijks/driemaandelijks je groei aan het bestuur zien. Door middel van een management dashboard bijvoorbeeld. De Gateway-methodiek kan bovendien een mooie methode zijn om toezicht te houden en om kritische aspecten snel intern boven tafel te krijgen. Collega s vanuit allerlei overheidsorganisaties worden hier immers bij betrokken. Deze gatewayreviewers leveren een rapport op. Met de uitkomsten, bijvoorbeeld de risicovolle processen, kan de gemeente die gereviewed is vervolgens aan de slag. Voorop staat, met andere woorden, dat de Gemeenteraad controleert en toezicht houdt. Dus welke toezichtmechanismen er ook zijn, altijd moet de positie van de Raad nadruk krijgen. Slechts bij acute kwesties en ernstig falen, kan een andere toezichthouder maatregelen nemen. Met name de gemeentelijke organisaties geven aan dat een efficiënte inrichting van het auditproces van belang is. De aanwezige gemeenten geven aan een grote 9

10 auditdruk te kennen. Naast de reguliere audits, bestaan voor gemeenten ook auditverplichtingen in het kader van BAG, GBA en DigiD. Er is daarom grote behoefte aan een single audit framework. Een andere belangrijke vraag is welke organisatie naast de Raad een toezichtfunctie heeft. Dient de Informatiebeveiligingsdienst voor gemeenten (IBD) of de Vereniging van Nederlandse Gemeenten (VNG) toezicht te houden op informatieveiligheid? De IBD en VNG kunnen de partijen zijn die toezicht houden, dit kan echter uitmonden in een discussie over de slager die zijn eigen vlees keurt. Een belangrijke vraag is: is er meer dialoog op niveau VNG of KING/Informatiebeveiligingsdienst richting gemeenten gewenst? Bijvoorbeeld een top 10 van succesgemeenten bijhouden of een Naming en Shaming lijst opstellen? Daarnaast is het instellen van een vijfjaarlijkse externe visitatie een mogelijkheid. Wanneer vanuit stelselniveau maatregelen tot stand komen, is de vraag welke informatieverstrekking dit vereist. Hierbij zou een onderscheid naar incidenten, specifieke functies die bescherming behoeven en meer reguliere auditinformatie wenselijk kunnen zijn. Er moet echter niet méér informatie verstrekt worden dan nodig is; enkel de vereiste informatie voor mogelijke interventies en meer algemene oordelen over het functioneren van het stelsel. De aanwezigen vragen zich daarbij af hoe die informatie vervolgens beschikbaar moet komen. Kan dit bijvoorbeeld via Leren Het organiseren van zelfregulering bij gemeenten vraagt om bewustwording en verankering, maar ook om verandering bij verschillende doelgroepen binnen de gemeente. De gemeente moet immers vaardigheden ontwikkelen om integraal te kunnen sturen, te leren van incidenten en audits en te komen tot bijstelling van beleid. Belangrijk hierin is om kennis en kunde met elkaar te delen, juist over de verschillene overheidslagen heen. Immers alle organisaties hebben slechts beperkte capaciteit om met het onderwerp informatieveiligheid aan de slag te gaan. Verschillende maatregelen en instrumenten waarmee organisaties kunnen leren zijn al eerder in dit document genoemd: een nulmeting, peerreviews, self-audtis, gateway-reviews etc.. Voor gemeenten is het echter als allereerste stap van belang om een norm op te leggen, zodat die vervolgens lokaal kan worden ingevuld vanuit de eigen plan-do-actcyclus. Zorg dat de tien belangrijkste processen voldoen aan de norm (implementatienorm), daarop kan de gemeente vervolgens peerreviews, audits et cetera laten uitvoeren. Maar doe ook calamiteitenoefeningen op deze processen. Wijs de verschillende verantwoordelijkheden binnen de organisatie (en daaromheen) toe, geef een wethouder bijvoorbeeld expliciet de portefeuille informatieveiligheid, zoals hierboven al is aangestipt. Stel tweede lijns-toezicht in, waarbij wordt gekeken of de interne organisatie ook daadwerkelijk capabel is om processen goed uit te voeren. Hier kan vervolgens weer van geleerd worden. 10

11 Leren gaat op verschillende niveaus, als individu en als organisatie, maar zorg er ook vooral voor dat de verschillende niveaus elkaar scherp houden op het onderwerp informatieveiligheid Ketens Ook het onderwerp ketens is kort geadresseerd. En de conclusie bij de aanwezigen is eensluidend: er moet snel aandacht komen voor de ketens. We zijn op een of andere manier allemaal aan elkaar verbonden en dat besef is er nog steeds onvoldoende. Niet alleen de netwerkbeveiligingen van de verschillende gemeenten moeten op niveau zijn, maar ook alle ketens daartussen. Aangedrongen wordt op snelle en intensieve aandacht voor dit ketenvraagstuk. Want ook hier geldt, de ketting is net zo sterk als de zwakste schakel. 11

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Henk Wesseling INFORMATIEVEILIGHEID een uitdaging van ons allemaal Henk Wesseling Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Remote Bediening door een hacker Gemalen in Veere

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe Leguit INFORMATIEVEILIGHEID een uitdaging van ons allemaal Douwe Leguit Wake Up Call http://www.youtube.com/watch?v=f7pyhn9ic9i&sns=em Leverancier gehacked Onbereikbaarheid door DDoS aanvallen op websites Verlies

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal PUBLIEKE DIENSTVERLENING & INFORMATIEVEILIGHEID noodzakelijke kennis of onnodige ballast? Informatieveiligheid een uitdaging van ons allemaal Start Publieke

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo INFORMATIEVEILIGHEID een uitdaging van ons allemaal Douwe Leguit @Surfcert & Surfibo Compilatie Filmpje DigiNotar Game changer - 1 Game changer - 2 Aanbevelingen OOV 1. Zorg dat bestuurders

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Learn and Share bijeenkomst Informatieveiligheid, Rheden INFORMATIEVEILIGHEID een uitdaging van ons allemaal Learn and Share bijeenkomst Informatieveiligheid, Rheden George van Heukelom Hackers bedienen containers in Antwerpen Remote bediening door een hacker

Nadere informatie

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG

College Tour Informatieveiligheidbeleid. 11 oktober 2013 DEN HAAG College Tour Informatieveiligheidbeleid 11 oktober 2013 DEN HAAG Vereniging van Nederlandse Gemeenten Agenda 1. Maatschappelijke vraagstukken Patrick van Domburg, Wethouder Gemeente Zoetermeer 2. Informatievoorzieningen

Nadere informatie

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies. Gea van Craaikamp, algemeen directeur en provinciesecretaris

Nadere informatie

informatiecentrum tel. uw kenmerk bijlage(n) (070) 373 8393 - Lbr. 14/086

informatiecentrum tel. uw kenmerk bijlage(n) (070) 373 8393 - Lbr. 14/086 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. uw kenmerk bijlage(n) (070) 373 8393 - betreft ons kenmerk datum Voortgang informatieveiligheid ECLBR/U201402103 Lbr. 14/086 19 november

Nadere informatie

BABVI/U201300696 Lbr. 13/057

BABVI/U201300696 Lbr. 13/057 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatiebeveiliging uw kenmerk ons kenmerk BABVI/U201300696 Lbr. 13/057 bijlage(n) datum 6 juni 2013 Samenvatting

Nadere informatie

Tweede Kamer der Staten-Generaal

Tweede Kamer der Staten-Generaal Tweede Kamer der Staten-Generaal 2 Vergaderjaar 2014 2015 26 643 Informatie- en communicatietechnologie (ICT) Nr. 344 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES Aan de Voorzitter

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga INFORMATIEVEILIGHEID een uitdaging van ons allemaal ICT Noord, Harro Spanninga Agenda Toelichting op de Taskforce BID Introductie thema Informatieveiligheid Technisch perspectief Perspectief van de overheid

Nadere informatie

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042 Brief aan de leden T.a.v. het college en de raad 2 3 MEI 28H Vereniging van Nederlandse Gemeenten informatiecentrum tel. (070) 373 8393 uw kenmerk bījlage(n) betreft Voortgang Informatieveiligheid ons

Nadere informatie

Introductiefilmpje Informatieveiligheid bestuurders

Introductiefilmpje Informatieveiligheid bestuurders Introductiefilmpje Informatieveiligheid bestuurders INFORMATIEVEILIGHEID een uitdaging van ons allemaal Henk Wesseling Taskforce Bestuur & Informatieveiligheid Dienstverlening Geïnitieerd door minister

Nadere informatie

Ministerie van BZK Kenmerk Uw kenmerk

Ministerie van BZK Kenmerk Uw kenmerk > Retouradres Postbus 20011 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Ministerie van BZK Turfmarkt 147 Den Haag Postbus 20011 2500 EA Den

Nadere informatie

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

Informatiebeveiliging En terugblik op informatiebeveiliging 2016 Informatiebeveiliging 2017 En terugblik op informatiebeveiliging 2016 Missie Waken over betrouwbaarheid, integriteit en beschikbaarheid van de gegevens waarvoor de gemeente verantwoordelijk is. Voldoen

Nadere informatie

o n k Ö A fia* V/ \ ^ * f

o n k Ö A fia* V/ \ ^ * f - JAGT_P_U201300696.docx - 20130606_ledenbri... http://www.vng.nl/files/vng/brieven/2013/20130606_ledenbrief_inf.. o n k Ö A fia* V/ \ ^ * f 6 JUNI 2013 U,< v ~. ^. Vereniging van 1 Nederlandse Gemeenten

Nadere informatie

Informatieveiligheid, randvoorwaarde voor de professionele gemeente

Informatieveiligheid, randvoorwaarde voor de professionele gemeente Informatieveiligheid, randvoorwaarde voor de professionele gemeente Toelichting Gemeenten zijn voor steeds meer beleidsterreinen verantwoordelijk. In vrijwel alle gevallen wordt daarbij gebruik gemaakt

Nadere informatie

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018 Rapportage Informatiebeveiliging 2017 Gemeente Boekel 16 mei 2018 Inleiding Het college van burgemeester en wethouders van de gemeente Boekel legt over het jaar 2017 verantwoording af over de stand van

Nadere informatie

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

INFORMATIEVEILIGHEID een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal FAMO Mini Congres: Harro Spanninga, Peter Keur Agenda Inleiding op informatieveiligheid De opdracht van de taskforce Interactief verankeren van informatieveiligheid

Nadere informatie

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid

Rapport. Informatieveiligheid en de Raad Met de hamer op tafel. Enquête over hoe raadsleden denken over het thema Informatieveiligheid Rapport Informatieveiligheid en de Raad Met de hamer op tafel Enquête over hoe raadsleden denken over het thema Informatieveiligheid Inhoudsopgave 1. Inleiding 2 1.1 Achtergrond 3 1.2 Achtergrond enquête

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

ons kenmerk ECIB/U201600732 Lbr. 16/046

ons kenmerk ECIB/U201600732 Lbr. 16/046 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ontwikkelingen informatieveiligheid Samenvatting uw kenmerk ons kenmerk ECIB/U201600732 Lbr. 16/046 bijlage(n)

Nadere informatie

Competentieprofiel deskundige ICT

Competentieprofiel deskundige ICT Competentieprofiel deskundige ICT 1. Functie Functienaam Afdeling Dienst Functionele loopbaan deskundige ICT personeel en organisatie secretariaat B1-B3 2. Context ICT draagt bij tot de uitwerking van

Nadere informatie

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

TOELICHTING OP GAP-ANALYSE. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) TOELICHTING OP GAP-ANALYSE Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Toelichting op GAP-analyse Versienummer

Nadere informatie

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN.

WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. WWW.CAGROUP.NL COMPLIANCE RADAR HET MEEST COMPLETE BESTURINGSSYSTEEM VOOR GEMEENTEN. COMPLIANCE RADAR De Compliance Radar helpt gemeenten een brug te slaan tussen beleidsdoelstellingen en uitvoering. Door

Nadere informatie

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799

Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 Collegebesluit Onderwerp: Informatiebeveiligingsbeleid 2014-2018 BBV nr: 2014/467799 1. Inleiding In 2011 zorgde een aantal incidenten rond de beveiliging van overheidsinformatie er voor dat met andere

Nadere informatie

Innovatie in een veranderd risicolandschap

Innovatie in een veranderd risicolandschap Innovatie in een veranderd risicolandschap Kees Hintzbergen, adviseur IBD Het is toegestaan om voor eigen gebruik foto s te maken tijdens deze bijeenkomst. Foto s mogen niet zonder toestemming van de afgebeelde

Nadere informatie

ECIB/U Lbr. 17/010

ECIB/U Lbr. 17/010 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Informatieveiligheid en privacy uw kenmerk ons kenmerk ECIB/U201700133 Lbr. 17/010 bijlage(n) - datum 20 februari

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Verslag Visitatiecommissie Informatieveiligheid

Verslag Visitatiecommissie Informatieveiligheid Verslag Visitatiecommissie Informatieveiligheid gemeente Renswoude Tijd en datum 09.30-11.00, 2 maart 2016 Aanwezig gemeente Renswoude mw. A.E.H. van der Kolk, burgemeester (waarnemend) hr. J. van Dijk,

Nadere informatie

Welkom bij parallellijn 1 On the Move 15.10 16.00 uur

Welkom bij parallellijn 1 On the Move 15.10 16.00 uur Welkom bij parallellijn 1 On the Move 15.10 16.00 uur Stap 5 van de BIG Hoe draagt u zorg voor de gemeentelijke verantwoording over het informatiebeveiligingsbeleid? ENSIA 1 Project ENSIA Paulien van der

Nadere informatie

ons kenmerk BB/U201201379

ons kenmerk BB/U201201379 Brief aan de leden T.a.v. het college en de raad informatiecentrum tel. (070) 373 8393 betreft Ledenbrief Informatiebeveiligingsdienst (IBD) uw kenmerk ons kenmerk BB/U201201379 bijlage(n) datum 12 oktober

Nadere informatie

Aan de commissie: Algemeen bestuur en middelen Datum vergadering: 22 maart 2007 Agendapunt: Aan de Raad. Made, 13 februari 2007

Aan de commissie: Algemeen bestuur en middelen Datum vergadering: 22 maart 2007 Agendapunt: Aan de Raad. Made, 13 februari 2007 Aan de Raad Made, 13 februari 2007 Aan de commissie: Algemeen bestuur en middelen Datum vergadering: 22 maart 2007 Agendapunt: Raadsvergadering: 12 april 2007 Onderwerp: Diagnose Integrale Veiligheid gemeente

Nadere informatie

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG

STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG STAPPENPLAN VOOR GEMEENTEN BIJ DE VOORBEREIDING OP DE AVG Versie 1.00 1 december 2017 Deze handreiking is mede tot stand gekomen door een samenwerking van onder andere VNG, KING, IBD en Kenniscentrum Europa

Nadere informatie

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014

Anita van Nieuwenborg. Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 Anita van Nieuwenborg Informatiebeveiligingsdienst Het is nu of nooit Assen, 6 Maart 2014 De IBD Gezamenlijk initiatief VNG en KING Opgericht vanuit behoefte van gemeenten aan coördinatie en ondersteuning

Nadere informatie

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg

INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013. Anita van Nieuwenborg INFORMATIEBEVEILIGINGSDIENST VOOR GEMEENTEN (IBD) november 2013 Anita van Nieuwenborg Agenda 1. De IBD 2. Doelen van de IBD 3. Dienstverlening van de IBD 4. Aansluiting bij de IBD 5. Vragen 2 1. De IBD

Nadere informatie

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG Organisatie gegevenswisseling W&I: Suwinet 25.000 gebruikers Vrij lange historie,

Nadere informatie

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent

Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Recept 4: Hoe meten we praktisch onze resultaten? Weten dat u met de juiste dingen bezig bent Het gerecht Het resultaat: weten dat u met de juiste dingen bezig bent. Alles is op een bepaalde manier meetbaar.

Nadere informatie

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Toelichting op GAP-analyse. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Toelichting op GAP-analyse Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Workshop Up to date agressiebeleid

Workshop Up to date agressiebeleid 1 Workshop Up to date agressiebeleid Van beleid naar praktijk 27 mei 2015 William Bertrand w.bertrand@radarvertige.nl Programma Introductie Feiten en cijfers enquête Knelpunten uit de praktijk Kijk op

Nadere informatie

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG

Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG Gegevenswisseling W&I: Gaat het goed? Waar liggen de uitdagingen? Jasja van Ark Senior beleidsmedewerker Werk en Inkomen VNG Organisatie gegevenswisseling W&I: Suwinet 25.000 gebruikers Vrij lange historie,

Nadere informatie

INFORMATIEVEILIGHEID een uitdaging van ons allemaal

INFORMATIEVEILIGHEID een uitdaging van ons allemaal INFORMATIEVEILIGHEID een uitdaging van ons allemaal Harro Spanninga, Taskforce BID Meer filmpjes over informatieveiligheid: Informatieveiligheid.pleio.nl Taskforce Bestuur & Informatieveiligheid Dienstverlening

Nadere informatie

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)

VERSLAG PIA. Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) VERSLAG PIA Een van de producten van de operationele variant van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Colofon Naam document Verslag PIA Versienummer 1.0 Versiedatum April 2014

Nadere informatie

Basisnormen integriteitsbeleid openbaar bestuur en politie

Basisnormen integriteitsbeleid openbaar bestuur en politie Basisnormen integriteitsbeleid openbaar bestuur en politie 1. Inleiding De Vereniging van Nederlandse Gemeenten, het Interprovinciaal Overleg, de Unie van Waterschappen, de Raad van Hoofdcommissarissen,

Nadere informatie

Generieke systeemeisen

Generieke systeemeisen Bijlage Generieke Systeem in kader van LAT-RB, versie 27 maart 2012 Generieke systeem NTA 8620 BRZO (VBS elementen) Arbowet Bevb / NTA 8000 OHSAS 18001 ISO 14001 Compliance competence checklist 1. Algemene

Nadere informatie

Whitepaper. In vijf stappen naar de cloud

Whitepaper. In vijf stappen naar de cloud Whitepaper In vijf stappen naar de cloud Een whitepaper van UNIT4 IT Solutions 2013 In vijf stappen naar de cloud Steeds meer bedrijven zien in dat er met cloud technologie eigenlijk een nieuw platform

Nadere informatie

115 NOV 2013. BABVI/U201301281 Lbr. 13/084

115 NOV 2013. BABVI/U201301281 Lbr. 13/084 GHMKENTfí HKI.1.BNIX)()RN Behand.: 115 NOV 2013 3INK15284 IHIIIIIIHH Brief aan de leden T.a.v. het college en de raad /Mdm-rplN. reeks7vtvvr(r Vereniging van Nederlandse Gemeenten informatiecentrum tel.

Nadere informatie

Aantoonbaar in control op informatiebeveiliging

Aantoonbaar in control op informatiebeveiliging Aantoonbaar in control op informatiebeveiliging Agenda 1. Introductie key2control 2. Integrale interne beheersing 3. Informatiebeveiliging 4. Baseline Informatiebeveiliging Gemeenten 5. Demonstratie ISMS

Nadere informatie

Profielschets van de omvang en samenstelling van de Raad van Commissarissen en zijn leden

Profielschets van de omvang en samenstelling van de Raad van Commissarissen en zijn leden Bijlage a Profielschets van de omvang en samenstelling van de Raad van Commissarissen en zijn leden De functie van de Raad van Commissarissen. In deze profielschets wordt eerst ingegaan op de achtergronden

Nadere informatie

Informatieveiligheid. Youri Lammerts van Bueren y.lammerts.van.bueren@culemborg.nl Adviseur Informatiebeveiliging (CISO)

Informatieveiligheid. Youri Lammerts van Bueren y.lammerts.van.bueren@culemborg.nl Adviseur Informatiebeveiliging (CISO) Informatieveiligheid Youri Lammerts van Bueren y.lammerts.van.bueren@culemborg.nl Adviseur Informatiebeveiliging (CISO) Regiobijeenkomst IBD 29 september 2015 1 Inhoud Bedrijfsvoeringsorganisatie West-Betuwe

Nadere informatie

Begrijpen Verbinden Meedoen communicatieplan transities sociaal domein Rivierenland

Begrijpen Verbinden Meedoen communicatieplan transities sociaal domein Rivierenland september 13 Begrijpen Verbinden Meedoen communicatieplan transities sociaal domein Rivierenland Als je doet wat je altijd deed, krijg je wat je altijd kreeg. (Albert Einstein, 1879-1955) M e r k c o a

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Deze centrale vraag leidt tot de volgende deelvragen, die in het onderzoek beantwoord zullen worden.

Deze centrale vraag leidt tot de volgende deelvragen, die in het onderzoek beantwoord zullen worden. Aan: Gemeenteraad van Druten Druten, 27 juli 2015 Geachte voorzitter en leden van de gemeenteraad, In de eerste rekenkamerbrief van 2015 komt inkoop en aanbesteding aan bod. Dit onderwerp heeft grote relevantie,

Nadere informatie

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring 27 augustus 2018 ENSIA Nieuwsbrief In deze nieuwsbrief de volgende onderwerpen: Formats Collegeverklaringen Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring Nieuwe ENSIA-coördinator? Geef

Nadere informatie

Welkom bij parallellijn 1 On the Move uur. Stap 1 van de BIG Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO?

Welkom bij parallellijn 1 On the Move uur. Stap 1 van de BIG Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO? Welkom bij parallellijn 1 On the Move 10.10 11.00 uur Stap 1 van de BIG Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO? 1 IBD-Praktijkdag Work IT Out Valkuilen en beren op de weg, hoe gaat

Nadere informatie

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging

NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging NVRR workshop/presentatie Jaarcongres De controle van de effectiviteit van informatiebeveiliging Kees Hintzbergen 25 mei 2018 Agenda Voorstellen Vragen! Wat is dat eigenlijk: risico? Hoe ziet de ideale

Nadere informatie

FUNCTIEPROFIEL LID RAAD VAN COMMISSARISSEN PROFIEL VASTGOED VELISON WONEN

FUNCTIEPROFIEL LID RAAD VAN COMMISSARISSEN PROFIEL VASTGOED VELISON WONEN FUNCTIEPROFIEL LID RAAD VAN COMMISSARISSEN PROFIEL VASTGOED VELISON WONEN Functie-eisen Algemene eisen Academisch niveau van denken en functioneren en inzicht in (strategische) bestuurlijke processen binnen

Nadere informatie

EFP CONGRES 'THE FUTURE OF FORENSIC CARE, SOLUTIONS WORTH SHARING' MANAGEMENT IN PROGRESS WOUTER TEN HAVE 7 JUNI 2012. 29 mei 2012

EFP CONGRES 'THE FUTURE OF FORENSIC CARE, SOLUTIONS WORTH SHARING' MANAGEMENT IN PROGRESS WOUTER TEN HAVE 7 JUNI 2012. 29 mei 2012 EFP CONGRES 'THE FUTURE OF FORENSIC CARE, SOLUTIONS WORTH SHARING' 1 MANAGEMENT IN PROGRESS WOUTER TEN HAVE 7 JUNI 2012 2 DE STRATEGY-TO-PERFORMANCE GAP (MANKINS EN STEELE) 3 37% Gemiddelde prestatie verliezen

Nadere informatie

In hoeverre is het ICT-beleid bij de gemeenten Bergen op Zoom, Drimmelen, Halderberge en Moerdijk als doeltreffend en doelmatig aan te merken?

In hoeverre is het ICT-beleid bij de gemeenten Bergen op Zoom, Drimmelen, Halderberge en Moerdijk als doeltreffend en doelmatig aan te merken? Rekenkameronderzoek ICT-beleid Betreft: Toelichting op het onderzoek ICT-beleid Inleiding De Rekenkamer West-Brabant heeft bij de voorbereiding van het onderzoeksprogramma 2015 het onderwerp ICT-beleid

Nadere informatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie DIENST Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie Advies over en ondersteuning bij het initieel inrichten/optimaliseren

Nadere informatie

Flitsende en bruisende dienstverlening

Flitsende en bruisende dienstverlening Beleidsprogramma A+O fondsen Flitsende en bruisende dienstverlening Door: Rieke Veurink/ Fotografie: Shutterstock / Kees Winkelman Niet meer alleen het oude faciliteren, maar op weg gaan naar iets nieuws.

Nadere informatie

19. Reflectie op de zeven leerfuncties

19. Reflectie op de zeven leerfuncties 19. Reflectie op de zeven leerfuncties Wat is het? Wil een organisatie kennisproductief zijn, dan heeft zij een leerplan nodig: een corporate curriculum dat de organisatie helpt kennis te genereren, te

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Samen sterk in het sociaal domein

Samen sterk in het sociaal domein Samen sterk in het sociaal domein Duurzaam organiseren van het sociaal domein door intergemeentelijke samenwerking In dit artikel gaan we in op de meerwaarde van samenwerking tussen gemeenten in het sociaal

Nadere informatie

Afbeelding: TriamFloat Effectmetingsmodel

Afbeelding: TriamFloat Effectmetingsmodel Het meten van het effect van leren en ontwikkelen is een belangrijk thema bij onze klanten. Organisaties willen de toegevoegde waarde van leren weten en verwachten een professionele aanpak van de afdeling

Nadere informatie

De gemeenteraad aan zet Wat wilt u weten over de jongeren met een beperking in uw regio?

De gemeenteraad aan zet Wat wilt u weten over de jongeren met een beperking in uw regio? De gemeenteraad aan zet Wat wilt u weten over de jongeren met een beperking in uw regio? Transities sociale domein Gemeenten staan zoals bekend aan de vooravond van drie grote transities: de decentralisatie

Nadere informatie

Beleidsplan Integriteit

Beleidsplan Integriteit Beleidsplan Integriteit Datum 8 september 2009 Versie Versie 1.0 Ambtelijk opdrachtgever: Opdrachtnemer: Onderzoeksteam: Tjeerd van der Zwan Concern control Marije Lamsma 2 1. Inleiding Waarom is integriteit

Nadere informatie

Adviesgroep Informatievoorziening. Omgevingswet. Erna Roosendaal

Adviesgroep Informatievoorziening. Omgevingswet. Erna Roosendaal Adviesgroep Informatievoorziening Omgevingswet Erna Roosendaal Inhoud De Omgevingswet Impact gemeenten Governance model Omgevingsplan versus bestemmingsplan Invoeringsondersteuning Eerste resultaten impactanalyse

Nadere informatie

MANAGEMENTBEOORDELING: VAN ANDERS DENKEN NAAR ANDERS DOEN!

MANAGEMENTBEOORDELING: VAN ANDERS DENKEN NAAR ANDERS DOEN! WHITEPAPER MANAGEMENTBEOORDELING: VAN ANDERS DENKEN NAAR ANDERS DOEN! ALLES WAT U MOET WETEN OVER HOE U VAN EEN MANAGEMENT- BEOORDELING EEN SUCCES MAAKT ÉN TEGELIJKERTIJD VOLDOET AAN DE EISEN DIE AAN EEN

Nadere informatie

Belangrijk is het uitgangspunt van eigenaarschap en

Belangrijk is het uitgangspunt van eigenaarschap en KWALITEIT Kwaliteit in beeld In een serie van twee artikelen bespreekt Herman Bijsterbosch het nieuwe Onderzoekskader van de Inspectie. Het eerste artikel (Nieuw Toezicht: Wat kunt u verwachten?) vindt

Nadere informatie

Risicomanagement functie verzekeraars onder Solvency II

Risicomanagement functie verzekeraars onder Solvency II Risicomanagement functie verzekeraars onder Solvency II AG Commissie ERM Leidraad: overzicht wetgeving en vereisten Introductie In dit document is een overzicht opgenomen van de vereisten aan de risicomanagement

Nadere informatie

Dilemmics. Morele Oordeelsvorming. Werkboek. voor medewerkers van het Ministerie van Buitenlandse Zaken

Dilemmics. Morele Oordeelsvorming. Werkboek. voor medewerkers van het Ministerie van Buitenlandse Zaken Dilemmics Morele Oordeelsvorming Werkboek voor medewerkers van het Ministerie van Buitenlandse Zaken 2013 Werkboek Morele Oordeelsvorming 1 2014. Dilemmics. Alle rechten van deze uitgave zijn voorbehouden.

Nadere informatie

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics Wat betekent ENSIA voor uw College Wat betekent ENSIA voor uw Raad Gemeentelijk organiseren ENSIA: Wat vooraf ging Waarom

Nadere informatie

TOEZICHTSVISIE RAAD VAN TOEZICHT NOVA COLLEGE. 8 februari

TOEZICHTSVISIE RAAD VAN TOEZICHT NOVA COLLEGE. 8 februari TOEZICHTSVISIE RAAD VAN TOEZICHT NOVA COLLEGE 8 februari 2017 1 Inleiding In deze toezichtvisie geven wij als de Raad van Toezicht van het Nova College aan waarom wij toezicht houden, wat we daarmee willen

Nadere informatie

2012D Is er een rol voor cliëntenraden bij deze problematiek en zo ja, wat is deze?

2012D Is er een rol voor cliëntenraden bij deze problematiek en zo ja, wat is deze? 2012D08796 1 Is er een rol voor cliëntenraden bij deze problematiek en zo ja, wat is deze? 2 Welke maatregelen heeft de rijksoverheid sinds 2003, toen voor het eerste bleek dat de brandveiligheid bij zorginstellingen

Nadere informatie

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG ISMS 1. Opening 2. Kwaliteitscirkel informatieveiligheid 3. ISMS 2.0 en slimme, integrale aanpak BIG Speciaal: Slim Samenwerkende Gemeenten 4. Beveiliging 5. ISMS 3.0 gebruikersplatform 6. Contentreleases

Nadere informatie

Profielschets Raad van Commissarissen Woningstichting De Volmacht te Gieten

Profielschets Raad van Commissarissen Woningstichting De Volmacht te Gieten Profielschets Raad van Commissarissen Woningstichting De Volmacht te Gieten In deze profielschets wordt eerst ingegaan op de achtergronden en bevoegdheden van de Raad van Commissarissen binnen het kader

Nadere informatie

Quick scan Informatiebeveiliging gemeente Zoetermeer

Quick scan Informatiebeveiliging gemeente Zoetermeer Bes t uur l i j kenot a I nf or mat i ebev ei l i gi ng Dec ember2017 Quick scan Informatiebeveiliging gemeente Zoetermeer Conclusies en aanbevelingen Gemeenten beheren veel persoonlijke en gevoelige data

Nadere informatie

Kaderstellende Visie op Toezicht & Beleid (KVoTB)

Kaderstellende Visie op Toezicht & Beleid (KVoTB) Kaderstellende Visie op Toezicht & Beleid (KVoTB) VIDE, 3 november 2011 J.G.A. van den Broek Ministerie van BZK DGOBR/OPR Inhoud I) Politieke context van de KVoTB; de vorige KVoT s II) Beleidsproces KVoTB

Nadere informatie

Hervormingen in het lokaal re-integratiebeleid. Plan van aanpak quick scan

Hervormingen in het lokaal re-integratiebeleid. Plan van aanpak quick scan Hervormingen in het lokaal re-integratiebeleid Plan van aanpak quick scan Juni 2014 Colofon Rekenkamer Súdwest-Fryslân dr. M.S. (Marsha) de Vries (hoofdonderzoeker, secretaris) dr. R.J. (Rick) Anderson

Nadere informatie

Voortgangsrapportage. Taskforce Bestuur & Informatieveiligheid Dienstverlening

Voortgangsrapportage. Taskforce Bestuur & Informatieveiligheid Dienstverlening Voortgangsrapportage Taskforce Bestuur & Informatieveiligheid Dienstverlening februari 2013 november 2014 Inhoudsopgave 1 Instelling Taskforce BID 3 2 Aanpak langs vier lijnen 7 3 Resultaten 11 4 Bevindingen

Nadere informatie

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 5 februari 2015 Autoriteit woningcorporaties

De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus EA DEN HAAG. Datum 5 februari 2015 Autoriteit woningcorporaties De Voorzitter van de Tweede Kamer der Staten-Generaal Postbus 20018 2500 EA DEN HAAG Ministerie van BZK www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk Betreft Autoriteit woningcorporaties Inleiding

Nadere informatie

Hoe ontwikkel ik een HRO teamcultuur?

Hoe ontwikkel ik een HRO teamcultuur? Hoe ontwikkel ik een HRO teamcultuur? Xaf Utberg DHV Robert Taen Apollo13 consult De doorbraak van het grote zwijgen HRO conferentie 15 november 2011 Xaf Utberg DHV www.dhv.com APOLLO 13 consult Robert

Nadere informatie

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer

Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer Een beetje beveiligen kan niet Op weg naar veiliger gemeenten Jaarplan 2015 en toekomst IBD Consulterend Overleg 22 september 2014 Boudien Glashouwer Doelstellingen en scope IBD Het preventief en structureel

Nadere informatie

Roadmap BIM Loket. Versie 7, 1 december 2015. 1.1 Inleiding

Roadmap BIM Loket. Versie 7, 1 december 2015. 1.1 Inleiding Roadmap BIM Loket Versie 7, 1 december 2015 1.1 Inleiding Eind april 2015 is de Stichting BIM Loket opgericht. Afgelopen maanden is de organisatie ingericht en opgestart. Mede op verzoek vanuit de BIR

Nadere informatie

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Implementatie BIR. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Implementatie BIR Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Agenda Toekomst van het (interbestuurlijk) Toezicht:

Agenda Toekomst van het (interbestuurlijk) Toezicht: Agenda Toekomst van het (interbestuurlijk) Toezicht: wat willen we veranderen En wat denken we daarvoor te doen? Hans Smit,.., juni 2019 Agenda Toekomst van het (interbestuurlijk) Toezicht: wat willen

Nadere informatie

Documentenanalyse Veiligheidsvisitatiebezoek

Documentenanalyse Veiligheidsvisitatiebezoek Ingevuld door: Naam Instelling: Documentenanalyse Veiligheidsvisitatiebezoek In de documentenanalyse wordt gevraagd om verplichte documentatie en registraties vanuit de NTA 8009:2007 en HKZ certificatieschema

Nadere informatie

10 onmisbare vaardigheden voor. de ambtenaar van de toekomst. 10 vaardigheden. Netwerken. Presenteren. Argumenteren 10. Verbinden.

10 onmisbare vaardigheden voor. de ambtenaar van de toekomst. 10 vaardigheden. Netwerken. Presenteren. Argumenteren 10. Verbinden. 10 vaardigheden 3 Netwerken 7 Presenteren 1 Argumenteren 10 Verbinden Beïnvloeden 4 Onderhandelen Onderzoeken Oplossingen zoeken voor partijen wil betrekken bij het dat u over de juiste capaciteiten beschikt

Nadere informatie

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit

MVO-Control Panel. Instrumenten voor integraal MVO-management. Intern MVO-management. Verbetering van motivatie, performance en integriteit MVO-Control Panel Instrumenten voor integraal MVO-management Intern MVO-management Verbetering van motivatie, performance en integriteit Inhoudsopgave Inleiding...3 1 Regels, codes en integrale verantwoordelijkheid...4

Nadere informatie

Privacybeleid gemeente Wierden

Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Privacybeleid gemeente Wierden Binnen de gemeente Wierden wordt veel gewerkt met persoonsgegevens van burgers, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk

Nadere informatie

De impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing.

De impact en implementatie van de outsourcing op de bedrijfsvoering is als één van de 6 deelprojecten ondergebracht binnen het project outsourcing. Bijlagen 1 en 2: Aanbevelingen en opvolging Gateway Reviews (corsa 2018017934) Bijlage 1: Aanbevelingen en opvolging Gateway Review 2018 Aanbeveling Opvolging Status Opmerking 1. Richt een apart project

Nadere informatie

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014

Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014 Voorlichtingsbijeenkomst Veilig gebruik suwinet februari en maart 2014 Aandachtspunten Recente ontwikkelingen rond gebruik suwinet Verbeterplan veilig gebruik suwinet Opzet voorlichtingsbijeenkomsten en

Nadere informatie

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017 ENSIA en Assurance Van concept naar praktijk Drs. ing. Peter D. Verstege RE RA 31 oktober 2017 Agenda Traject tot 31 oktober 2017 Assurance 2017 Stip aan de horizon Organisatie aan de zijde van NOREA Status

Nadere informatie

Jaarverslag Informatiebeveiliging en Privacy

Jaarverslag Informatiebeveiliging en Privacy Jaarverslag Informatiebeveiliging en Privacy Jaarverslag informatieveiligheid en privacy Inleiding De gemeente Nederweert onderstreept het belang van informatieveiligheid en privacy. De grote hoeveelheid

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten Implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst

Nadere informatie

Onderzoeksopzet. Marktonderzoek Klantbeleving

Onderzoeksopzet. Marktonderzoek Klantbeleving Onderzoeksopzet Marktonderzoek Klantbeleving Utrecht, september 2009 1. Inleiding De beleving van de klant ten opzichte van dienstverlening wordt een steeds belangrijker onderwerp in het ontwikkelen van

Nadere informatie

Beleidsmedewerker Onderwijs

Beleidsmedewerker Onderwijs Horizon College Beleidsmedewerker Onderwijs Sector BMO Alkmaar C70) Afdeling Communicatie en Onderwijs (C&O) Contract: Vervanging wegens zwangerschapsverlof Periode: 1 mei 2015 tot 1 oktober 2015 Omvang:

Nadere informatie

Ik ga het niet doen, en mijn mensen ook niet!

Ik ga het niet doen, en mijn mensen ook niet! Ik ga het niet doen, en mijn mensen ook niet! Wat zijn de belangrijkste eisen en uitdagen van jouw organisatie in de komende 6 maanden? Welke kritische succesfactoren worden er gesteld? Waar liggen de

Nadere informatie