Verslag Wereldcafè. Informatieveiligheid. Vrijdag 7 februari Wereldcafé. Informatieveiligheid

Transcriptie

1 Verslag Wereldcafè Informatieveiligheid Vrijdag 7 februari 2014 Wereldcafé Informatieveiligheid

2 Met dank aan alle deelnemers voor hun inhoudelijke bijdrage! Gilles Ampt HP Frans Backhuijs Gemeente Nieuwegein Godfried Barnasconi Kadaster Arie van Bellen ECP Hans Brouwer Gemeente Apeldoorn Bart Drewes Vereniging van Nederlandse Gemeenten (VNG) Joppe Duindam Bouwend Nederland Coen Egberink IBM Jan Fraanje Gemeente Boxtel Michelle Fransen IPO Gert-Jan Geveke DUO Hans Goedhart Provincie Utrecht Ira Helsloot Radbout Universiteit Peter Herreman Provincie Noord-Holland George van Heukelom Provincie Zeeland Bart Hogendoorn Nederland ICT Herman Holtkamp Logius Erik Hoorweg Cap Gemini Gerard Hurkmans CAK Rocco Jacobs ADR/ICT Jan Kees de Jager ISM ecompany, voormalig minister Financiën Kees Jans Schiphol Groep René van Kuilenburg Gemeente Enschede Michel van Leeuwen NCTV Douwe Leguit Taskforce Bestuur en Informatieveiligheid Dienstverlening Hetty Lucassen Ministerie SZW Alexander Meijer Gemeente Ronde Venen Geert Munnichs Rathenau Instituut Tineke Netelenbos ECP Eppo Nispen tot Sevenaer Stichting CPNB Antoine van den Oever SAS Rhett Ouderkerk Pool Kahuna Dirk Jan van der Poel Ordina Ad Reuijl UWV Henk van der Rijt Oracle Peter van Schelven Nederland ICT Bertine Steenbergen Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) Rene Steenvoorden CIO Platform, Cyber Security Raad, Rabobank Hans van der Stelt Ministerie van Infrastructuur en Milieu Michiel Steltman Dutch Hosting Providers Association Mark van Twist Erasmus Universiteit Rotterdam Bert Uffen Bureau Keteninformatisering Werk & Inkomen (BKWI) Paul Veger Deco Ronald Verbeek CIO Platform Michel Verhagen (de heer) Ministerie van Economische Zaken Albert Vermuë UVW Ruud de Vries Gemeente Vlaardingen Henk Wesseling Taskforce Bestuur en Informatieveiligheid Dienstverlening Jaap van Wissen Rijkswaterstaat Dit document vormt onderdeel van het Wereldcafé Informatieveiligheid. Dit wereldcafé is gericht op coalitievorming tussen bestuurders uit de publieke en private sector, met als doel informatieveiligheid blijvend te verankeren. 7 maart 2014

3 Inhoud 1 Achtergrond Wereldcafé Informatieveiligheid 4 2 Thema s Informatieveiligheid Thema 1: Inspelen op informatisering door technologische ontwikkelingen Thema 2: Hoe verder te werken aan samenwerking? Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren? 5 3 Verslag thema 1: Inspelen op informatisering door technologische ontwikkelingen 7 4 Verslag thema 2: Hoe verder te werken aan samenwerking? 23 5 Verslag thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren? 39

4 4 Informatieveiligheid, een uitdaging van ons allemaal? 1 achtergrond Wereldcafé Informatieveiligheid Vrijdag 7 februari heeft het Wereldcafé Informatieveiligheid op de locatie van Sofitel The Grand te Amsterdam plaats gevonden. Dit Wereldcafé is mede tot stand gekomen door de inzet van de koepelorganisaties, de Directie Burgerschap en Informatiebeleid van het ministerie van BZK, ECP en Nederland ICT. Doel van dit Wereldcafé is geweest om met een klein gezelschap van bestuurders, topmanagers, wetenschappers en afgevaardigden uit het bedrijfsleven concreet door te bouwen op de, tijdens het Interbestuurlijke Diner van de Informatieveiligheid benoemde, collectieve uitdagingen op informatieveiligheidsvlak. Met als uiteindelijk doel om te komen tot een integrale Actie-Agenda Informatieveiligheid. Een agenda van een interbestuurlijke coalitie, gericht op een informatieveilig bestuur over de bestuurslagen heen. Een agenda die in de loop van 2014 tot uitvoering moet komen. Tijdens het tweede Interbestuurlijke Diner van de Informatieveiligheid in november wordt het resultaat gepresenteerd. Mede als basis voor actie ten behoeve van de jaren na Thema s Informatieveiligheid Een drietal thema s hebben centraal gestaan tijdens het Wereldcafé Informatieveiligheid. Thema s voortgekomen uit de door bestuurders benoemde collectieve uitdagingen tijdens het eerste Diner van de Informatieveiligheid 2013: I. Inspelen op informatisering door technologische ontwikkelingen II. Hoe verder te werken aan samenwerking? III. Hoe gerichtheid op informatieveiligheid lange termijn te verankeren? Elk van de thema s is tijdens het Wereldcafé besproken aan steeds drie tafels. De tafeldialogen over de thema s zijn geprikkeld aan de hand van een aantal subvragen:

5 5 2.1 Thema 1: Inspelen op informatisering door technologische ontwikkelingen 1. Welke drie concrete ontwikkelingen in het licht van informatisering door technologie, vragen als eerste om een overheidsstrategie gericht op het omgaan met de risico s? 2. Welke partijen betrekken we bij het ontwikkelen van elk van deze drie strategieën? 3. Op welke lopende initiatieven kunnen we bij het ontwikkelen van elk van deze drie strategieën aansluiten? 4. Welke concrete stappen dienen bij elk van deze drie strategieën gezet te worden om deze strategieën bij het volgende Diner te kunnen presenteren? Dit thema is in drie rondes besproken aan drie tafels, tafel 1, tafel 4 en tafel 7. Dit onder bezielende leiding van respectievelijk Douwe Leguit / Manager Taskforce BID, Hans Goedhart / Secretaris, Algemeen Directeur Provincie Utrecht en Frans Backhuijs / Burgemeester Nieuwegein. 2.2 Thema 2: Hoe verder te werken aan samenwerking? 1. Op welke drie (informatieveiligheids)onderwerpen moeten we de samenwerking beter organiseren? 2. Welke partijen moeten bij elk van deze drie onderwerpen betrokken worden? En hoe kunnen we aansluiten op lopende initiatieven? 3. Welke concrete stappen dienen er gezet te worden om bij het volgende Diner in november de strategie aangaande elk onderwerp te kunnen presenteren? 4. Op welke van deze drie onderwerpen moeten we de samenleving beter betrekken? En, indien de tijd toereikend is: 5. Hoe gaan we het betrekken van de samenleving concreet organiseren? 6. Welke partijen moeten hierbij betrokken worden? Dit thema is in drie rondes besproken aan drie tafels, tafel 2, tafel 5 en tafel 8. Dit onder bezielende leiding van respectievelijk Geert Munnichs / Onderzoekscoördinator Rathenau Instituut, Mark van Twist / Hoogleraar Erasmus Universiteit Rotterdam, Decaan NSOB en Alexander Meijer / Gemeentesecretaris Ronde Venen. 2.3 Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren? 1. Welke drie acties/zaken zijn nodig om ervoor te zorgen dat bestuurders en topmanagers in gesprek blijven over informatieveiligheid? 2. Welke methoden helpen hierbij? 3. Welke partijen moeten bij elk van de drie acties/zaken betrokken worden? (publiek, privaat en wetenschap) 4. Welke (verwachtingen t.a.v. de) rol heeft elk van deze partijen hierbij? 5. Welke concrete stappen per actie dienen gezet te worden om bij het volgende Diner een voorstel te presenteren om het gesprek over informatieveiligheid blijvend vervolg te geven? Dit thema is in drie rondes besproken aan drie tafels, tafel 3, tafel 6 en tafel 9. Dit onder bezielende leiding van respectievelijk Ira Helsloot / Hoogleraar Radboud Universiteit Nijmegen, Bertine Steenbergen / Directeur Burgerschap en Informatiebeleid, ministerie van BZK en Henk Wesseling / Bestuurlijk hoofd Taskforce BID.

6 Verslagen Thema 1: Inspelen op informatisering door technologische ontwikkelingen Thema 2: Hoe verder te werken aan samenwerking? Thema 3: Hoe gerichtheid op informatieveiligheid lange termijn te verankeren?

7 7 3 Verslag thema 1 Inspelen op informatisering door technologische ontwikkelingen

8 8 Eigen aantekeningen 3.1 verslag tafel 1: Inspelen op informatisering door technologische ontwikkelingen Tafel 1: Douwe Leguit notulist Eric Warner 1. Welke drie concrete ontwikkelingen in het licht van informatisering door technologie, vragen als eerste om een overheidsstrategie gericht op het omgaan met risico s? Ontwikkeling zoals de Google Glass en vergelijkbare producten zijn het meest tot de verbeelding sprekend. Het gaat echter niet om de exacte ontwikkeling maar om de betekenis ervan voor het openbaar bestuur. De betekenis zit vooral in vraagstukken rondom het concept privacy. Privacy moeten we als een centraal concept in de discussie beschouwen: hoe zien wij als overheid nu en in de toekomst privacy en wat gaan we daarmee doen? Google Glass Er moet wel realistisch gekeken worden naar de rol van de overheid in het privacyvraagstuk. Veruit de meeste informatie is in beheer van private partijen. De overheid is niet de bepalende partij waar het gaat om dit vraagstuk. Mensen maken zelf veel keuzes waar het gaat om het wel of niet delen van informatie. Privacy verandert als begrip. Dat vraagt wel om een visie, ook vanuit de overheid, die daar goed bij aansluit. Eén ding is zeker, we weten niet precies welke ontwikkelingen in de toekomst liggen. In het verleden is al gebleken hoe moeilijk technologische ontwikkelingen zijn te voorspellen. In de jaren negentig hadden we nooit verwacht dat nu iedereen met een smartphone zou lopen. Ontwikkelingen zoals de 3D-printer, drones en robotica gaan ons voor niet te voorspellen vraagstukken zetten. De samenleving is ongekend adoptief. Centraal issue is dat de samenleving wel de deugden inziet, maar niet goed de risico s kan beoordelen, zowel op korte als op lange termijn. Het ontbreekt aan awareness dat technologische ontwikkelingen ook altijd nadelen omvatten, specifiek kijkend naar privacy-aspecten. Functie van ontwikkelingen is onvoorspelbaar ( function creep ), waardoor risico s eveneens in sterke mate onvoorspelbaar zijn. Het delen van informatie levert ook veel gebruiksgemak op ( vooraf ingevuld belastingformulier is toch een deugd!). Dit gebruiksgemak, afgewogen tegen de privacy-aspecten zou in het herdefiniëren van privacy centraal moeten staan. Deze afweging moet primair door de samenleving zelf gemaakt worden. Inspelen op informatisering door technologische ontwikkelingen

9 Eigen aantekeningen 9 Hoe ver mag het informatiedelen gaan? En hoe kan de overheid een rol spelen bij een eventueel gewenste begrenzing van het delen van informatie, terwijl de betekenis van privacy zich blijft veranderen? Informatisering door technologisering zet de overheid voor drie centrale uitdagingen: 1. Hoe maak je gebruikers, de samenleving bewust van risico s, met specifieke aandacht voor de onvoorspelbaarheid daarvan? (Creëren van awareness) 2. Hoe zorg je ervoor dat de onvoorspelbaarheid van technologische ontwikkelingen wel zichtbaar wordt voor de gebruiker? (Transparantie creëren i.p.v. normen opleggen) 3. Hoe ga je als overheid zelf om met het veranderende gebruik van informatie en het delen van informatie, zowel tussen publiek-publiek als publiek-privaat? (zelfbeheersing door telkens zelf als overheid na te denken over je normen ; balans vinden tussen big data en sec functioneel gebruik; normen laten vormen door interactie met de samenleving). Belangrijke randvoorwaarde voor vervolgacties: Niet de lagere overheden overspoelen met regels, maar handvatten en principes bieden voor het omgaan ermee in de praktijk. Bied handelingsperspectief! 2. Welke partijen betrekken we bij het ontwikkelen van elk van deze drie strategieën? Opmerking vooraf, is dat lerend vermogen belangrijk is om stappen voorwaarts te kunnen blijven maken. Dit kun je organiseren door ruimte te creëren en te behouden voor creativiteit. Een coalitie zoals die tijdens het Wereldcafé bij elkaar is, waarbij wetenschap en bedrijfsleven is betrokken, is daarvoor essentieel. 1. Hoe maak je gebruikers, de samenleving bewust van risico s, met specifieke aandacht voor de onvoorspelbaarheid daarvan? (Creëren van awareness) Bevorderen van een breed debat met de samenleving, wetenschap en bedrijfsleven (specifiek ICT-leveranciers) over de betekenis van technologische ontwikkelingen en het begrip privacy. Awareness creëren door campagnes, waarbij juist ook aandacht is voor de onvoorspelbare risico s van informatisering: - ECP heeft al de campagne DigiVeilig, DigiBewust lopen. - Alert Online Transparantie 2. Hoe zorg je ervoor dat de onvoorspelbaarheid van technologische ontwikkelingen wel zichtbaar wordt voor de gebruiker? (Transparantie creëren) We moeten ons bij het omgaan met informatisering door technologische ontwikkelingen gaan richten op het omgaan met onzekerheden, door transparantie te bevorderen. Inspelen op informatisering door technologische ontwikkelingen

10 10 Eigen aantekeningen De rol van de overheid is om los te laten en bij te sturen; vooral maatregelen nemen die laten inzien wat privacy betekent. Kaderstellend zijn door te sturen op transparantie en duiding van het begrip privacy: - Dit kan door normen niet op te leggen, maar daarover de discussie te voeren met de samenleving, bedrijfsleven en wetenschap. - Vooral de information brokers (grote private partijen als Microsoft en Apple) moeten betrokken worden bij het gesprek over transparantie / het opstellen van etiquette rondom informatiedeling. Dit valt mogelijk te koppelen aan een keurmerk? - De rol van wetenschap en bedrijfsleven is om te inspireren, waardoor andere perspectieven op het vraagstuk worden gegeven. 3. Hoe ga je als overheid zelf om met het gebruik van informatie en het delen van informatie zowel tussen publiek-publiek als publiek-privaat? (Zelfbeheersing) Ontwikkelingen vragen om een vertaling naar het openbaar bestuur: wat betekent informatisering voor de overheid? En welke kijk heeft de overheid hierop als het gaat om haar eigen functioneren? Transparantie over het gebruik van gegevens door de overheid, met als doel een balans tussen dienstverlening en privacy: - Transparantie over gebruik van informatie gaat de overheid helpen. Hoe ver mag je gaan in de transparantie (wettelijk)? Hoe ver is wenselijk? - ICT en wetenschap hierbij betrekken, in gesprek gaan hierover. Zorg voor out of the box kunnen denken. Trendwatchers en innovators betrekken. - Specifieke rol voor ICT-leveranciers in de uitwerkingen; veiligheidsvereisten in de aanbestedingen opnemen. Het gaat om het ruimte creëren voor een innovatieve kijk op informatieveiligheid. Het moet hiervoor beter en makkelijker geregeld worden, zodat bypasses niet nodig zijn. Nederland ICT kan een faciliterende rol vervullen bij het uitwerken hiervan (in aansluiting op de bijeenkomst van Nederland ICT dd. 30 januari 2014). Publiek debat over het begrip van de privacy en de wijze waarop de overheid daarmee omgaat. Het bieden van goede innovatieve dienstverlening en privacy is voor het vertrouwen in de overheid essentieel. Privacy beweegt als begrip, daar moet je als overheid ook op inspelen om optimale dienstverlening te kunnen bieden. Daar kan geleerd worden van andere landen. Bevorderen van debat over normen essentieel. Maar normen vastleggen leidt juist tot achterlopen in de praktijk (zie ISO-normen). Wel een smalle normatieve basis/kader nodig, daaromheen ruimte voor innovatie. Privacy Inspelen op informatisering door technologische ontwikkelingen

11 Eigen aantekeningen Op welke lopende initiatieven kunnen we bij het ontwikkelen van elk van deze drie strategieën aansluiten? 1. Hoe maak je gebruikers, de samenleving bewust van risico s, met specifieke aandacht voor de onvoorspelbaarheid daarvan? (Creëren van awareness) DigiBewust en DigiVaardig. Bijvoorbeeld door een waarschuwing te geven bij het vrijgeven van informatie. Aandacht vragen voor het gebruik van de informatie, wordt al op plekken gedaan zoals door LinkedIn. Kennis en bewustzijn permanent aan de orde brengen. Zorg dat het in het reguliere bestuurlijke proces terecht komt. 2. Hoe zorg je ervoor dat de onvoorspelbaarheid van technologische ontwikkelingen wel zichtbaar wordt voor de gebruiker? (Transparantie creëren) Geen lopende initiatieven binnen Nederland. Mogelijk kijken hoe het aansluit op Digitale Agenda EU? 3. Hoe ga je als overheid zelf om met het gebruik van informatie en het delen van informatie zowel tussen publiek-publiek als publiek-privaat? (Zelfbeheersing) WRR Rapport I-Overheid geeft belangrijke aanknopingspunten voor de visie op het delen en gebruik maken van informatiestromen. Hierbij aanhaken op digitale infrastructuur, daar kan op aangehaakt worden voor centrale regie. De discussie over ontwikkelingen en vooruit kijken, met specifieke aandacht voor informatieveiligheid moet een plek krijgen in de digitale infrastructuur (adviesraad-achtig). Basis van de visie zijn een paar algemene afspraken door overheden; noodzakelijke randvoorwaarden, waaronder informatieveiligheid. Kijken bij andere landen en sectoren: bijvoorbeeld Scandinavië, waar ze volledige transparantie bieden. 4. Welke concrete stappen dienen bij elk van deze drie strategieën gezet te worden om deze strategieën bij het volgende diner te kunnen presenteren? Hoe maak je gebruikers, de samenleving bewust van risico s, met specifieke aandacht voor de onvoorspelbaarheid daarvan? (Creëren van awareness) - Bewustzijnscampagne opstarten (als onderdeel van DigiVaardig/ DigiVeilig) waarbij specifiek aandacht is voor informatiedelen versus privacy. Inspelen op informatisering door technologische ontwikkelingen

12 12 Eigen aantekeningen Hoe zorg je ervoor dat de onvoorspelbaarheid van technologische ontwikkelingen wel zichtbaar wordt voor de gebruiker? (Transparantie creëren) - Debatsessies tussen samenleving, overheid, bedrijfsleven en wetenschap over het veranderende concept privacy. Overheid initieert deze gesprekken, mogelijke samenwerking met Rathenau Instituut? - Bedrijfsleven aanspreken op de verantwoordelijkheid om transparant te zijn over het gebruik van informatie (ook mogelijke veranderingen hierin). Bijvoorbeeld door hier een keurmerk voor te ontwikkelen samen met de grote information brokers. Hoe ga je als overheid zelf om met het gebruik van informatie en het delen van informatie zowel tussen publiek-publiek als publiek-privaat? (Zelfbeheersing) - Verkenning van de wijze waarop andere (bijvoorbeeld enkele Scandinavische landen) omgaan met het delen van informatie en transparantie daarover. - Overheidsbrede visie opstellen op het delen van informatie, specifiek met aandacht voor transparantie hierover. Hierbij ook de wetenschap en bedrijfsleven betrekken. - ICT en wetenschap hiervoor betrekken: in gesprek gaan hierover. Zorg voor out of the box kunnen denken. Trendwatchers en innovators betrekken. - Let op: Visie moet worden opgesteld als onderdeel van de te vormen digitale governancestructuur/infrastructuur; discussie over ontwikkelingen en vooruit kijken. - Om het overheidsbrede beleid ook te vertalen naar de specifieke overheden, moet het beleid geduid worden door sprekers als Jan Kees de Jager. Inspelen op informatisering door technologische ontwikkelingen

13 Eigen aantekeningen verslag tafel 4: Inspelen op informatisering door technologische ontwikkelingen Tafel 4 Hans Goedhart Notulist Michiel Dirriwachter 1. Welke drie concrete ontwikkelingen in het licht van informatisering door technologie, vragen als eerste om een overheidsstrategie gericht op het omgaan met risico s? Cloud-diensten Welke ontwikkelingen zijn relevant? De volgende zaken zien we op ons afkomen: Als private dienstverlener zien we het streven te bewegen naar de Cloud. Dit brengt nieuwe problemen met zich mee. Wat organisaties voorheen in huis hadden en waar ze zelf de regie op de oplossing hadden, gaat nu naar de Cloud. Hierbij is niet direct zicht op de technische invulling. De ontwikkeling richting de Cloud is een zeer belangrijke technologische verandering voor organisaties. Een kenmerk van Cloud-diensten is dat het toegankelijk wordt voor iedereen. De overheid zal moeten accepteren dat haar dienstverlening transparant wordt. Een aandachtspunt is wel dat niet alle verdienmodellen van overheden hierop zijn ingericht. Gemeenten zetten in ieder geval al wel stappen richting een i-samenleving. Vraag die daarbij opkomt is: hoe accepteer je de burger die veel data verzamelt? Van het klassieke denken van de overheid, naar de nieuwe situatie: privacy bestaat (haast) niet meer. Trends die eveneens opvallen zijn Big Data en Open Data. Overheden zijn nog lang niet allemaal toe aan Open Data. Het zijn containerbegrippen lijkt het. Big Data is alles wat ongestructureerd is, eigenlijk zou je moeten praten over Fast Data. Ook ontwikkelingen vanuit sociale media spelen een rol. Het inviteert burgers steeds meer om eigen initiatief te nemen. De zelfredzaamheid van de burger moet omhoog bij de digitalisering van de overheid. Er zijn steeds minder ambtenaren en fysieke balies om de minder DigiVaardige en DigiVeilige burgers te ondersteunen. De verdere digitalisering kan ook juist leiden tot inzet van meer medewerkers. Bijvoorbeeld UWV: UWV neemt mensen aan om vergaande digitalisering mogelijk te maken door burgers te ondersteunen. Neem bijvoorbeeld de site van werk.nl. Burgers moeten zelfredzaam zijn, maar UWV kan niet de continuïteit van Inspelen op informatisering door technologische ontwikkelingen

14 14 Eigen aantekeningen dienstverlening bieden die daar bij hoort: De dienstverlening ligt regelmatig plat.een mogelijke oorzaak van dit soort falen kan zijn dat er politieke druk op zit. Daarnaast wordt de architectuur van de systemen vaak achteraf bedacht, terwijl in de fysieke wereld al eeuwen eerst wordt ontworpen en dan pas gebouwd. Een andere randvoorwaarde is professioneel opdrachtgeverschap. Leveranciers varen wel bij een ICT-lappendeken van een organisatie. Vaak wordt gestart met een vaag vertrekpunt met wensen: Er stond laatst nog een artikel in de krant waarom ICT- projecten toch steeds mislukken. Ook de ontwikkeling van Mobile Devices zorgt voor een andere manier van kijken. Mobile Devices is niet belangrijk, BYOD is een veel belangrijkere ontwikkeling! Het wordt niet meer ondersteund vanuit je centrale organisatie. Je bent afhankelijk wat iedereen zelf wil gebruiken. Iedereen gaat anyplace, anytime werken. The internet of things. Dit gaat heel ver. Bijvoorbeeld in de gezondheidszorg. Er is een voorbeeld genoemd van een vuilnisbak-app die een van tafelgenoten gebruikt: zelf bepalen wanneer de bak wordt geleegd. De volgende stap is dat de bak zelf dit meldt. Preventie en detectie vanuit technologie. ICT-security industrie heeft veel oplossingen op deze twee thema s. 3D-printing. Ik vind dat overheden wel moeten samenwerken, maar niet dit soort zaken moet oppakken. Een ontwikkeling die tot slot ook interessant is, is de brede beweging dat je moet kunnen terug-hacken (bounty /wild west model) vanuit de goede kant van de wet. Dus maatregelen nemen op het terrein waar je geen mandaat hebt. Overheden moeten samenwerken Als we praten over informatietechnologie gaat het ook over eigenaarschap van informatie, ook deels van burgers en private partijen. In hoeverre heb je als burger zeggenschap over je eigen gegevens? Heb je daar zeggenschap over? Dezelfde vraag kan worden gesteld als het over ketens gaat. Wie is daar eigenaar van de informatie? 2. Welke partijen betrekken we bij de uitwerking van strategieën? Overheid, kennisinstellingen, universiteiten en private partijen hebben hierin een rol. Het bedrijfsleven moeten onderling wel zaken afstemmen en overheden moeten eenduidig opdrachtgeverschap invullen. Er is een adviesrapport van het ministerie van BZK over de rollen en verantwoordelijkheden van de verschillende rijksdepartementen in de i-samenleving. Naast overheden en bedrijfsleven dienen ook de sociale partners betrokken te worden bij dit vraagstuk: De impact op het middenkader in de samenleving is zo groot, daar moet je rekening Inspelen op informatisering door technologische ontwikkelingen

15 Eigen aantekeningen 15 mee houden en sociale partners erbij betrekken. Europees verband, landelijke overheden. Er kwam zelfs ter sprake dat een grote groep middenklasse misschien moet accepteren/wennen dat ze straks geen baan hebben. De overheid dient initiërend en regisserend te zijn en niet zozeer uitvoerend. Maar wie gaat er dan het initiatief nemen om te komen tot noodzakelijke stappen? Er wordt opgemerkt dat samenwerken een middel is, maar geen doel op zich. Maar als opdrachtgever moet je wel als vragende partij je requirements opstellen en de opdrachtgeversrol oppakken. Bij grote zaken ligt het primaat van het maatschappelijk welzijn bij de overheid. Een overheid heeft hierbij een andere verantwoordelijkheid dan andere partijen. Bijvoorbeeld bepaalde beschermingstaken, taak in publiek private samenwerking. Kenmerkend voor de overheid nu is dat ze achter feiten aanloopt. Bovendien: bedrijven kunnen failliet gaan, overheden niet. Hele andere vormen van samenwerking moeten ook mogelijk worden. Zijn we flexibel genoeg in instituties om mee te bewegen? Wat zijn de kernwaarden die we moeten beveiligen? 3. Op welke lopende initiatieven kunnen we bij het ontwikkelen van elk van deze drie strategieën aansluiten? Een praktijk voorbeeld: kijk naar water hoe het daar wordt opgepakt. Leer van de structuren die daar al zijn. Leer van andere landen, zoals Denemarken. 4. Welke concrete stappen dienen bij elk van deze drie strategieën gezet te worden om deze strategieën bij het volgende diner te kunnen presenteren? Eenduidigheid gaat om standaarden en architectuur, niet om producten en diensten. Zaken waar opdrachtgevers duidelijk in moeten zijn en waar vanuit het bedrijfsleven afstemmingsafspraken over moeten worden gemaakt zijn zaken als architectuur & standaarden. Waarbij standaarden wel minimaal op Europees niveau worden afgestemd, aansluitend op mondiale ontwikkelingen. Er moeten in ieder geval standaarden worden gekozen vanuit de overheid, een universele brievenbus van elke dienst. Nu worden bij aanbestedingsopdrachten alleen de specs aangeleverd, maar dat is het net niet. Het vergt dus wel visie en doorzettingsmacht! Vraag is wel wie dit initiatief dan gaat nemen? Overheid, bedrijfsleven, universiteiten? Wordt het niet tijd dat het thema veiligheid eenduidig binnen de overheid wordt belegd? Er is nu sprake van versnipperde verantwoordelijkheden. BZK is verantwoordelijk voor Inspelen op informatisering door technologische ontwikkelingen

16 16 Eigen aantekeningen overheidsdienstverlening, maar de OPTA en cybersecurity zitten weer bij andere ministeries, terwijl de grootste besparingen natuurlijk bij het ministerie van Financiën zitten: bezuinigingen. Dit ministerie is. Belangrijk is dat er een regierol moet komen op dit vlak met doorzettingsmacht (versus coalition of the willing). Maar wie is dan die overheid? Vanuit VNG is hier al discussie over gestart, maar alle stakeholders hebben vooralsnog wel een eigen verantwoordelijkheid. Bijvoorbeeld bij DigiD: het bedrijfsleven pakt DigiD niet op omdat dit financieel niet rendabel is. Mogelijk nadeel van doorzettingsmacht: daarmee gaat samenwerking en innovatie weg. Degene die verantwoordelijk is voor informatiebeveiliging moet de kar trekken en kaders stellen zodat niet per applicatie/toepassing oplossingen bedacht worden. Als je gaat samenwerken met bijvoorbeeld banken ga je een vertrouwensband opbouwen. Rondom nieuwe ontwikkelingen zoals DigiD, zul je dit samen moeten oppakken met de verschillende partners (kennisinstellingen, bedrijfsleven, overheid, sociale partners/ klanten). De regie zou ook in toezichthoudende organen moet komen, zoals bijvoorbeeld een Raad van Commissarissen. Maar ook in gesprekken onderling: ik loop hier steeds tegen aan. Bijvoorbeeld in ketens heeft dit meerwaarde. Vraag blijft: wie gaat dit dan doen? Oplossingsrichting zijn we het snel over eens, maar we hebben hier een governance probleem. Inhoud is niet de discussie. Maar uiteindelijk in zo n complexe wereld moet je wel een partij hebben die dit gaat doen. Hoofd IT/ CTO/CIO in charge. Eigenlijk Raad van Commissarissen betrekken. Je zou naast bijvoorbeeld de Nucleaire Summit, een Digital Summit moeten organiseren om wereldwijde afspraken te maken. Laten we in Nederland beginnen met Highest Chief in Charge: op hoogst mogelijke niveau beginnen. Opmerking: wel realistisch zijn. Ter illustratie, we zijn met een EU-dataverordening bezig. Hier zijn rond de 5000 amendementen ingediend, voordat het bruikbaar is zijn we jaren verder. Hoe krijgen we urgentie dat het daadwerkelijk gebeurt? Men moet er zelf mee te maken krijgen om het te kunnen bevatten (inzet hackers). Een ander voorbeeld: onze premier heeft geen kinderen en oordeelt dan ook vanuit een ander (niet ervarings) perspectief over dit soort zaken. De premier moet als stuurman van dit land de veranderingen in de maatschappij begeleiden. Bij de vraag wie: of dat de premier dat zelf zou moeten zijn is de vraag, maar Highest Chief in Charge wel. Hoe stimuleer je samenwerking? Aandachtspunt: hoe komt het dat het niet van nature is dat er niet gezamenlijk wordt opgetrokken/ afgestemd? Reactie: als je dat merkt is dat een slechte zaak en zou je dat aan de kaak moeten stellen. We werken vandaag aan deze Actie-Agenda. Ik werk met een staatsecretaris: deze mensen willen graag aan de slag. Je krijgt mensen pas in beweging als je Inspelen op informatisering door technologische ontwikkelingen

17 Eigen aantekeningen 17 concreet wordt en vertelt wat het betekent. Ik denk wel dat je dan hooggeplaatste mensen als Obama en anderen moet betrekken en dit moet bespreken. Dit is een mondiaal thema dat niet alleen Nederland aangaat. Wie is de regisseur? De overheid. Overheden moeten het ook eens onderling eens worden én samen met het bedrijfsleven. Maar regelgeving is dan wel nodig, vergelijk het met een digitaal bouwbesluit. Er moet minimaal iets komen waar we ons gezamenlijk aan moeten houden. Er wordt opgemerkt: Het governance vraagstuk is complex, om er dan vervolgens te snel aan voorbij te lopen en in de inhoud te duiken. Als je het in het begin niet goed afhecht, heeft het werk weinig effect. Het probleem van het mandaat en de rol van het NCSC wordt aangehaald. Het risico is dat we dit dus laten liggen omdat het lastig is. Wind in de rug nu. Er wordt opgemerkt dat we nu wel de wind in de rug hebben n.a.v. alle onthullingen rondom NSA, tumult rondom Hennes/Plasterk, et cetera. Hopelijk zorgt het voor awareness en wordt er gewerkt aan governance op dit thema. Er wordt opgemerkt dat dit de eeuwige discussie is tussen I&M, EZ, VJ: vitale sectoren leiden tot oeverloze, lange discussie over verantwoordelijkheden. Wat zouden wij vanuit dit coalitieplatform kunnen doen om hier stappen in te zetten? Kijk eens naar deze ontwikkelingen. Als je de beschreven tafelkleden bij elkaar pakt heb je het wellicht al. Met een beschreven governance gaan we dan vervolgens naar het bedrijfsleven. Er zouden voorbeelden kunnen komen uit initiatieven. In de hele veiligheidsketen van preparatie, escalatie, et cetera zou het tot eenduidige rollen kunnen komen. Als zaken eenmaal zijn gebeurd (na een incident) dan heb je daar al bestaande crisisstructuren voor. Het kan duidelijker, maar aan de voorkant heb je nog veel afstemming nodig. We moeten ook de voorkant meer organiseren. Is er wel een voorbeeld van het goed aan de voorkant regelen in de fysieke wereld? Er volgt discussie aan tafel: dit gaat dan wel over voorbereiding op voorkomen en bestrijden van rampen, maar dit leidt niet tot awareness. Commerciële belangen hoeven samenwerking niet in de weg te staan. Bewustwording bij bestuurders is wel noodzakelijk. Hoe gaan wij bestuurders helpen dat bestuurders dit belangrijk vinden en gaan regelen. Dit gesprek met de bestuurders moeten we oppakken. Je zou ook wel iets meer dwingend bepaalde zaken moeten oppakken. In control statement over je digitale huishouding laten opnemen bijvoorbeeld. Er is al een aantal zaken die gebruikt worden: bijvoorbeeld auditplicht: je kan de frequentie toe laten nemen. Sturen op governance en geef voorbeelden waar het fout gaat. Hoe krijgen we inzicht en overzicht in nut/noodzaak. Stel verplicht dat elke organisatie een keer per jaar met RedTeam/hacking wordt Inspelen op informatisering door technologische ontwikkelingen

18 18 Eigen aantekeningen bezocht. Zeker in relatie met de in control statement: De praktijk toetst zeg maar (mystery guest toets). Een aandachtspunt is wel dat de kerncompetenties van bestuurders zich niet lenen (in aanleg) voor ICT. Vaak reactief, niet proactief. Het gaat ook deels om beeldvorming. Zo ook in de presentatie van Jan Kees de Jager: De dossiertas versus een tablet: dat zaken in de fysieke wereld veiliger zijn is ook beeldvorming. Hoewel: Aanvallen op vitale zaken gaan wel verder dan een tas met USB-stick die gestolen kan worden als voorbeeld. Bij informatiebeveiliging gaat het om risico-denken, dit kennen we binnen de overheid nog niet echt, dan wel we hebben er onvoldoende ervaring mee. Een voorbeeld uit de praktijk: het Bouwbesluit. Voorbeeld hekjes: volgens de regels leidde dit tot verplicht plaatsen van kinderhekjes aan de ene kant van mijn erf, aan de andere kant niet. Hier heb je in praktijk dus niets aan, oorzaak ligt bij te gedetailleerde regels van de overheid. Niet letterlijk regels voorschrijven maar normen definiëren. Toepassen comply or explain van Forum Standaardisatie. Daarnaast bij een ICT-project, een standaard percentage, zeg 10% van het budget naar security. Maar dan wel alleen voor projecten waar het relevant is. Focus op normen, dwingend. Het antwoord van de overheid op deze ontwikkelingen zou moeten zijn: Van nu nog veel eigen verantwoordelijkheid voor informatieverstrekken via websites, naar ontsluiten via Open Data. Vervolgens zouden commerciële partijen hiermee aan de slag kunnen en meer functionaliteit moeten maken op data van de overheid. Voorkom dat je als overheid met gedetailleerde regels komt, richt je meer op de uitkomst en op een gelijkwaardige samenleving. Uitgangspunt zou moeten zijn om zo weinig mogelijk menselijk handelen in procesuitvoering over te houden en zoveel mogelijk over te laten aan geautomatiseerde systemen. De IND, SVB, UWV zijn voorbeelden van deze ontwikkeling. Overheidsdienstverlening is nu vaak op basis van de klantcase opgezet, dat stort nu in. Dit gaat overigens op grote schaal alleen werken als overheden samenwerken. Denemarken is daar een voorbeeld van. Een van de redenen waarom het daar wel lukt is omdat daar wel top-down erop wordt gestuurd. Inspelen op informatisering door technologische ontwikkelingen

19 Eigen aantekeningen verslag tafel 7: Inspelen op informatisering door technologische ontwikkelingen Tafel 7 Frans Backhuijs Notulist Harro Spanninga 1. Welke drie concrete ontwikkelingen in het licht van informatisering door technologie, vragen als eerste om een overheidsstrategie gericht op het omgaan met de risico s? Cloud De overheid functioneert steeds meer als een netwerk van netwerken, waarbij grenzen vervagen. Vaak ingegeven door technologische mogelijkheden maar ook vanuit autonome ontwikkeling op steeds complexere maatschappelijke vraagstukken. De vraag is welke Cloud-oplossingen daar aan bijdragen. Straks heb je een gemeentelijke Cloud en een Cloud voor het rijk. Is het dan niet veel logischer om aan een gezamenlijke overheids-cloud te werken waarvan alle ketenpartners gebruik kunnen maken? De vraag die opgeworpen wordt, is: waarom moet de overheid een eigen Cloud creëren? De neiging is in ieder geval bij de departementen om alles zelf te willen doen. Kan het bedrijfsleven dat niet veel beter doen? De overheid zou de markt wat dat betreft veel meer moeten vertrouwen. De overheid moet de juiste eisen stellen, en de markt moet dan met oplossingen komen die daaraan voldoen. Bij het werken aan vertrouwen is ook gewezen op het gevaar van de risico-regel reflex. Misschien is transparantie wel een betere oplossing. Maak bijvoorbeeld inzichtelijk wat er in de Cloud gebeurt. Dat levert misschien veel meer vertrouwen op dan nieuwe regels. Big Data en Open Data De ontwikkelingen rond Big Data en Open Data, hoe moet de overheid daar mee omgaan? Deels is dit al realiteit en koppelt de overheid vele bestanden. Maar wetgeving werkt hierin soms belemmerend. De grote uitdaging voor de overheid zit er in de Big data die ze heeft, te vertalen naar Big Information. Daar is de overheid misschien nog niet zo goed in. Er wordt vaak gekeken naar de overheid als big brother. Maar is het bedrijfsleven hierin niet al veel verder? Weten zij al niet veel meer door de koppeling van private bestanden? elektronische authenticatie Eigenaarschap en toegang tot data wordt als een belangrijk issue naar voeren gebracht. Er wordt verwezen naar het EPD. Er wordt onder meer gesteld dat dit niet gelukt is, omdat de burger niet echt het gevoel had eigenaar te zijn van de gegevens. Ook wordt aangegeven dat in de Inspelen op informatisering door technologische ontwikkelingen

20 20 Eigen aantekeningen discussie destijds eigenlijk niet verwezen werd naar het ongemak voor artsen. De beroepsgroep zelf had er mogelijk ook veel bezwaar tegen kunnen hebben dat medische fouten zo wel erg zichtbaar worden. Feodale overheid en de afhankelijkheid van grote leveranciers Er wordt ook aandacht gevraagd voor de perceptie van risico. Men is geneigd digitale oplossingen eng te vinden. Terwijl digitale informatiedragers veel beter zijn te beveiligen dan papieren informatiedragers. Koffers en tassen blijven vaak genoeg slingeren. Een tegenwerping is dan wel dat als je het niet goed beveiligt, je dan wel meteen toegang hebt tot alles en niet alleen tot een enkel dossier. Toegankelijkheid van data voor burgers de noodzakelijke randvoorwaarden voor veilig gebruik zoals encryptie Door sommigen wordt bijvoorbeeld encryptie als iets engs ervaren, omdat men geen goed gevoel heeft met wat er dan precies gebeurt. Dit leidt dan tot onzin -discussies. Zoals bijvoorbeeld rond de stemmachines. Deze waren op zich best goed te beveiligen, maar in de ogen van het publiek waren het enge apparaten die het democratische proces onveilig maakten. Informatieveiligheid moet eigenlijk geen issue zijn: Je moet de juiste eisen stellen en het dan in een goed proces stoppen en goed waarborgen dat dat proces werkt. Dan zijn vele risico s te managen. 2. Welke partijen betrekken we bij het ontwikkelen van elk van deze drie strategieën? Vrijwel alle overheidspartijen werden genoemd. De gedachte dat de overheid meer en meer in netwerken functioneert, noopt dat het vraagstuk overheidsbreed wordt opgepakt. Specifiek werd de Belastingdienst genoemd. Je hebt eigenlijk een dergelijke zeer gedegen organisatie nodig om een betrouwbare overheids-cloud te creëren. Een organisatie die ook keer op keer laat zien dat het veilig is. In al die jaren is er nog nooit een echt wezenlijk beveiligincident rond de Belastingdienst geweest. Ook kan de overheid niet zonder het bedrijfsleven. Daarbij gaat het niet alleen om de grote bekende leveranciers, maar misschien juist wel om de kleine rijzende sterren uit het bedrijfsleven die goede oplossingen bieden maar nu vaak niet door de aanbestedingen heenkomen. Zij hebben vaak echt goede oplossingen voor lastige vraagstukken uit de informatiesamenleving. Er zou in de samenwerking tussen de overheid en het bedrijfsleven veel meer ruimte moeten zijn voor deze niche spelers. Bepaalde kleine partijen met geavanceerde oplossingen kunnen zich het risico van Europese aanbestedingen niet veroorloven. De overheid zou daar meer ruimte voor moeten creëren. Opgemerkt wordt wel dat aanbestedingsregels voortkomen uit de behoefte om risico s af te dekken. Het is van belang in je aanbestedingen strategieën te ontwikkelen zodat de risico s voor het werken met niche spelers beter worden afgedekt. Vervolgens werd gewezen op het belang van best practices bijvoorbeeld uit Inspelen op informatisering door technologische ontwikkelingen