Stuurgroep Verantwoordingsstelsel ENSIA

Vergelijkbare documenten
ENSIA voor informatieveiligheid

Brief aan de leden T.a.v. het college en de raad. 21 maart ECIB/U Lbr. 17/017 (070)

Youri. CISO BUCH-gemeenten. Even voorstellen. Stuurgroeplid. Lammerts van Bueren. Grip op informatieveiligheid met ENSIA

ENSIA voor Informatieveiligheid. Informatie voor Auditors

Rapportage Informatiebeveiliging Gemeente Boekel 16 mei 2018

Welkom bij parallellijn 1 On the Move uur

ENSIA en Assurance. Van concept naar praktijk. Drs. ing. Peter D. Verstege RE RA. 31 oktober 2017

Bijzonderheden jaarrekening FAMO bijeenkomst 15 december 2017

Handleiding ENSIA-tool. voor gemeenten

Proces verantwoorden ENSIA Toelichting en formats voor college en de raad

HANDREIKING ENSIA VERANTWOORDING VOOR SAMENWERKINGSVERBANDEN

Ver V eniging eniging v an Nede rlandse meenten In deze sessie Wat vooraf ging Waarom vind ik ENSIA belangrijk? ENSIA the basics

ENSIA ROL- EN TAAKBESCHRIJVING VAN GEMEENTELIJKE STAKEHOLDERS

Format assurance over de juistheid van de collegeverklaring ENSIA 2017 van gemeente [naam gemeente]

ENSIA en Assurance. Ervaringen 2017 als basis voor uitvoering 2018 Drs. Ing. Peter D. Verstege RE RA. 31 oktober 2018

Format presentatie Kick-off

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

ENSIA. Het audit perspectief. René IJpelaar Achmed Bouazza Werkgroep ENSIA. 4 juli 2017

De zelfcontrole BRO. Algemene toelichting bij de vragenlijst. Versie Datum 14 april 2018 Status. Definitief concept

Handreiking Implementatie Specifiek Suwinetnormenkader

Kwaliteitsmanagement BGT LEF sessie 13 februari Arno de Ruijter, IenM

Wat is ENSIA? ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit.

Assurancerapport van de onafhankelijke IT-auditor

Ondersteuning op de toetsing van Suwinet uit de Collegeverklaring

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 0.6. Datum 19 juli 2017

Jaarverslag Informatiebeveiliging en Privacy

ENSIA door gemeenten. 31 oktober 2017 Edith van Ruijven

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst (v ) Versie 0.3. Datum 20 juli 2017 Status

De zelfcontrole BGT. Algemene toelichting bij de vragenlijst. Versie Datum 21 maart 2018 Status. Definitief concept

Verklaring van Toepasselijkheid en Informatiebeveiligingsbeleid

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Verantwoordingsrichtlijn GeVS 2019 (versie )

ACCORIS. Gemeente Houten ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 7 pagina's Rapportnummer: AAS

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

De zelfcontrole BAG. Toelichting bij de vragenlijst ENSIA/BAG. Versie 1.0

Versie 27 maart 2017: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

ECIB/U Lbr. 17/010

Agenda. 1. Opening en Mededelingen. 2. Verslag. 3. Financiën: bestedingsplannen. Betreft Agenda Nationaal Beraad Digitale Overheid

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

Onderwerp: Informatiebeveiligingsbeleid BBV nr: 2014/467799

ons kenmerk ECIB/U Lbr. 16/046

informatiecentrum tel. uw kenmerk bijlage(n) (070) Lbr. 14/086

ENSIA IMPLEMENTATIEPLAN. Format Plan van Aanpak ENSIA

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Handreiking. Opstellen collegeverklaring ENSIA Versie 2.0. Vereniging van Nederlandse Gemeenten

IT Auditor en ENSIA. Bijdrage Maarten Mennen. 31 oktober 2017

Gemeente Renswoude ENSIA Datum rapport: 26 april 2018 Dit rapport heeft 14 pagina's Rapportnummer: AAS

Advies commissie BBV aan ministerie van BZK mei Van een rechtmatigheidsoordeel naar een rechtmatigheidsverantwoording

In deze raadsinformatiebrief leest u de stand van zaken over de invoering van de AVG en BIG.

Openbare besluitenlijst van de vergadering van burgemeester en wethouders d.d. 2 april 2019

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Conclusies en aanbevelingen bij de Totaalrapportage Informatiebeveiliging GeVS 2017 van de Domeingroep Privacy & Beveiliging

Hellendoom. Aan de raad. III II III IIII IIII III III II (code voor postverwerking)

Iedereen denkt bij informatieveiligheid dat het alleen over ICT en bedrijfsvoering gaat, maar het is veel meer dan dat. Ook bij provincies.

Gemeente Alphen aan den Rijn

concept besluitenlijst b en w-vergadering

Rekenkamercommissie Brummen

Dit voorstel gaat over de implementatie van de BIG, de AVG en de ENSIA en de gevolgen hiervan voor de gemeentelijke organisatie.

BABVI/U Lbr. 13/057

Planning & Control Cyclus 2011 Gemeente Oostzaan

INFORMATIEVOORZIENING

Bijeenkomst gemeenten zelfevaluaties 2016/2017. d.d. 31 januari te Utrecht

Voorstel Governancestructuur op hoofdlijnen

Vastgestelde openbare besluitenlijst collegevergadering van

Versie 27 maart: vastgestelde versie. Oplegger en vragen aan de stuurgroep verwijderd, procesplaat toegevoegd op pagina 2.

voorstel aan de gemeenteraad

Registratienummer: RVO Portefeuillehouder: S.C.G.M. den Dulk-Winder

Verantwoordingsrichtlijn

Informatieveiligheid, randvoorwaarde voor de professionele gemeente

Controleprotocol jaarrekening 2016

Het Dagelijks Bestuur van de Gemeenschappelijke Regeling Belastingsamenwerking West-Brabant;

Farid Chikar / juni 2017

INHOUD. Alleen voor identificatiedoeleinden RSM Nederland Risk Advisory Services B.V. 26 april 2018 w.g. M. Hommes RE

Bijlage D Raads- en statenvoorstel 1 en besluit GR RUD LN

IT Auditor en ENSIA. NOREA-werkgroep ENSIA (vice voorzitter) Drs. M.J.G. Mennen RA RE CRISC CISA. 31 oktober 2018

Reactie college op onderzoek Jaarstukken 2017 Rekenkamercommissie

Controleprotocol jaarrekening gemeente Heerenveen

College van Burgemeester en wethouders gemeente Tynaarlo

Voorstel Informatiebeveiliging beleid Twente

Generieke I Toets & Advies

Veilig gebruik van suwinet. Mariska ten Heuw Wethouder Sociale Zaken

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Doorontwikkeling in samenhang van de geo-basisregistraties. Eerste stappen naar een nationale geo-informatie-infrastructuur.

Rechtmatigheidsverantwoording

FS FORUM STANDAARDISATIE 19 oktober 2016 Agendapunt 4. Open standaarden, adoptie Stuknummer 4. Oplegnotitie adoptie

B&W Vergadering. 1. kennisgenomen van de (geannoteerde) agenda voor de Algemene Ledenvergadering van de VNG op 14 juni 2017;

illinium i ui /12/2013

Controleprotocol voor de accountantscontrole op de jaarstukken 2015 van de gemeente Purmerend

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. Douwe & Surfibo

Ministerie van BZK Kenmerk Uw kenmerk

GEMEENTE LOSSER. Vergadering Burgemeester en Wethouders Besluitenlijst week 51.O ( )

RAPPORT AD/2005/ Inzake de negende voortgangsrapportage Structuur Uitvoering Werk en Inkomen. Auditdienst

Raadsvergadering. Onderwerp Gemeenschappelijke Regeling Regionale Dienst Werk en Inkomen (GR RDWI)

Tweede Kamer der Staten-Generaal

AGENDAPUNT voor burgemeester en wethouders

Samenwerkingsverbanden en de GDI

Transcriptie:

Stuurgroep Verantwoordingsstelsel ENSIA Afschrift aan Voor u ligt de notitie met het onderwerp hoe het verantwoordingsproces in te richten in het kader van de nieuwe ENSIA-werkwijze. In het kader van het project ENSIA wordt een verantwoordingsproces ingericht. Er wordt nu niet meer op verschillende momenten afzonderlijk verantwoording afgelegd ten behoeve van de informatiestelsels BRP, PUN, DigiD, Suwinet, BAG en BGT, maar op 1 moment. Er is een zelfevaluatievragenlijst opgesteld gebaseerd op de Baseline Informatieveiligheid Gemeenten (BIG). Op een aantal onderdelen zijn verdiepende vragen in deze vragenlijst opgenomen om aan wettelijke kaders/aansluitvoorwaarden van bij de ENSIA aangesloten informatiestelsels te voldoen. Uitgangspunten voor het verantwoordingsstelsel 1. Het verantwoordingsstelsel is erop gericht om horizontale en verticale verantwoording af te leggen over informatieveiligheidsaspecten zoals deze verwoord zijn in de BIG en de normensets van BRP, PUN, DigiD, SuwiNet, BAG en BGT. 2. De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) is hét gemeentelijk normenkader voor informatieveiligheid 3. Het horizontale verantwoordingsproces vormt de basis voor het verticale verantwoordingsproces. 4. Bij het afleggen van verantwoording wordt het principe van single information single audit toegepast: alle informatie die noodzakelijk is voor verticale verantwoording is ook onderdeel van het horizontale verantwoordingsproces (daarom is op maatregelniveau de BIG op een aantal punten verdiept met aanvullende vragen over BRP, PUN, DigiD en SuwiNet). 5. De bevoegdheden en verantwoordelijkheden van de ministers zoals die er nu zijn op het gebied van informatieveiligheid worden niet aangetast. 6. Het toezicht op het naleven van aansluitvoorwaarden/wettelijke eisen zijn op het niveau die verticale toezichthouders nodig achten om hun stelselverantwoordelijkheid te kunnen nemen. Pagina 1 van 11

7. Onderdeel van het horizontale verantwoordingsproces zijn: het invullen een zelfevaluatievragenlijst, een In Control Verklaring (ICV), een IT- audit en opname van het onderwerp informatieveiligheid in een jaarrapportage 1 van de gemeente. 8. In het horizontale verantwoordingsproces wordt aangesloten bij de P&Ccyclus van gemeenten. 9. Ook gemeenten die in onderdeel uitmaken van samenwerkingsverbanden blijven individueel verantwoordelijk, het zijn dus individuele gemeenten die verantwoording afleggen over informatieveiligheid. 10. Voor niet-informatieveiligheidsapecten van de BRP, PUN, BAG en BGT (m.a.w. zaken die niet door de BIG vragenlijst worden afgedekt) vindt de uitvraag volgens deze cyclus plaats als de BIG vragenlijst, waar mogelijk (in de beperkingen van tijd en capaciteit van dit project) worden ook taal, tooling en afspraken rond het verantwoordingstelsel geharmoniseerd (zie ook paragraaf verantwoordingsproces Vragen aan de stuurgroep: Eerder is gesproken over de uitvraag op hetzelfde moment. Het is echter meer gepast om te spreken over eenzelfde cyclus aangezien het verantwoordingsproces een aantal ijkmomenten kent. Bent u heeft eens met deze herformulering? Bent u het eens met de overige uitgangspunten? Verantwoordingsproces De stappen van de nieuwe ENSIA werkwijze is als volgt beschreven 2 : - Bepalen van de scope: welke informatiesystemen/processen en thema s prioriteit hebben. Dit heeft betrekking op over welke processen de zelfevaluatie gehouden wordt en waarover vervolgens een ICV wordt afgegeven en het heeft betrekking op de inhoud van de IT-audit. - Beschikbaar stellen van de zelfevaluatievragenlijst. - Verklaring van getrouwheid: bij het opsturen van de ingevulde zelfevaluatievragenlijst leveren het College van Burgemeester en Wethouders een verklaring van getrouwheid af. - ICV: het College van Burgemeesters en Wethouders ondertekent een In Control Verklaring. Daarin geeft het College aan wat goed gaat op het gebied van informatieveiligheid en wat nog niet. Of zaken als goed kunnen worden gekwalificeerd volgt uit de antwoorden op de vragen uit de zelfevaluatievragenlijst. Door middel van de zelfevaluatievragenlast kan worden nagegaan of aan normen wordt voldaan. Daar waar zaken nog niet op orde zijn geeft het College van B&W aan welke inzet het zal plegen (inclusief personele en financiële capaciteit en tijdspad) om zaken op orde te krijgen. 1 De keuze of dit de jaarrekening of het jaarverslag moet zijn wordt nog aan de stuurgroep voorgelegd 2 Zie bijgevoegd schema Pagina 2 van 11

- IT-audit: De ICV wordt moet worden goedgekeurd door een IT auditor. - Jaarrapportage: er wordt een passage opgenomen in de jaarrekening of het jaarverslag. - Verantwoording aan Gemeenteraad: De jaarrapportage en de ICV vormt vervolgens de basis voor verantwoording aan de Gemeenteraad. - Benchmarking: Om de Gemeenteraad haar werk goed te laten doen wordt een samenvatting van de stand van zaken rond informatieveiligheid binnen de verschillende gemeenten geplaatst op waarstaatjegemeente.nl. - Database: De antwoorden van de zelfevaluatie vragenlijst, de verklaring van getrouwheid, de ICV en de passage in de jaarrapportage worden opgeslagen in een database waaruit de toezichthouders op het gebied van BRP, PUN, DigiD, Suwinet, BAG en BGT kunnen putten. Dit betekent dat de toezichtshouders rapportages kunnen genereren uit de database die zij nodig hebben vanuit hun stelselverantwoordelijkheid. Op deze wijze wordt voldaan het principe single information single audit. - Ontwikkel curve: de geaggregeerde resultaten van alle gemeenten vormen input voor aanpassingen scope, de zelfevaluatie-vragenlijst en mogelijk andere aanpassingen voor het volgende jaar. Governance Om bovenstaand verantwoordingsproces effectief te laten zijn zal dit strategisch en tactisch/operationeel moeten worden aangestuurd. Sturing op strategisch niveau De sturing op strategisch niveau bestaat uit het: - Vaststellen van de scope; - Het verwerken van de consequenties van veranderingen in eisen van stelselverantwoordelijken in het verantwoordingsstelsel en het doorvoeren van verbeteringen in het verantwoordingsstelsel; - Besluitvorming over de financiën die gemoeid zijn met activiteiten ten behoeve van het verantwoordingsstelsel van ENSIA (anders dan de kosten die individuele gemeenten zelf moeten dragen). Vraag aan stuurgroep: Bent u het eens met de beschreven sturingsactiviteiten op strategisch niveau? Strategisch Platform Voorstel is de Regieraad Interconnectiviteit van de Nationaal Commissaris Digitale Overheid (Digicommissaris) het Strategisch Platform te laten zijn die de strategische aansturing voor zijn rekening neemt. Argumenten hiervoor zijn: - De Digicommissaris is aangesteld om de realisatie, verbetering en innovatie van wat de Generieke Digitale Infrastructuur wordt genoemd Pagina 3 van 11

aan te jagen. BRP, BAG, BGT en DigiD zijn onderdeel van die GDI en ook van ENSIA. - De governance van de Digicommissaris is overheidsbreed wat goed aansluit op ENSIA karakter en doelstellingen; - Het verdient niet de voorkeur om weer een nieuw platform voor ENSIA op te tuigen - Informatieveiligheid is als thema in de Regieraad Interconnectiviteit benoemd. De samenstelling van de Regieraad Interconnectiviteit is als volgt: - Ministerie van BZK - Ministerie van EZ - Logius - Ministerie van V&J - Bureau Forum Standaardisatie - Belastingdienst - Kadaster NBV - Stichting RINIS - NCSC - Rijkswaterstaat - Provincie en Gemeenten Aandachtspunten bij de keuze om de Regieraad Interconnectiviteit als strategisch platform te laten fungeren: Borgen dat partijen die nu niet vertegenwoordigd zijn in de regieraad maar wel stakeholder in ENSIA zijn vertegenwoordigd (de VNG en de ministeries I&M en SZW). De Digicommissaris is een tijdelijk construct. Vraag aan de stuurgroep Bent u het er mee eens dat de Regieraad Interconnectiviteit de rol van Strategisch Platform op zich moeten nemen? In de bijlage treft u een concept notitie aan die als doel heeft om besproken te worden in de regieraad interconnectiviteit. Zie volgend agendapunt van deze stuurgroep vergadering. Activiteiten op tactisch/operationeel niveau De sturing op tactisch/operationeel niveau bestaat uit: - Communicatie met de gemeenten Helpdesk regiobijeenkomsten - Het beheren van de tooling Inhoudelijk beheer Technisch beheer Pagina 4 van 11

Applicatie beheer - Zelfevaluatie vragenlijst Het verwerken van de vragen - Het verzorgen van rapportages aan Toezichthouders Aan strategisch platform - Het verwerken van resultaten ten behoeve van leer- en ontwikkeldoeleinden. Analyseren van uitkomsten vragenlijsten met toezichthouders Doorontwikkelen van vragenlijst Organiseren van activiteiten die gemeenten ondersteunen in hun leerproces Vraag aan stuurgroep: Bent u het eens met de beschreven activiteiten op tactisch/operationeel niveau? Een voorstel over hoe de activiteiten op tactisch/operationeel niveau organisatorisch kunnen worden opgepakt wordt op een later moment aan de stuurgroep voorgelegd. Een overleg op afdelingshoofden niveau over dit onderwerp, die gehouden wordt op 17 mei, vormt hier input voor. Verdieping op elementen van het verantwoordingsstelsel Jaarrekening of jaarverslag In de werkgroep Verantwoordingsstelstel is discussie opgekomen of er over informatieveiligheid zou moeten gerapporteerd in het jaarverslag of de jaarrekening. Overwegingen hierbij zijn de volgende Voor Jaarverslag Dit is het voorstel zoals deze is verwoord in de VNG resolutie Dit is ook een eis uit de Suwi wet- en regelgeving. Jaarrekening Hierdoor kunnen synergievoordelen worden bereikt door het samenspel tussen IT-auditor en de accountant. De inhoud van het jaarverslag wordt niet standaard getoetst op getrouwheid door daarvoor gediplomeerde personen Er is al een wettelijke borging om informatieveiligheid op te nemen in het accountantsrapport via de wet Pagina 5 van 11

Tegen Synergievoordelen met de samenwerking met de accountant zijn minder. De inhoud van het jaarverslag wordt niet standaard getoetst op getrouwheid door daarvoor gediplomeerde personen De wet op de computercriminaliteit dwingt tot opname in de jaarrekening. computercriminaliteit. De accountant is verplicht in het kader van de controle van de jaarrekening bevindingen over de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking te melden. Een ander mogelijk haakje is te creëren via de commissie Besluit begroting en verantwoording (BBV) In de VNG resolutie over informatieveiligheid is opgenomen dat in het jaarverslag over informatieveiligheid wordt gerapporteerd Dit is niet conform Suwi regelgeving. Idealiter zou informatieveiligheid worden opgenomen in een bedrijfsvoeringsverslag van gemeenten. Helaas is er nog niet een dergelijk document. Daarom wordt op basis van bovenstaande overwegingen aan de stuurgroep geadviseerd om informatieveiligheid op te nemen in de jaarrekening (en dus niet in het jaarverslag) Vragen aan de stuurgroep Bent u het eens met bovengenoemd advies? Bent u het er mee eens om er bij de commissie Besluit begroting en verantwoording (BBV) op aan te dringen om informatieveiligheid als verplicht onderdeel in de jaarrekening op te nemen. Timing van de verantwoordingssystematiek van ENSIA In de werkgroep Verantwoordingsstelstel is discussie opgekomen of ENSIA het ritme zou moeten hanteren die gebaseerd is op het ritme die nu ook wordt gevolgd door RvIG (tbv de BRP en de PUN) of dat beter aangesloten kan worden Pagina 6 van 11

bij het ritme die volgt op aan het aansluiten bij moment waarop gemeenten zowel hun jaarverslag als hun jaarrekening moeten overleggen aan het ministerie van BZK. Voor beide scenario s geldt dat enige fasering zal moeten worden aangebracht van wat, wanneer gebeurd. Dit maakt het mogelijk om gericht gemeenten te ondersteunen en van elkaar leren mogelijk te maken (men zit immers allemaal in dezelfde fase op enige moment) en te voorkomen dat zaken te lang blijven liggen en gemeenten (en stelselverantwoordelijken) in problemen komen. Overwegingen hierbij zijn de volgende Voor Tegen Aansluiten bij ritme tbv de BRP en de PUN Afwijken van dit ritme vereist aanpassingen in de Wet BRP en de PUN. Aanpassingen vergen een grote omslag bij RvIG en andere actoren die betrokken zijn het leggen van verantwoording over de BRP en de PUN Sluit minder goed aan bij de P&C cyclus van gemeenten. In de VNG resolutie is aangedrongen om hierbij aan de sluiten. Efficiencyslag in de controletoren worden gemist. Aansluiten bij de ritme van het overleggen van jaarstukken aan het ministerie van BZK Sluit het best aan bij de P&C cyclus van gemeenten. In de VNG resolutie is aangedrongen om hierbij aan de sluiten. Efficiencyslag in de controletoren door fusering van de nu aparte audits. Bestuurlijk voordeel doordat het gewicht als het ware toeneemt. Dus meer aandacht van het college hiervoor. De AMvB rond de BRP en PUN zal dan op dit punt moeten worden aangepast Aanpassingen vergen een grote omslag bij RvIG en andere actoren die betrokken zijn het leggen van verantwoording over de BRP en de PUN Pagina 7 van 11

Als wordt aangesloten bij de ritme van het overleggen van jaarstukken aan het ministerie van BZK dat ziet het tijdpad er schematisch er als volgt. Wordt er bij de cyclus van de jaarstukken aangesloten dan betekent dat wat voor de timing. Gemeente moeten jaarstukken uiterlijk 15/7 bij het ministerie van BZK leveren tbv uitkeringen uit het gemeentefonds. De zelfevalatievragenlijst moet maximaal 3 maanden daarvoor zijn ingevuld (anders zijn gegevens te oud). Zie ook bovenstaand schema. Het advies aan de stuurgroep is aansluiting bij P&C van de jaarrekening. NB Vraag aan de stuurgroep Bent u het eens met bovengenoemd advies? Eisen van verticale toezichtshouders Uitgangspunt 6 van het verantwoordingsstelsel vereist dat het toezicht op een voldoende kwalitatief niveau is om als verticale toezichthouder systeemverantwoordelijkheid te kunnen houden. De eisen die de verschillende toezichthouders op dit moment stellen zijn verwoord in bijgevoegde notitie van Slijkhuis c.s. Pagina 8 van 11

Vraag aan de stuurgroep Bent u akkoord met de inhoud van de notitie over de informatiebehoefte van de verticale toezichtshouders? Welke informatiesystemen/processen worden getoetst door de zelfevaluatievragenlijst, ICV en IT-audit? Een uitdaging van het ENSIA project is om te zorgen dat gemeentelijke bestuurders gesterkt worden in hun verantwoordelijkheid voor informatieveiligheid en ook dat verticale toezichtshouders voldoende zekerheid vinden om hun stelselverantwoordelijkhied te nemen. Vraag is hoe de huidige waarborgen daarvoor kunnen worden omslagen naar proceswaarborgen in het ENSIA proces. Dit begint bij het bepalen op welke processen de zelfevaluatievragenlijst, de ICV en de IT audit van toepassing is. Voorstel is om als perspectief bij het invullen van de de zelfevaluatievragenlijst tenminste de BRP, PUN, DigiD, SuwiNet, BAG en BGT te hanteren en dat gemeenten deze scope naar eigen behoefte mogen uitbreiden (waarbij ze deze scope ook expliciet moeten maken). Bij sommige gemeenten zijn er wel 1500 applicaties, het is ondoenlijk om voor al deze systemen de BIG van toepassing te laten verklaren, dit zou een te grote administratieve last betekenen en bovendien geen recht doen aan de risico inschatting die bestuurders in gemeenten zelf willen maken. Vraag aan de stuurgroep Bent u akkoord met het tenminste hanteren van de BRP, PUN, DigiD, SuwiNEt, BAG en BGT als scope vbij het invullen van de zelfevaluatievragenlijst en dat gemeentelijke bestuurders die naar eigen behoefte kunnen uitbreiden zolang ze dat maar expliciet maken. Elementen in de ICV en IT audit De IT audit is een belangrijke proceseis om de kwaliteit van het toezicht te borgen. Het brengt echter ook extra kosten met zich mee. Reden te meer om in wijsheid dit instrument te gebruiken. Bij toezichtzichthouders zal moeten worden nagegaan of en welke thema s (zoeklichten) wenselijk vinden om in de IT audit en het ICV op te nemen. Het lijkt daarbij aantrekkelijk om te werken met een meerjarenprogramma voor thema s /zoeklichten. Voorstel aan de stuurgroep is om in een volgende stuurgroep vergadering een voorstel hierover te bespreken. Vraag aan de stuurgroep: Bent u ermee akkoord dat in en volgende stuurgroep vergadering een voorstel wordt ingebracht over inhoudelijke elementen die in de ICV en IT audit zouden kunnen worden opgenomen. Pagina 9 van 11

Diepgang van de IT-audit Qua diepgang van de IT-audit kan een onderscheid worden gemaakt tussen: - De beschreven beheersmaatregelen (opzet) - De werking van de beheersmaatregelen op 1 moment (bestaan) - De werking van de beheersmaatregelen in een periode (werking) Een diepgang van opzet en bestaan kan een beperkt aantal jaren worden toegepast. Na een aantal jaren moet een verdieping naar werking plaatsvinden. Voorstel: in de eerste 2 jaren onderzoek naar opzet en bestaan beheersmaatregelen. Vraag aan de stuurgroep: Bent u ermee akkoord dat de IT audit ingaat op opzet en bestaan? Eisen aan de IT-auditor Op dit moment wordt er bij SuwiNet en DigiD de eist gesteld dat er RE s de auditrapporten opstellen. Er lijkt geen reden te zijn om binnen ENSIA hier verandering in te brengen Vraag aan de stuurgroep: Bent u ermee akkoord dat de IT auditor in het ENSIA verantwoordingsstelsel een RE moet zijn? Financiën Er zal een kostenraming moeten worden gemaakt voor de verwachten kosten voor ENSIA in 2017 en daarna. Aangezien 2017 nog overgangsjaar is zullen in dit jaar meer kosten moeten worden gemaakt voor ondersteuning richting gemeenten. Voorstel voor uitgangspunten qua financiering van ENSIA Kosten die gemaakt moeten worden voor IT-audits en de inzet van personeel en andere investeringen tbv informatieveiligheid binnen gemeenten komen voor rekening van de individuele gemeenten. Kosten die gemaakt worden voor coördinerende activiteiten komen zowel voor rekening van de rijksoverheid als de VNG. Immers zowel gemeenten als departementen profiteren van deze coördinerende activiteiten. Er zal hiervoor een verdeelsleutel moeten worden ontworpen. Voorgesteld wordt om een verdeelsleutel te ontwerpen die prikkels in zich draagt om de verantwoordingslast waartoe verticale toezichthouders gemeenten toe dwingen zo klein mogelijk te laten zijn. Eisen die aan de IT- Pagina 10 van 11

audit worden gesteld zijn bijzonder kostenverhogend voor gemeenten. Het is daarom billijk dat verticale toezichthouders die eisen om bepaalde elementen in de IT-audit om te nemen worden verzocht om een groter gedeelte van kosten voor de coördinerende activiteiten van ENSIA te dragen. In mindere mate werken specifieke vragen in de zelfevaluatievragenlijst ook kostenverhogend voor gemeenten. Daarom zal in de verdeelsleutel ook verticale toezichthouders met weinig specifieke vragen ook kunnen worden beloond met een lagere bijdragen aan de kosten voor coördinerende activiteiten. Departementen die niet bijdragen aan de ontwikkelkosten van de ENSIA systematiek betalen een instap bijdrage wanneer ze van het ENSIA systeem gebruik willen maken. Vraag aan de stuurgroep: Bent u ermee akkoord dat gebaseerd op de bovenstaande redeneerlijn een voorstel wordt gemaakt voor de verdeelsleutel voor de kosten die gemoeid zijn met de coördinerende activiteiten voor ENSIA voor een volgende stuurgroep vergadering? Vervolg actie In samenspel met RvIG, Logius en KING wordt een inschatting gemaakt van de kostenraming voor ENSIA in 2017 en volgende. Logius en RvIG kunnen bijdragen aan deze kostenraming door hun ervaringen in te brengen t.a.v. toezicht over respectievelijk DigiD en BRP en PUN. Daarnaast heeft KING op andere domeinen ervaring opgedaan. Vragen aan de stuurgroep: Bent u ermee akkoord met deze vervolg stap? Wil de stuurgroepleden van de VNG en BZK helpen zorgen dat de RvIG, Logius en KING ruimte kunnen maken om bij te dragen aan deze vervolgactie? Pagina 11 van 11

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback