Het einde van het jaar is in zicht. Dat betekent voor de ENSIA de drukste periode van het jaar. Uitvoerders en coördinatoren van de ENSIA herkennen dit waarschijnlijk. Wat is ENSIA precies? Waarom is het belangrijk? En wat moeten gemeenten precies regelen? We vroegen het Daadkrachter Chantal van Dun, die werkt als ENSIA-coördinator voor Gemeente Papendrecht. Ze maakte ondanks de drukte tijd om er uitgebreid over te vertellen.
Wat is ENSIA?
ENSIA is een verantwoordingsstelsel waarin gemeenten verantwoording afleggen over hoe zij omgaan met de persoonsgegevens die zij in hun bezit hebben. Dat wordt gedaan in de vorm van een zelfevaluatie: Gemeenten vullen vragenlijsten in en moeten daarbij bewijsstukken aanleveren. Dat moet ieder jaar op 31 december. De vragenlijsten zijn gebaseerd op de BIO (baseline informatiebeveiliging overheid). Daarin staan allemaal normen waaraan je als overheid idealiter zou moeten voldoen. En dat zijn zó veel dingen! Er staat bijvoorbeeld in dat je een ISMS systeem moet hebben, een manier om veilig te kunnen mailen, ga zo maar door. Aan zulke systemen gaat vaak een heel implementatietraject vooraf. Hiervoor moeten bijvoorbeeld ook begrotingen en aanbestedingen gemaakt en gestart worden.
Daarnaast moet een gemeente verantwoording afleggen over een tweetal koppelingen, Dit zijn Suwinet en Digi D, applicaties die extern worden beheerd. Deze aansluitingen moeten op orde zijn. Als dit niet het geval is, wordt zo’n koppeling opgeheven en vervalt een deel van je dienstverlening. Dat moet je als gemeente natuurlijk altijd voorkomen.
Wat doe je als ENSIA-coördinator?
Ik ben vooral verantwoordelijk voor het behalen van de deadlines. Ik zorg dat iedereen op tijd is met het invullen van de vragenlijsten en aanleveren van bewijsstukken. Daarbij let ik er natuurlijk op dat het goed gebeurt! We zijn hier trouwens al mee bezig sinds de zomer, toen werden de vragenlijsten beschikbaar gesteld. Dan zoek je vast een team bij elkaar, en wijs je de juiste taken toe. In september organiseerden we kick-off presentaties. Sindsdien voer ik veel voortgangsgesprekken. Ik regel autorisaties, maakte een personenoverzicht waarin staat wie waarvoor verantwoordelijk is. Ik zit ook veel mensen achter de broek aan in de vorm van mailtjes en telefoontjes. Als alle vragenlijsten zijn ingevuld maak ik een collegeverklaring. Daarin geef je kort de resultaten weer.
“Het is een klus die niet altijd heel erg leeft onder gemeenten. Mensen zijn er niet altijd evenveel mee bezig.”
Waarom is ENSIA belangrijk?
Naast dat dit een verplichting is, is het natuurlijk ook heel belangrijk voor een gemeente om haar dienstverlening goed op orde te hebben. Er wordt steeds meer gebruik gemaakt van registraties in systemen. Die moeten gewoon goed beveiligd zijn. Wanneer dit niet het geval is, moet je daar je vraagtekens bij zetten. Zeker omdat we vaker en vaker te maken krijgen met cyber crime. Het hoofddoel is om je inwoners een goede en veilige dienstverlening te kunnen verlenen.
Hoe kan Daadkracht ondersteunen?
Er zijn bij Daadkracht veel mensen die ook ervaring hebben met, informatiebeveiliging en privacy, waaronderde ENSIA. We hebben een driewekelijkse ENSIA-werkgroep waar we casussen en vraagstukken bespreken. Samen hebben we dus heel veel kennis en ervaring. Ik kan me goed voorstellen dat het zonder die kennis en ervaring een hele lastige klus is.
“Binnen Daadkracht is er veel kennis en expertise over ENSIA. Hierdoor kan ik goed aan gemeenten uitleggen waarom het zo belangrijk is om de ENSIA te doen.”