Inmiddels is de eerste fase van de ENSIA bij veel gemeenten afgerond. Hoe is het verlopen? En wat zijn belangrijke lessen die gemeenten vooruitkijkend kunnen meenemen naar volgend jaar? We praten erover met Talent Thirza, die dit jaar voor het eerst aan de slag ging als ENSIA-coördinator bij gemeente Boekel. Wil je meer weten over wat de ENSIA inhoudt? Lees dan hier het artikel met Chantal, die ook actief is als ENSIA-coördinator.
Wat is je ervaring met de ENSIA dit jaar?
De ENSIA zet informatiebeveiliging jaarlijks op de agenda. Dat is zeer waardevol. Je wil als organisatie je informatieveiligheid namelijk continu blijven door ontwikkelen. Met de ENSIA breng je in kaart hoe je informatiebeveiliging ervoor staat. Op basis hiervan bepaal je de stappen die je kunt zetten om je informatiebeveiliging verder te verbeteren. Het is daarbij goed om ook expliciet aandacht te besteden aan de zachte, menselijke kant van informatiebeveiliging. Een groot deel van ontwikkeling in informatiebeveiliging ligt bij gedrag en menselijke processen.
“Naast dat de ENSIA een verplichting is, wil je als overheid natuurlijk gewoon goede digitale dienstverlening bieden aan inwoners en bedrijven.”
Wat is het belang van de ENSIA?
Dat is heel simpel. Naast dat de ENSIA een verplichting is, wil je als overheid natuurlijk gewoon goede digitale dienstverlening bieden aan je burgers. En heel belangrijk: hun gegevens veilig houden. Een gemeente moet kunnen verantwoorden waar ze mee bezig is. Ze moet daar ook transparant over zijn.
Wat zijn uitdagingen binnen de ENSIA?
Informatiebeveiliging zit vaak gecompliceerd in elkaar. Om de juiste diensten en producten te leveren, zet de gemeente verschillende vakapplicaties in ter ondersteuning van werkprocessen en informatieverstrekking. Het applicatielandschap als geheel, en de specifieke applicaties afzonderlijk, dienen allemaal veilig te zijn. Dat is een heel groot en diffuus systeem. Die omvang en complexiteit van informatiebeveiliging kan een drempel zijn om aan de slag te gaan met de ENSIA. Daarnaast moet je continu alert blijven op je informatiebeveiliging. Je kunt de ENSIA zien als een jaarlijks evaluatiemoment, het is geen eindpunt.
Hoe helpt Daadkracht?
Door allereerst simpelweg te zorgen dat het gebeurt. Ik plan heel veel gesprekken in met mensen om samen de vragenlijsten in te vullen. We kunnen kritische vragen stellen en een ander perspectief op de vragen bieden. Er is daarnaast gewoon heel veel kennis aanwezig bij Daadkracht. Zo is er een team van ENSIA-coördinatoren waarmee we regelmatig kennis delen en sparren om elkaar verder te helpen. Ook doe ik aan de Daadkracht Academie alle inhoudelijke kennis op over bijvoorbeeld de basisregistraties. Dit zorgde ervoor dat ik, zelfs toen ik net begon, al grip had op wat er van mij gevraagd werd.
“Je kunt de ENSIA zien als een jaarlijks evaluatiemoment, het is geen eindpunt.”
Tot slot: wat is jouw advies voor andere gemeenten vanuit jouw eerste ervaring?
Ik denk dat mijn voornaamste advies zou zijn: beperk je acties niet alleen tot het ENSIA moment. Vraag jezelf continu ‘Is onze beveiliging nog actueel? Zorg dat je dit hele beveiligings- en verantwoordingsvraagstuk structureel inbedt in je organisatie en maak daar werk van. Dan is de ENSIA geen startpunt maar een onderdeel van een doorlopend proces. Je hoeft dan alleen op te schrijven wat je eigenlijk al weet.