Privacy en Cookies

Voor een volledige werking plaatst deze website cookies op uw computer. Daarnaast worden cookies geplaatst voor het bijhouden van bezoekersgedrag binnen Google Analytics. Deze informatie helpt ons bij het verbeteren van onze website. De cookies bevatten anonieme informatie en blijven maximaal 2 jaar in uw browser aanwezig.

Naar de inhoud U bevindt zich hier:

Informatiebeleid en -veiligheid

Binnen het publieke domein is het belang van informatieveiligheid aanzienlijk geïntensiveerd. Naar aanleiding van incidenten als DigiNotar en Lektober heeft een omwenteling plaatsgevonden in het denken over informatieveiligheid. ICT is niet meer weg te denken uit de maatschappij en het reilen en zeilen in het openbaar bestuur is ervan afhankelijk geworden. De publieke dienstverlening leunt op ICT en de steeds verdergaande technologische mogelijkheden. Met de ambitie om de dienstverlening door overheden te verbeteren, is het zaak dat het openbaar bestuur investeert in informatieveiligheid teneinde een kwalitatief hoogwaardige dienstverlening aan te bieden. Het borgen van de beschikbaarheid en de continuïteit van dienstverlening, en de bescherming van de (persoons)gegevens hebben daarbij prioriteit. Voorwaarde is dat er geen sprake mag zijn van een acuut, redelijkerwijs te voorkomen beveiligingsrisico op de informatiehuishouding van de organisatie waardoor de veiligheid van mens, informatie en organisatie op enigerlei wijze in het geding kan komen.

Uitgelicht

Over dit thema

Het DigiNotarincident zette informatieveiligheid groots op de kaart. Door een hack bij het bedrijf DigiNotar kwamen er onechte beveiligingscertificaten in omloop. De overheid gebruikte ook certificaten van DigiNotar. Overheidswebsites moesten daardoor direct naar vervangende veiligheidscertificaten overstappen om de veiligheid en beschikbaarheid te garanderen.

Lektober, de publiciteitsactie van de website Webwereld, waarbij elke dag een lek in een gemeentelijke website werd gepubliceerd, bracht aan het licht dat de informatieveiligheid bij gemeenten niet op orde was.

Naar aanleiding van het DigiNotar-incident bracht de Onderzoeksraad voor Veiligheid (OVV) een rapport uit met de titel “Het DigiNotarincident: waarom digitale veiligheid de bestuurstafel te weinig bereikt”. In het rapport wordt een aantal aanbevelingen gedaan om informatieveiligheid bij de overheid beter  te borgen.

Allereerst wordt ingezet op het verbeteren van kennis en inzicht bij bestuurders en ambtelijk opdrachtgevers op de risico’s die de digitale veiligheid bedreigen. Het risicobewustzijn en de sturing op informatieveiligheid ligt vooral bij de ICT-afdelingen en bereikt de bestuurstafel onvoldoende. Bestuurders en topmanagers hebben nog onvoldoende kennis en inzicht in de risico’s waardoor er in gevallen onvoldoende preventieve maatregelen worden getroffen.

Ten tweede wordt ingezet op de bestuurlijk-organisatorische borging van informatieveiligheid in overheidsorganisaties. Met name bijorganisatieonderdelen en beleidsvelden waar gegevensverwerking niet het primaire proces beslaat, is er onvoldoende bestuurlijke en operationele betrokkenheid met informatieveiligheid. Alleen in het geval van incidenten komt het onderwerp hoog op de agenda, om daar vervolgens langzaam weer van te verdwijnen. Informatieveiligheid dient evenals financieel beheer organisatiebreed structureel op de agenda te staan en opgenomen te worden in de planning & control cyclus. Het structureel verantwoording afleggen over informatieveiligheid aan de gemeenteraad, Provinciale Staten, of ander controlerend orgaan, bijvoorbeeld in een jaarlijkse ‘in control statement’ leidt tot een betere aanpak daarvan.

Een verbetering van kennis over informatieveiligheid voorkomt ook fouten bij het aanbesteden van (grote) ICT-projecten, verkeerde verwachtingen en gebrekkig opdrachtgeverschap richting ICT-leveranciers. Als opdrachtgever of aanbestedende partij kunnen de vereisten voor informatieveiligheid alleen gesteld worden indien hierover voldoende inhoudelijke kennis aanwezig is. Informatieveiligheid wordt nu te vaak overgelaten aan operationeel verantwoordelijken.

Honderd procent veiligheid bestaat zowel in het fysieke als digitale domein niet. Dit dient dan ook het uitgangspunt voor overheidsorganisaties te zijn voor het adequaat uitvoeren van risicomanagement. Er zullen naast afgedekte risico’s altijd restrisico’s bestaan. Naast schadebeperkende en herstelmaatregelen, zoals bijvoorbeeld neergelegd in calamiteitenplannen, dient ook preventie een belangrijke plaats in te nemen. Op bestuurlijk niveau dienen de onvermijdelijke risico’s van gegevensuitwisseling en gegevensverzameling afgewogen te worden tegen de baten en dienen maatregelen genomen te worden om in het geval van een inbreuk op de informatieveiligheid de gevolgen voor betrokkenen, zoals burgers en bedrijven, te beperken.

Ten slotte dient de verantwoordelijkheid voor informatieveiligheid ondanks het complexe bestuurlijke landschap duidelijk belegd te worden, zodat wordt voorkomen dat niemand zich verantwoordelijk voelt. Deze vraag is met name prangend in het geval van ketens en netwerken. Rijk, gemeenten, provincies en waterschappen werken hier nauw op samen.

Gerelateerde thema’s