Rapport IWI over beveiliging Suwinet door gemeenten naar Tweede Kamer
woensdag 17 juni 2009
Op 4 juni jl. heeft de Staatssecretaris van SZW het IWI-rapport
"privacy en beveiliging in de Suwi-keten" naar de Tweede Kamer
gezonden. Het rapport is te verkrijgen via onder meer de site van
IWI (www.iwiweb.nl).
Uit het rapport blijkt dat slechts 78% van de gemeenten over
een, wettelijk verplicht, beveiligingsplan beschikt. Hoewel dit een
stijging is ten opzichte van het laatste onderzoek, is dit nog
altijd 22% te weinig. Daarbij is de kwaliteit van de plannen, de
invoering in de organisatie en de bewaking vaak onvoldoende. De
Staatssecretaris is voornemens die gemeenten die nog niet over een
plan beschikken direct aan te schrijven. In de aanbiedingsbrief bij
het rapport aan de Tweede Kamer schrijft zij: "Ik zal daarom de
colleges van B&W van de ingebreke zijnde gemeenten als zodanig
aanschrijven. In die brief zal ik het nationale belang van een goed
(werkend) beveiligingsplan onder de aandacht brengen en het college
een termijn van vier maanden gunnen waarbinnen een door de
gemeenteraad geaccordeerd beveiligingsplan bij mij moet zijn
ingediend. Daarbij zal ik opmerken dat, indien blijkt dat een
gemeente na verloop van de door mij gestelde termijn nog steeds in
gebreke is, ik over zal gaan tot aanwending van de
aanwijzingsbevoegdheid op grond van artikel 10-3 wet Suwi. Daarbij
kan gedacht worden aan inzet van externen om de beveiliging goed in
te regelen bij de gemeente op kosten van die betreffende
gemeente."
Door de jaren heen heeft het CP-ICT Inwonerszaken, in
samenwerking met het BKWI, aan gemeenten vele
ondersteuningsinstrumenten met betrekking tot privacy en
beveiliging aangeboden, die nog steeds bruikbaar zijn. Verder werkt
het CP aan een uitbreiding van het dienstenpakket op dit punt. Op
de site van het BKWI (klik hier:
http://www.bkwi.nl/suwinet/privacy_en_beveiliging/downloads/ )
vindt u allerlei informatie over het opstellen van een
beveiligingsplan, de beveiliging van persoonsgegevens, de
ketenafspraken in dit verband en de wettelijke eisen waaraan u moet
voldoen. Het opstellen van een informatiebeveiligingsplan is
namelijk nog maar een eerste stap op weg naar een goede
beveiliging. Daarvoor is noodzakelijk dat een gemeente een
integrale aanpak ontwikkelt en implementeert op basis van een
risico-analyse van bedrijfsprocessen gericht op
bedrijfscontinuïteit, betrouwbaarheid, imago bescherming en
tegengaan van 'diefstal/lekken'.
In het kader van de tweede fase van het DKD-programma is het CP
nu bezig om samen met twee gemeenten een dergelijke aanpak te
ontwikkelen en te vertalen in ondersteuningsinstrumenten die via
operatiedkd2.nl en de regiocoaches zullen worden verspreid. Kern
van deze aanpak is dat het management samen met de specialisten het
beveiligingsniveau bepaalt (integraal en niet meer alleen
informatiebeveiliging). Vanuit dat niveau gaan de specialisten
uitvoeringsplannen opstellen, waarin duidelijk wordt welke
investeringen in geld, middelen en menskracht nodig zijn. Het
management kan zo een goede afweging maken: wanneer doen we wat,
wat heeft prioriteit, hoeveel geld heb ik beschikbaar en hoeveel
heb ik over voor beveiliging.
Zo komt er een omslag 'van onbewust risico lopen naar bewust
risico nemen'. De aanpak wordt gecombineerd met een
bewustwordingscampagne richting de medewerkers om hen te wijzen op
het belang van zorgvuldig en integer gedrag.Binnenkort komt over
deze aanpak meer informatie via de CP-nieuwsbrief en www.operatiedkd2.nl.