Gemeente Tytsjerksteradiel en het ICT-Beveiligingsassessment DigiD

Interview Bert Homma, adviseur informatiebeveiliging gemeente Tytsjerksteradiel.

In het Noorden van het land is gemeente Tytsjerksteradiel gestart met het jaarlijks verplichte ICT-Beveiligingsassessment DigiD. De omliggende  gemeenten, Achtkarspelen, Dantumadiel, Dongeradeel en Kollumerland  zijn inmiddels net zo hard aan de slag. En het mooie is, alle gemeenten maken gebruik van dezelfde websiteleverancier en hebben besloten waar mogelijk samen te gaan werken voor het assessment.  Bert Homma, adviseur informatiebeveiliging  is bij de gemeente Tytsjerksteradiel één van de betrokkenen bij die keuze. Onze nieuwsgierigheid was gelijk aangewakkerd; want hoe zit dat eigenlijk? We gingen met Bert in gesprek en kregen al snel antwoord hoe het spreekwoordelijk gezegde ‘het geheel is meer dan de som der delen’ in praktijk heel slim uit kan werken. “Meer wordt dan simpelweg minder!”, beaamt Bert enthousiast. “Zeker als het gaat om het DigiD-assessment”. Onze nieuwsgierigheid wordt steeds groter…

De auditlast is groot

Het assessment bestaat uit zes stappen die door elke gemeente doorlopen dienen te worden om het assessment succesvol af te ronden. Alle gemeenten dienen uiterlijk 31 december hun assessmentrapportage te hebben ingeleverd bij Logius. Belangrijk bij het assessment is ook de samenwerking met marktpartijen, zoals de keuze van een auditor.

 “Vanuit mijn functie adviseur Informatiebeveiliging  bij de gemeente Tytsjerksteradiel ben ik vanaf het begin van het assessmenttraject al nauw betrokken bij de gang van zaken. Dat begon al bij het stellen van vragen over nut en noodzaak van allerhande verschillende gemeentelijke audits, die ongeveer hetzelfde gebied afdekken. En natuurlijk de vraag die ook veel andere gemeenten zich hierover stellen: ‘waarom al die aparte audits en niet één brede gemeentelijke audit?’. Ook heb ik vanaf het begin namens mijn gemeente de voorlichtingsbijeenkomsten van o.a. de accountants gevolgd over de verschillende audits”.

Het geheel blijkt juist ‘minder’ dan de som der delen

“Vanuit de (toen nog voorgenomen) samenwerking met Achtkarspelen en de al bestaande onderlinge contacten kwam al snel het idee om meer samen te doen. Eén van de eerste stappen was bijvoorbeeld samen het gesprek aan te gaan met KING over het hele assessmentproces. Leuk neveneffect is dat dit gesprek met KING ervoor heeft gezorgd dat we als gemeenten ook nog een bijdrage hebben kunnen leveren aan het Ondersteuningsaanbod vanuit KING t.b.v. het assessment.

Met mijn evenknie van de gemeente Achtkarspelen, Tjerk de Ridder, adviseur ICT, sprak ik intensief over de uitvoering van het assessment en kwamen uiteraard ook de kosten voor een auditor aan de orde. Zo is het idee ontstaan om te kijken of we als twee gemeenten samen wellicht goedkoper uit zijn door het gezamenlijk verstrekken van de opdracht aan de auditor. Ik ben nu zelfs voor 50% gedetacheerd bij de gemeente Achtkarspelen om gezamenlijk zaken op te pakken, onder meer voor het assessment”.

Samenwerking leidt tot schaalvoordelen

“In het overleg met de auditor zijn ook hele specifieke zaken, zoals de schaalvoordelen in de vorm van gezamenlijke voorlichting, betere planning en minder reiskosten aan de orde geweest. Hierbij bleek al snel dat een aantal activiteiten niet beslist op locatie hoeft plaats te vinden. En dus in geval van meer gemeenten, fors minder werk oplevert. Controleren of een zogenaamde Third Party Mededeling (TPM) de auditeisen afdekt, kost uiteraard tijd. Zeker de eerste keer. Controleren van een volgende TPM, van dezelfde SaaS-leverancier, met alleen andere gemeentegegevens, kan natuurlijk een heel stuk sneller. Zo zijn er verschillende activiteiten te combineren wanneer je met meer gemeenten samenwerkt. Hoe groter de combinatiemogelijkheden, des te groter is het voordeel voor de individuele gemeente. In een tijd dat het budget bij elke gemeente onder druk staat, is dit zeker een belangrijk argument.”

Een goede buur is nog steeds beter dan een verre vriend

“Gelet op de relatie met de eerder genoemde buurgemeenten was het een logische stap om eens te vragen aan een auditor  wat de audit in geval van vijf gemeenten zou gaan kosten. Op dit moment hebben alle gemeenten aangegeven, dat ze zich in het aanbod van de auditor kunnen vinden. Op korte termijn wordt een vervolgafspraak gemaakt om verder te praten over de planning van dit traject. Kortom, ‘so far so good’.”

Ook starten met het ICT-Beveiligingsassessment DigiD?

Wilt u ook starten en heeft u vragen over het ICT-Beveiligingsassessment DigiD? Neem dan contact op met de Informatiebeveiligingsdienst voor gemeenten via info@IBDgemeenten.nl of 070 373 8011. Of volg Bert en de gemeente Tytsjerksteradiel op onze community Informatiebeveiliging.