Geslaagde IBD-regiobijeenkomst in Apeldoorn: ‘Zie zo: Wij hebben een CISO!’

Op de Veluwe stond de eerste IBD-regiobijeenkomst uit de reeks ‘Vijf stappen uit de BIG centraal’ van 2015 gepland. Maandag 8 juni opende gastgemeente Apeldoorn haar deuren voor geïnteresseerde collega-gemeenten. Tijdens de bijeenkomst, met als thema ‘Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO?’, zijn ruim 25 gemeentelijke collega’s door gemeente Apeldoorn ontvangen met een heerlijke lunch.

Aansluitgesprekken

Voor sommigen aanwezigen startte de bijeenkomst al voor de lunch, waar het eerste programmaonderdeel heeft plaatsgevonden; het aansluitgesprek tussen de VCIB en de IBD.

De IBD

Na de lunch zijn de deelnemers enthousiast welkom geheten door Anita van Nieuwenborg, teamleider van de IBD. Van Nieuwenborg heeft namens de IBD de huidige stand van zaken vanuit de IBD toegelicht. Onderwerpen die aan de orde kwamen waren privacy, meldplicht datalekken en afspraken tussen gemeenten en leveranciers op het vlak van informatiebeveiliging. Tenslotte heeft Van Nieuwenborg toegelicht welke acties de IBD heeft ondernomen naar aanleiding van de resultaten van de uitvraag over het producten- en diensten portfolio van de IBD. Een van deze acties zijn de regiobijeenkomsten ‘Vijf stappen uit de BIG centraal’. Hierdoor wil de IBD tegemoet komen aan de wensen van CISO’s en ACIB’s/VCIB’s om meer informatie en concrete handvatten te krijgen voor het implementeren van de BIG.

‘Zie zo: Wij hebben een CISO’

In Apeldoorn heeft Leo Westra, CISO van de DOWR-gemeenten (Deventer, Olst-Wijhe en Raalte) een presentatie gegeven met als titel ‘Zie zo: Wij hebben een CISO’. Hierin heeft hij toegelicht welke beren op de weg hij in zijn rol als CISO is tegengekomen. Eén van zijn aandachtspunten is dat de vaststelling van de CISO en zijn mandaat, op het juiste niveau in de organisatie dient plaats te vinden. Westra: “Daarnaast wordt informatiebeveiliging nog vaak gezien als een ‘ICT-feestje’. Informatiebeveiliging kost geld en daarnaast ook de nodige inspanning. Men vraagt zich in de organisatie nog wel eens af waarom men wat moet doen op het gebied van informatiebeveiliging. Argumenten die dan vaak genoemd worden zijn: ‘Open Data’, ‘Wet openbaarheid van Bestuur (WOB)’ en het feit dat ‘Iedereen toch een eed of belofte heeft afgelegd’”. De presentatie van Westra is terug te vinden op de website van de IBD.

Actief aan de slag!

Na een korte pauze zijn de deelnemers actief aan de slag gegaan met een aantal casussen. Centraal stonden de vragen ‘Hoe krijg/houd ik bestuurlijk draagvlak?’ en ‘Hoe krijg ik de noodzakelijke middelen vrij, zoals geld en capaciteit?’. Drie groepen hebben in totaal drie casussen behandeld. Youri Lammerts van Bueren, CISO bij de gemeenten Culemborg, Geldermalsen en Tiel, over de workshops: “Iedere gemeente kijkt vanuit haar eigen organisatie naar de problemen zoals geschetst in de casussen. Je krijgt hierdoor oplossingen aangedragen uit andere gemeenten die je ook in je eigen gemeente kan toepassen. Het is bijzonder nuttig om dit met elkaar te delen.”

Benieuwd wanneer we bij uw gemeente in de buurt zijn?

Naast deze bijeenkomst organiseert de IBD nog een aantal regiobijeenkomsten dit jaar waarbij één van vijf stappen uit de BIG centraal staat. Op dit moment zijn er 3 bijeenkomsten gepland. Lees hier meer over deze regiobijeenkomsten.

Vragen?

Heeft u vragen over de regiobijeenkomsten neem dan contact op via info@ibdgemeenten.nl of via 070 373 8011.

FAQ
Hoeveel FTE moet een CISO werken?

In een grote gemeente of een gemeente waar nog veel verbeterslagen te behalen vallen kan er gekozen worden voor een fulltime CISO. Deze functie kan aangevuld worden met verschillende losse information security officers (ISO’s of DSO’s) binnen de organisatie. Het aantal FTE voor een CISO zal per gemeente dus verschillen.
Bij kleine gemeenten kan deze rol ook in deeltijd uitgevoerd worden, waarbij het ook mogelijk is om dit te combineren met een fulltime aanstelling over verschillende gemeenten in een regionale opzet.

Zie ook:
Handreiking IB-functieprofiel Chief Information Security Officer (CISO)

Kan de CISO en de FG een en dezelfde persoon zijn?

De combinatie CISO en FG is niet de meest ideale situatie, maar in wat kleinere organisaties soms wel een werkbare situatie, mits er een ‘veilige cultuur’ bestaat. Er kan als alternatief ook gekeken worden naar een FG voor meer gemeenten. Let op dat de drie bestuursorganen van de gemeente (de burgemeester, het college en de raad – art.6 gemeentewet) allemaal een FG moeten aanstellen – liefst natuurlijk gezamenlijk.

NB. De autoriteit persoonsgegevens heeft hierover nog geen officieel standpunt ingenomen. Het kan zijn dat de toezichthouder deze combinatie zal ontraden.