‘Niet alle beren zijn gevaarlijk’; Succesvolle IBD-regiobijeenkomst in Rotterdam

Op woensdag 1 juli jl. heeft de derde IBD-regiobijeenkomst uit de reeks ‘Vijf stappen uit de BIG centraal’ plaatsgevonden. Op deze warme zomerdag reizen we af naar Rotterdam waar de regiobijeenkomst, plaatsvindt met dit keer als thema ‘Valkuilen en beren op de weg, hoe gaat u hiermee om als CISO?’. Door de tropische temperaturen die dag zijn er een aantal afwezigen, maar desondanks gaan we met ruim 20 gemeentelijke deelnemers van start.

Privacy

Anita van Nieuwenborg, teamleider IBD, opent de bijeenkomst en geeft een toelichting op de huidige stand van zaken vanuit de IBD. Eén van de onderwerpen die tijdens de opening van Anita aan de orde komt is het onderwerp Privacy. Koen Wortmann, ‎beleidsmedewerker Informatiebeleid bij de Vereniging van Nederlandse Gemeenten (VNG) reageert hierop en geeft aan waarom privacy zo belangrijk is: “Privacy is belangrijk in het Sociaal Domein, maar daarnaast is er ook steeds meer aandacht voor de juridische kant, denk bijvoorbeeld aan de Meldplicht Datalekken. Het is nodig om bestuurders bewust te maken van hun verantwoordelijkheid op dit gebied, zodat mensen in de domeinen de mogelijkheid krijgen om voldoende aandacht aan het onderwerp te besteden.” Wortmann geeft aan dat het onderwerp Privacy de volle aandacht heeft van de VNG.

Lessons learned

Hierna volgt een presentatie van Peter Verhulst, CISO bij de gemeente Rotterdam en en Joab de Lang, security manager bij de gemeente Rotterdam. Zij geven een aantal belangrijke lessen mee als het gaat om informatiebeveiliging:
1. “Informatiebeveiliging doe je er niet even bij. Bij kleine gemeenten kan één CISO die werkt voor een aantal gemeenten ook volstaan, het moet wel iemand zijn die zich alleen daar mee bezig houdt.
2. In de BIG staat het volgende: ‘het bestuur is eindverantwoordelijk’. Daarmee is het uiteraard niet automatisch geregeld.
3. Informatiebeveiliging wordt nog steeds vaak gezien als ICT-feestje. Binnen een organisatie gaat het echter ook om het primaire proces, dus niet alleen om de techniek.
4. Als je verantwoordelijk bent voor informatiebeveiliging binnen je organisatie, denken mensen dat je over alles gaat, dus ook over privacy, integriteit et cetera. Dat zijn gerelateerde onderwerpen die eigen aandacht verdienen. Dit is een valkuil die je moet zien te voorkomen.
5. En tenslotte, informatiebeveiliging is een vak op zich.”

De presentatie van Verhulst en De Lang is terug te vinden op de website van de IBD.

Actief aan de slag!

Na een korte pauze zijn de deelnemers actief aan de slag gegaan met een aantal casussen. Centraal stonden de vragen ‘Hoe krijg/houd ik bestuurlijk draagvlak?’ en ‘Hoe krijg ik de noodzakelijke middelen vrij, zoals geld en capaciteit?’. Drie groepen hebben in totaal drie casussen behandeld. Rob van Driel, CISO bij de gemeente Terneuzen, over de workshops: “De problematiek uit de casussen is heel herkenbaar en dat helpt”.
Benieuwd wanneer we bij uw gemeente in de buurt zijn?
De IBD organiseert nog een aantal regiobijeenkomsten dit jaar waarbij één van vijf stappen uit de BIG centraal staat. Op dit moment staat er nog één bijeenkomst voor de zomer gepland. Lees hier meer over deze regiobijeenkomsten.

Vragen?

Heeft u vragen over de regiobijeenkomsten neem dan contact op via info@ibdgemeenten.nl of via 070 373 8011.

FAQ
Hoeveel FTE moet een CISO werken?

In een grote gemeente of een gemeente waar nog veel verbeterslagen te behalen vallen kan er gekozen worden voor een fulltime CISO. Deze functie kan aangevuld worden met verschillende losse information security officers (ISO’s of DSO’s) binnen de organisatie. Het aantal FTE voor een CISO zal per gemeente dus verschillen.
Bij kleine gemeenten kan deze rol ook in deeltijd uitgevoerd worden, waarbij het ook mogelijk is om dit te combineren met een fulltime aanstelling over verschillende gemeenten in een regionale opzet.

Zie ook:
Handreiking IB-functieprofiel Chief Information Security Officer (CISO)

Kan de CISO en de FG een en dezelfde persoon zijn?

De combinatie CISO en FG is niet de meest ideale situatie, maar in wat kleinere organisaties soms wel een werkbare situatie, mits er een ‘veilige cultuur’ bestaat. Er kan als alternatief ook gekeken worden naar een FG voor meer gemeenten. Let op dat de drie bestuursorganen van de gemeente (de burgemeester, het college en de raad – art.6 gemeentewet) allemaal een FG moeten aanstellen – liefst natuurlijk gezamenlijk.

NB. De autoriteit persoonsgegevens heeft hierover nog geen officieel standpunt ingenomen. Het kan zijn dat de toezichthouder deze combinatie zal ontraden.