Tip gemeente Leiden n.a.v. het DigiD assessment: “Bezint eer gij begint!”

Het jaarlijks verplichte ICT-Beveiligingsassessment DigiD houdt de gemoederen van gemeenten flink bezig. De algemene reactie is overigens positief: ‘het assessment is absoluut belangrijk om uit te voeren, zeker als we als gemeenten onze dienstverlening aan burgers en bedrijven veilig willen blijven uitvoeren’. Een uitdaging is er overigens ook. Deze uitdaging blijkt vooral te zitten in het op goede wijze uitvoeren van het assessment, gegeven de vaak volle (ICT)-agenda bij gemeenten. Bij de gemeente Leiden is Pim Redeker, Coördinator Informatiebeveiliging, inmiddels gestart met het assessment. We gingen met Pim in gesprek om zijn eerste ervaringen op te tekenen en deze te kunnen delen met collega-gemeenten. Het werd een enerverend gesprek met een gepassioneerd pleitbezorger als het gaat om het belang van informatiebeveiliging.

Bezint, eer gij begint; inzicht in je ICT-omgeving is cruciaal

We vroegen Pim naar zijn belangrijkste assessment-tip. En die tip had hij direct voor ogen: “de oproep vanuit KING is om snel te starten met het assessment. En die oproep snap ik ook, want het uitvoeren van het assessment vergt behoorlijk wat tijd. Dat is ook onze ervaring. Toch wil ik hier ook gelijk een kanttekening bij plaatsen, want snel starten betekent zeker niet dat je als een kip zonder kop moet gaan rennen.”

Hoe hebben jullie dit dan aangepakt in Leiden? “Onze ervaring?. Bereid je als gemeentelijk verantwoordelijke ten behoeve van het DigiD-assessment goed voor. Het belangrijkste wat je in eerste instantie helder moet krijgen, is de vraag ’wat wordt er nu écht van mij gevraagd als gemeente gegeven mijn eigen specifieke ICT-omgeving’. Dat begint dus allereerst bij het verkrijgen van een goed inzicht in je ICT-omgeving en specifiek in de webapplicaties met DigiD-koppeling. Als tweede moet je als gemeente heel helder hebben wie voor die koppelingen verantwoordelijk is en op welke wijze. Dus, beheer ik die koppelingen allemaal zelf als gemeente of doet een bepaalde leverancier dat? Kortom, wie zijn de actoren in dit plaatje?”.

De volgende stap; het ondersteuningsaanbod van KING

De informatiebeveiligingsdienst (IBD) voor gemeenten, in het leven geroepen door VNG en KING, heeft om die reden samen met gemeenten een ondersteuningsaanbod ontwikkeld ten behoeve van het assessment. Dit aanbod moet het gemeenten niet alleen makkelijker maken inzicht te krijgen in de eigen ICT-omgeving, maar natuurlijk ook helpen om het assessment snel en goed af te ronden. “En dat doet het zeker”, aldus Pim. “Ik draag letterlijk de Informatiebeveiligingsmap van KING onder mijn arm overal mee naar toe en vul de map aan met alle relevante assessment-documenten. Zo heb ik in één handomdraai alles bij elkaar. Ik raad iedereen aan hetzelfde te doen, bijzonder handig.”.

Bewust onbekwaam; steun van de top helpt echt!

“Maar het simpelweg uitvoeren van het DigiD-assessment is niet voldoende”, aldus Pim. Honderd procent steun van het management binnen je gemeente is onmisbaar, zeker als het gaat om informatiebeveiliging. In Leiden zijn we inmiddels zover dat we zelfs een regionale beleidsnotitie voor Informatiebeveiliging hebben opgesteld die door onze top van harte wordt onderschreven. Dat is ook mijn tip aan collega’s: het DigiD-assessment is een handig hulpmiddel om het informatiebeveiligings-bewustzijn bij je management nog verder te activeren. Maar laat dan vooral het woord ‘ICT’ weg uit je managementnotities, dan komt het belang van informatiebeveiliging veel makkelijker dichtbij.”

Profiel Coördinator Informatiebeveiliging

Het beschikken over een Coördinator Informatiebeveiliging binnen de gemeente helpt overigens bij het verhogen van het informatiebeveiligingsbewustzijn bij management. Niet voor niets heeft Pim zich hard gemaakt voor een dergelijke functie. “Ik raad ook andere gemeenten van harte aan om een dergelijke coördinator aan te stellen en deel graag het door mij opgestelde profiel met anderen. Alleen samen kunnen we bouwen aan een sterke gemeentelijke overheid en daar draag ik op mijn vakgebied van harte aan bij.”

Meer weten?

Geïnteresseerd in het profiel van de Coördinator Informatiebeveiliging? Download dit dan op onze discussiegroep Informatiebeveiliging onder Documenten. Bent u nog geen lid van onze community, meld u dan eerst even aan. En heeft u nog vragen naar aanleiding van dit interview of over het ICT-Beveiligingsassessment DigiD of de IBD? Wij beantwoorden ze graag! U kunt terecht bij de Informatiebeveiligingsdienst voor gemeenten via info@IBDgemeenten.nl of 070 373 8011.