Jeroen Simons, chief information security officer: 'We gaan voor de ‘Acht’
Een pakket samenhangende producten ondersteunt voortaan het bestuur, seniormanagement en de professionals binnen waterschappen om het gesprek te voeren over informatieveiligheid en privacy: wanneer doen we de goede dingen en hoe doen we die dingen goed? Wat vinden we het belangrijkste en hoe beschermen we dat? Het ‘achtje’ houdt het risico-gestuurd denken en werken levend.
Stel, je hebt een huis met een tuin. Hoe hoog moet het hekje dan zijn om een inbreker tegen te houden? Is één meter genoeg of is een twee meter hoge schutting beter? Wat als de voordeur een keer open staat of als je de garage niet goed sluit? Kortom: welk risico kun en wil je lopen?
Deskundigen vanuit waterschappen bogen zich binnen het Waterschapshuis over dit soort vragen rondom informatieveiligheid en privacy binnen waterschappen. Samen ontwikkelden zij een pakket samenhangende producten waarmee de waterschappen informatieveiligheid en privacybescherming in een continu managementproces kunnen verbeteren.
Aanleiding
‘De producten volgen op de eerdere integrale audits op informatieveiligheid en privacy door Verdonck, Klooster en Associates’, vertellen privacy-coördinator Renate Bakker-Goede van het Waterschapshuis en Jeroen Simons, chief information security officer (CISO) bij de Brabantse waterschappen en voorzitter van het CIW. Ondanks stappen in de goede richting, kan het nog beter, zo bleek uit de audits.
Op basis van de aanbevelingen uit het sectorale auditrapport maakte het programma Informatieveiligheid & Privacy een plan van aanpak. De deelnemers van het Coördinatorenoverleg Informatieveiligheid Waterschappen (CIW), Coördinatorenoverleg Privacy Waterschappen (CPW) en het landelijk Overleg Functionarissen Gegevensbescherming (FGW) zijn vervolgens aan de slag gegaan. Renate: ‘Nu liggen er voor de sector uitgewerkte, concrete producten. Het zijn ingrediënten die het bestuur en het seniormanagement kunnen helpen om het gesprek te voeren met de professional over risico’s in informatieveiligheid en privacybescherming.’ Eén van de belangrijkste opgeleverde producten is de visualisatie van volwassenheidsniveau vier, het streefniveau wat waterschappen onderling met elkaar hebben afgesproken.
Volwassenheidsniveau 4
Een filmpje ondersteunt de route naar groei naar volwassenheidsniveau 4 in informatieveiligheid en privacybescherming. Jeroen: ‘Tot en met volwassenheidsniveau 3 is er eigenlijk geen keuze; voor informatieveiligheid moet je voldoen aan de BIO (Baseline Informatieveiligheid Overheid) en voor privacy aan de AVG (Algemene Verordening Gegevensbescherming). Daarna moet je gericht gaan sturen, want middelen zijn beperkt. Op niveau 4 maakt het waterschap zelf keuzes waar de prioriteiten liggen: dit zijn onze belangrijkste processen en informatiebronnen (onze kroonjuwelen) waarin we tijd en energie steken, zodat ze altijd onder controle zijn. Andere zaken krijgen nu even minder prioriteit.’
De strategische keuze over de eigen kroonjuwelen en de mate van risico dragen is de beslissingsbevoegdheid en verantwoordelijkheid van het bestuur en/of senior management, verduidelijkt Renate. ‘De organisatie moet dat besluiten; dat is niet aan de professional.’ Jeroen: ‘Daar begint het achtje mee.’
‘Het achtje’
Volwassenheidsniveau 4 is als product niet ingevuld met een vastomlijnde definitie, maar met een processchema: ook wel bekend als ‘het achtje’. Renate: ‘Het ondersteunt waterschappen in het risico-gestuurd denken, werken en sturen’. In de bovenste lus bepaalt de organisatie strategische keuzes met een ‘plan-do-check-act’-cyclus; doen we de goede dingen? De onderste lus volgt of prioriteiten de juiste aandacht krijgen: doen we de dingen goed.’ Jeroen: ‘Je houdt je kroonjuwelen extra in de gaten door te meten en te rapporteren. Als iets niet goed loopt, moet er iets gebeuren. Het achtje is een continu proces.’
Risicomethodiek
Binnen de strategische lus kunnen organisaties gebruikmaken van de ontwikkelde sector brede risicomethodiek: een gedragen, herkenbare en praktische sectormethodiek om risico-gebaseerd te voldoen aan de normen en die zo goed mogelijk aansluit op bestaande processen van de waterschappen. Jeroen: ‘Met de Cybersecurity Implementatie Richtlijn (CSIR) is de risicomethodiek voor de procesautomatisering (objecten) beschikbaar. De kantoorautomatisering gaan we toevoegen.’ Renate: ‘We ontwikkelen nu ook een risicomethodiek voor de verwerking van persoonsgegevens. Er ligt al een basis voor een processchema.’
Format voor de VVT en KPI's
Een ander concreet product is een format voor een ‘verklaring van toepasselijkheid’ (VVT) bij gegevensbescherming; een aanbeveling vanuit de audits. Een VVT geeft inzicht in de gemaakte keuzes en de geprioriteerde maatregelen. Renate: ‘We wilden voor privacy geen afvinklijstje, maar meer een format waarin je de uitkomsten van het strategische gesprek opschrijft en daaraan je acties en resultaten koppelt. Met het format hebben waterschappen voor privacy nu een product om hun keuzes vast te leggen en te volgen.’
Informatieveiligheid heeft geen VVT. Jeroen: ‘Een VVT zegt ook wat je niet doet. Dat wil je bij informatieveiligheid liever niet.’ Privacy en informatieveiligheid formuleerden beide wel kritische prestatie-indicatoren (KPI’s); een lijst van indicatoren die een beeld geven van hoe de sector ervoor staat en gelijktijdig een beeld geven van hoe je als waterschap op de geprioriteerde maatregelen presteert en waarop je kunt sturen.
Balans adviseur en toezichthouder
Met de groei naar volwassenheidsniveau 4 krijgen functionarissen gegevensbescherming (FG) en CISO’s een andere rol. Dat vraagt in sommige gevallen andere vaardigheden. Renate: ‘Rondom privacybescherming is iedereen allereerst druk geweest met het opstellen van beleid en procedures. Nu dat op orde is, moet je nagaan of het goed werkt. De FG komt hiermee meer in zijn wettelijke rol als toezichthouder. Dat ondersteunen we met intervisies en bijeenkomsten over deze onderwerpen.’ Jeroen: ‘Het is zoeken naar de juiste balans tussen adviseren en toezicht houden. Je kunt niet je eigen vlees keuren.’
Leveranciersmanagement
Waterschappen maken steeds meer gebruik van externe diensten en applicaties. Je zult daarom goede afspraken moeten maken met jouw leveranciers over informatieveiligheid en privacy. Daarom is hier een landelijk hulpmiddel ontwikkeld op basis van de BIO en AVG: de ICO-wizard. Bij leveranciersmanagement zorgt het sectoraal gebruik van de ICO-wizard dat een product of dienst voor informatieveiligheid en privacy aan gestelde voorwaarden voldoet. Renate: ‘De ICO-wizard helpt bij de borging aan de voorkant.’
Continu proces
‘Het achtje’ wil voorkomen dat informatieveiligheid en privacy eenmalig aandacht krijgen. Jeroen: ‘Crux is de ‘plan-do-check-act’-cyclus. We spreken iets af en komen er nu ook op terug. Het is een continu proces om hierin als organisaties te groeien en te verbeteren. Zo zijn de audits ook vanaf het begin ingestoken; als een leren- en verbeter-onderzoek. Het doel is natuurlijk het op orde houden van de informatieveiligheid en privacy.’
Vliegwiel
Met dank aan alle deelnemers van het CIW, CPW en FGW draagt het programma Informatieveiligheid en Privacy de producten nu over aan de waterschappen. Jeroen: ‘De waterschappen zijn nu zelf aan zet om met de producten aan de slag te gaan. Uiteraard blijven het CIW, CPW en FGW ook in de toekomst samenwerken aan bruikbare producten en oplossingen.’
Jeroen heeft er vertrouwen in dat de producten de waterschappen helpen om in gesprek te gaan. Het moet ‘procesvolwassenheid vier’ op gang brengen. Jeroen: ‘Het werkt als een vliegwiel. Seniormanagement en de professionals kunnen samen het vliegwiel een slinger geven, zodat de motor gaat draaien. Als je de vraagt stelt ‘doen we de goede dingen’, gaat het achtje vanzelf lopen, anders komt er geen antwoord op die vraag. Het is nu aan de waterschappen om dit te omarmen.’