Als burger mag je verwachten dat de overheid zorgvuldig omgaat met jouw informatie en privacy. De overheid streeft naar beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van alle informatie en de daarbij horende informatiesystemen. Om de beschikbaarheid, integriteit en vertrouwelijkheid te kunnen toetsen, is in 2017 een verantwoordingsstelsel in het leven geroepen; ENSIA: Eenduidige Normatiek Single Information Audit.
Wat is ENSIA?
ENSIA is de verantwoordingsmethodiek voor informatieveiligheid en basisregistraties van gemeenten. ENSIA is op initiatief van gemeentes en de ministeries van BZK en SZW ontwikkeld. Het doel was om op een eenduidige wijze, gemakkelijk en efficiënt verantwoording af te leggen over de informatieveiligheid binnen de organisatie. Inmiddels maken gemeentes, provincies en waterschappen gebruik van het verantwoordingssysteem.
Ieder jaar wordt in het ‘strategisch overleg ENSIA’ besproken wat de inhoud wordt van de ENSIA verantwoording. In dit overleg komen vertegenwoordigers van gemeenten en betrokken departementen samen en wordt bepaald wat de scope van ENSIA wordt, welke normen worden gebruikt en wordt gekeken of de normen op opzet, bestaan en werking worden getoetst.
De vragenlijsten van ENSIA
ENSIA is een verantwoordingsstelsel. Bij iedere gemeente krijgt de ENSIA coördinator toegang krijgt tot het ENSIA portaal. In dit portaal staan verschillende vragenlijsten over verschillende verantwoordingsgebieden.
In het portaal staan de volgende vragenlijsten:
- BAG-vragenlijst
- BGT-vragenlijst
- BIO-zelfevaluatie
- BRO-vragenlijst
- DigiD-vragenlijst
- WOZ-vragenlijst
- WSJG-vragenlijst
BAG, BGT en BRO vragenlijsten
In de BAG (basisregistratie adressen en gebouwen), BGT (basisregistratie grootschalige topografie) en BRO vragenlijsten (basisregistratie ondergrond) legt de gemeente verantwoording af over datakwaliteit en -integriteit van de BAG, BGT en BRO. De vragen gaan bijvoorbeeld over middelen die de gemeente gebruikt voor het monitoren van de kwaliteit van de gegevens.
BIO vragenlijst
De BIO-zelfevaluatie is een vragenlijst gebaseerd op de BIO (baseline informatiebeveiliging overheid). De vragenlijst ‘vraagt’ welke controls van de BIO de gemeente heeft geïmplementeerd. De gemeente vult de vragen in met ja of nee. De gemeente krijgt daardoor een generiek beeld over de mate van control op het gebied van informatiebeveiliging. In deze vragenlijst wordt tevens aandacht besteed aan de informatiebeveiliging van de Basisregistratie personen, wet- en regelgeving reisdocumenten en Suwinet.
DigiD vragenlijst
De DigiD-vragenlijst is gebaseerd op 20 specifieke beveiligingsmaatregelen uit de norm ‘ICT-beveiligingsrichtlijn voor webapplicaties’. Deze vragen schetsen een beeld van de inrichting en informatieveiligheid van een DigiD aansluiting.
WOZ vragenlijst
In de WOZ vragenlijst (waardering onroerende zaken) legt de gemeente verantwoording af over de informatiebeveiliging, systeembeheer en architectuur van de WOZ. Deze vragen zijn gericht op de inrichting van het systeem dat gebruikt wordt voor de WOZ.
WSJG vragenlijst
De WSJG vragenlijst bevat vragen over de controls van de BIO. Door het beantwoorden van deze vragenlijst krijgt de gemeente inzicht in de staat van informatiebeveiliging. De antwoorden worden ingelezen in ‘waar staat je gemeente’ in te lezen. Daardoor is het voor iedere bezoeker van ‘waar staat je gemeente’ duidelijk wat de staat van informatiebeveiliging van de gemeente is.
Het geheel van de zelfevaluatie en vragenlijsten wordt ter verantwoording aangeleverd aan de gemeenteraad. Het is aan de gemeente zelf hoe uitgebreid hier invulling aan wordt gegeven. Toezichthouders van het rijk krijgen toegang tot een deel van het portaal om de afgelegde verantwoording van de gemeente te beoordelen.
Horizontale en verticale verantwoording
Op gebied van informatiebeveiliging en privacy spreek je van horizontale en verticale verantwoording. Horizontale verantwoording betekent dat het college van B&W (gemeentebestuur) verantwoording aflegt aan hun eigen toezichthouder; de gemeenteraad. Verticale verantwoording betekent dat het college van B&W verantwoording aflegt aan de centrale toezichthouders van de informatiestelsels.
Wat is horizontale verantwoording?
In 2013 hebben gemeenten afgesproken om de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. Gemeenten moeten zich aan de gemeenteraad verantwoorden op gebied van informatieveiligheid. Dit doen zij door middel van een zelfevaluatie, IT-audit, collegeverklaring en een passage over informatieveiligheid in het jaarverslag. Dit wordt ook wel horizontale verantwoording genoemd.
Wat is verticale verantwoording?
Naast deze horizontale verantwoording dienen gemeenten zich ook te verantwoorden aan de toezichthouders. Dit wordt ook wel verticale verantwoording genoemd. De verticale verantwoording betekent verantwoording afleggen aan toezichthoudende instanties, namelijk de Basisregistratie Personen (BRP), DigiD, Suwinet, Paspoortuitvoeringsregeling Nederland (PUN), Basisregistratie Adressen en Gebouwen (BAG) en de Basisregistratie Grootschalige Topografie (BGT).
Toezichthouders van ENSIA
Hieronder staat uitgewerkt welke toezichthouders betrokken zijn bij ENSIA.
Informatiestelsel | Verwerken namens toezichthouder | Toezichthouder |
BRP | Rijksdienst voor Identiteitsgegevens (RvIG) | BZK |
Reisdocumenten | Rijksdienst voor Identiteitsgegevens (RvIG) | BZK |
Suwinet | Bureau Ketensamenwerking Werk en Inkomen (BKWI) | SZW |
DigiD | Logius | BZK |
BAG | Directoraat Generaal Bestuur, Ruimte en Wonen (DGBRW) | BZK |
BGT | Directoraat Generaal Bestuur, Ruimte en Wonen (DGBRW) | BZK |
BRO | Directoraat Generaal Bestuur, Ruimte en Wonen (DGBRW) | BZK |
WOZ | Waarderingskamer | Waarderingskamer |
Het proces van ENSIA
Startpunt: aanwijzen ENSIA coördinator
Vanaf 1 juli krijgt de ENSIA coördinator van het voorgaande jaar opnieuw toegang tot het ENSIA portaal. De ENSIA coördinator kan verschillende proceseigenaren aanwijzen en ze toegang geven tot vragenlijsten.
De proceseigenaren zijn verantwoordelijk voor het invullen van de vragenlijsten en het aanleveren van bewijsstukken. In de praktijk blijkt dat functioneel applicatiebeheerder vaak worden aangewezen als proceseigenaar. Daarnaast krijgen beveiligingsfunctionarissen ook toegang tot de ENSIA tool om vragenlijsten in te vullen.
In de rol van de ENSIA coördinator lees je handige tips om te zorgen de proceseigenaren op tijd de vragenlijsten invullen en bewijsstukken aanleveren.
Lees ook:
de rol van de ENSIA-coördinator: zo leg je de verantwoordelijkheid neer bij de proceseigenaar.
Zelfevaluatie – 1 juli tot 31 december
Vanaf 1 juli tot 31 december heeft de gemeente de tijd om de vragenlijsten in te vullen en bewijsstukken aan te leveren. Het verantwoordingsjaar, de periode die wordt aangehouden bij het beantwoorden van vragen, loopt gelijk met het kalenderjaar. De bewijsstukken moeten van hetzelfde verantwoordingsjaar zijn.
Als alle vragenlijsten zijn ingevuld en de bewijsstukken zijn geüpload, kan de ENSIA coördinator het dossier indienen. De deadline is 31 december. In deze periode kan de gemeente een pre-audit uit laten voeren.
Lees ook:
de voordelen van de ENSIA pre-audit.
Verantwoording – 1 januari tot 30 april
De ENSIA coördinator gaat aan de slag met de collegeverklaring. Vanuit het ENSIA portaal kan een rapportage worden gemaakt. De coördinator vult de rapportage aan zorgt ervoor dat het een net document wordt. Het uiteindelijke rapport wordt de collegeverklaring genoemd. De collegeverklaring moet worden ondertekend door het college.
Het is voor gemeenten verplicht om het deel Suwinet en DigiD van de collegeverklaring te laten beoordelen door een onafhankelijke IT-auditor. Dit wordt de ENSIA-audit genoemd.
De IT-auditor beoordeelt enkel of de concept collegeverklaring correct is. Indien de concept collegeverklaring correct is, dan gaat de collegeverklaring naar het college van B&W. Zij moeten het document vaststellen en ondertekenen. Zodra de collegeverklaring is vastgesteld, dan stelt de IT-auditor een assuranceverklaring op dat onderdeel is van de verantwoordingsrapportage.
Als het document door alle partijen is ondertekend, worden door de ENSIA coördinator de verantwoordingsrapportages geüpload in het ENSIA portaal. De deadline voor het inleveren van de verantwoordingsrapportages is 30 april.
Versturen – 30 april tot 15 juli
Naast de verantwoordingsrapportages stelt de CISO een paragraaf ‘informatiebeveiliging’ op. Deze paragraaf wordt opgenomen in het jaarverslag van de gemeente. Verder wordt in deze fase de verantwoordingsrapportage gedeeld met de gemeenteraad. Het college van B&W stelt het jaarverslag vast, met daarin de paragraaf over de informatiebeveiliging.
De gemeenteraad keurt het jaarverslag goed, met daarin de paragraaf over de informatiebeveiliging. De gemeenteraad heeft reeds de verantwoordingsrapportage ontvangen. Het college van B&W stuurt ten slotte vóór 15 juli het goedgekeurde jaarverslag op naar de provincie.
ENSIA Pre-audit en audit
De ENSIA-audit is verplicht voor gemeentes en wordt in de verantwoordingsperiode uitgevoerd. Veel gemeentes kiezen voor een pre-audit. In een vroeg stadium (rond oktober) haakt de auditor aan bij de zelfevaluatie van de gemeente. De auditor beoordeelt of de verantwoording correct wordt uitgevoerd en geeft aan op welke punten de gemeente wel of niet voldoet aan de beveiligingsrichtlijn. De gemeente krijgt hierdoor duidelijkheid over wat er nog moet gebeuren voor de harde deadline van 31 december. Dat geeft richting aan de verantwoording.
Tijdens de audit is de collegeverklaring de scope van het onderzoek. De doel van de audit is ‘assurance’ verlenen over de correctheid van de collegeverklaring. Het kan dus gebeuren dat je aangeeft dat je als gemeente niet voldoet aan een beveiligingsrichtlijn en dat de ENSIA-auditor dit bevestigt.
Nut van de ENSIA – Deming cirkel & verbeteren
Voor veel gemeentes is de ENSIA zelfevaluatie een ‘moetje’. Door slim gebruik te maken van de ENSIA zelfevaluatie kan het echter het continue verbeterproces van informatiebeveiliging ondersteunen.
Gemeentes zijn vanuit de BIO verplicht om over een ISMS te beschikken. ISMS staat voor Information Security Management System. Een ISMS is een systeem, bestaande uit beleid, afspraken en maatregelen, dat er voor zorgt dat organisaties continu blijven verbeteren op het gebied van informatiebeveiliging.
Het continue verbeteren is gebaseerd op de kwaliteitscirkel van Deming, ook wel de PDCA cyclus genoemd. PDCA staat voor plan-do-check-act. Door periodiek doelen te stellen (plan). De plannen uit te voeren (do). De reflecteren op je plannen (Check) en plannen bij te stellen (act) kan een organisatie continue verbetering realiseren.
Lees ook:
alles over de PDCA-cyclus voor informatiebeveiliging en privacy.
De ENSIA-zelfevaluatie kan in de kwaliteitscirkel worden opgenomen als ‘check’ van het informatiebeveiligingsbeleid. De bevindingen van de zelfevaluatie geven de gemeente veel inzicht in de informatiebeveiliging en bieden veel aanknopingspunten voor verbetering.
Tips en valkuilen voor de ENSIA audit
Ben je zelf ENSIA coördinator, proceseigenaar of krijg je te maken met de ENSIA zelfevaluatie? We hebben zes tips opgesteld voor het uitvoeren van de ENSIA audit. De zes tips zijn:
- Begin op tijd
- Breng de basis op orde met goed beleid, processen en controle hierop
- Benut het voordeel van een ENSIA pre-audit
- Betrek alle verantwoordelijken bij het proces
- Gefaseerde audit
- Documenteer het eindresultaat
Lees meer:
de valkuilen en tips voor de gemeentelijke ENSIA-audit.
Meer informatie?
Hopelijk heb je dankzij dit artikel een goed beeld hebt gekregen van ENSIA. Mocht je nog meer informatie willen, of graag een ENSIA (pre)audit wil laten uitvoeren, neem dan gerust vrijblijvend contact met ons op.