Samen op de bres voor nog 10 jaar informatiebeveiliging

De informatiebeveiligingsdienst (IBD) van de Vereniging van Nederlandse Gemeenten (VNG) vierde haar tiende verjaardag in de Prodentfabriek in Amersfoort. Het werd een feestje van terugkijken en vooruitblikken met CISO’s, FG’s en PO’s van gemeenten uit het hele land. Demissionair staatssecretaris Van Huffelen kwam persoonlijk langs om te feliciteren.

Na een decennium aan pionieren komen de vakgebieden privacy en security in een nieuwe fase. Een waar alle medewerkers van gemeenten zich nog meer bewust zijn van het belang van gegevensbescherming en digitale veiligheid. Dat is mooi, want de komende 10 jaar neemt het aantal dreigingen van buitenaf alleen maar toe. Ook Europese wet- en regelgeving gaat voor werk zorgen. De boodschap van het evenement was dan ook: alleen samen gaan we het redden.

Vaders van de IBD

De rode draad van het programma werd verzorgd door de theatersporters en muzikanten van MiER, een bureau voor zakelijke evenementen. Zij vroegen zich af: omdat IBD is ontstaan vanuit de behoefte van gemeenten, wie was tien jaar geleden dan de meest behoeftige? Wie stond mede aan de wieg van de IBD? Dat bleek Gerard van de gemeente Apeldoorn. “Ik werd niet goed geholpen door de VNG.” Hij voegde snel toe: “Nu wel.”  Bart Drewes stak zijn hand op, gemeentesecretaris bij de gemeente Bronkhorst: “Ik werkte toen bij de VNG en werd gek van gemeenten die niet wisten wat ze moesten doen. Dat was in de tijd van DigiNotar. Ik dacht: we moeten iets creëren.” En zo werd het programma onverwacht geopend met de geestelijk vaders van de IBD.

Voor- en achteruit kijken

Nausikaä Efstratiades, hoofd van de IBD, keek terug op haar eerste werkdag bij KING, de voorloper van VNG Realisatie. “Het was de maandag na de DigiNotar-crisis en de telefoon stond roodgloeiend. Het was mijn eerste dag, maar ben maar gewoon gaan helpen met het beantwoorden van alle telefoontjes. Om gemeenten te informeren wat er aan de hand was en te adviseren wat ze moesten doen. Zo ben ik in het vak gerold.” Nathan Ducastel, directeur VNG Realisatie, keek vooruit en zag de toekomst met vertrouwen tegemoet. “De komende 10 jaar worden nog uitdagender, maar we staan klaar. We hebben het netwerk, we hebben de mensen, we hebben een visie, we hebben een richting.”

NIS2

Demissionair staatssecretaris Van Huffelen kwam persoonlijk langs om felicitaties aan te bieden. Ze zei dat iedereen die werkt in privacy en digitale weerbaarheid nog heel hard aan het werk moet. Over de nieuwe Europese richtlijn Network and Information Security (NIS2) zei ze: “We moeten meer doen, we moeten meer samen doen en meer op dezelfde manier.” De tijd dat ieder het voor zich organiseert is geweest, omdat we allemaal in de problemen kunnen komen door de zwakste schakel. Gaat Den Haag dan bedenken hoe het moet? Nee, bij de implementatie van de wetgeving van de NIS2 doen wij dat samen, op een manier dat iedereen mee kan doen en ons allemaal veilig houdt. 

De ene organisatie is de andere niet 

Nausikaä vroeg aandacht voor sectorale verschillen bij de implementatie van NIS2. Deze nieuwe wetgeving kan absoluut helpen een inhaalslag te maken bij het vergroten van de digitale weerbaarheid. “Het vraagt veel van ons en we kunnen het aan. Een uitdaging die ik daarbij zie, is recht te blijven doen aan de grote, sectorale verschillen en dus behoefte. De ene organisatie is de andere niet. De implementatie van de wet moet het mogelijk maken dat iedere sector risico gebaseerd veiliger kan worden.” 

Trots op transparantie

Tot slot wilde Nausikaä kwijt dat ze trots is op de transparantie van gemeenten over wat hen overkomt. “Alleen dan kunnen we van elkaar leren en elkaar veilig houden. Tien jaar geleden zeiden gemeenten over privacy- en securityvraagstukken ‘dit speelt bij ons niet’. Daar is in 10 jaar tijd een enorme ontwikkeling geweest.”

Dat merkt ook Nanda Laagland, functionaris gegevensbescherming bij de gemeente Oss. “Dit vakgebied was echt pionieren. Na vijf jaar bij de organisatie merk ik dat collega’s steeds bewuster worden van het belang van gegevensbescherming. Ze zien dat het beschermen van persoonsgegevens van belang is voor een betrouwbare dienstverlening. Privacy en security versterken elkaar daarbij. Net zoals dat gebeurt in de gesprekken tussen CISO’s en FG’s die de IBD organiseert.”

Ondersteunen

Emmy Kroese-Visser en Wendy de Vries zijn privacy officers bij de gemeente Medemblik. Ook zij ervaren steeds meer acceptatie en waardering voor het werk dat zij doen. Emmy zegt: “Wij helpen collega’s onder andere bij het opstellen en toetsen van verwerkersovereenkomsten. Zij snappen steeds beter dat wij niet komen controleren, maar om te ondersteunen. En dat de AVG er is om te vertellen wat er wél mag.” Wendy zei dat ze IRPA van IBD een mooie tool vindt. IRPA is een tool voor integrale risico- en privacyanalyse. “We gebruiken het om samen met collega’s te gaan zitten en de dingen door te lopen.” Voor de komende 10 jaar hoopt ze dat iedereen het belang kent van gegevensbescherming en blij is wanneer Emmy en zij langskomen.

Levenslied

De blije felicitaties stonden haaks op de lange gesproken column van Marcel van Roosmalen. Hij schetste een toekomst van eindeloos leed met de IBD als enige die dat kon voorkomen. De mannen van MiER sloten daarna af met een geïmproviseerd levenslied. Een moedeloze gemeente hing in een stoel en kreeg een hart onder de riem van de IBD. De conclusie: “Ik ben van de IBD en als je ergens mee zit dan help ik je daarmee.”

Sociaal en technisch

Roel Brand is CISO bij de gemeente Deurne. Hij begreep wel iets van de tragische toon, want de cyberdreiging neemt toe. Toch is hij stellig overtuigd dat gemeenten het door samenwerking gaan redden. Hij vindt dat de IBD met de kennis van gemeenten inhoudelijk goede producten maakt. “Ze zijn een netwerkorganisatie die het werk in ons vakgebied faciliteert.” Over de toekomst zei hij: “Tien jaar terug waren security-mensen de nerds van ICT. Nu praten we met directieleden en de raad. Dat vraagt een ontwikkeling van onszelf. De techneut die daar (nog) niet klaar voor is, kan zich verdiepen en nog technischer worden. Beide kwaliteiten zijn nodig.”