Er zijn problemen bij de verbetering van de gemeentelijke informatieveiligheid. Het project ENSIA, kort voor Eenduidige Normatiek Single Information Audit, wordt bijna een jaar gebruikt maar accountantsbureau BDO meldt ‘dat er meer hobbels op de weg zijn dan verwacht’. Medewerkers mijden verantwoordelijkheden, de verwachte efficiëntieverbetering wordt niet gehaald en het verzamelen van documentatie is veel werk. Er moet wat aan de cultuur gedaan worden.
Veranderingen doorvoeren lastig
‘Het is niet alleen een technisch feestje, maar ENSIA raakt de hele organisatie’, zegt senior adviseur Jeffrey de Bruijn van BDO. ‘Bovendien is het een complex onderwerp, dus dat maakt het lastig om veranderingen door te voeren.’ Het accountantsbureau, dat bij meerdere gemeenten actief is, schreef het rapport naar aanleiding van de ervaringen. Volgens De Bruijn zijn het geen onoverkomelijke problemen en kunnen er concrete stappen gemaakt worden ter verbetering.
Cultuuromslag nodig
ENSIA raakt dan de hele organisatie, maar zo wordt dat nog niet gevoeld. Zo staat er in het rapport: ‘Hoewel het bewustzijn van en de organisatie rondom informatieveiligheid de afgelopen jaren bij gemeenten fors is toegenomen, laat de praktijk wel zien dat een cultuuromslag nodig is om de meerwaarde van deze nieuwe wetgeving in te zien.’ En de meerwaarde is dat gemeenten veiliger met informatie omgaan.
Verantwoordelijkheden mijden
Informatieveiligheid gaat alle medewerkers aan, maar volgens BDO is het een bekend mechanisme bij gevoelige onderwerpen dat mensen verantwoordelijkheden mijden. De druk komt daardoor te liggen bij een kleine taskforce, maar het belang moet doordringen tot alle werknemers. Dat kan zo simpel zijn als een medewerker die wegloopt van zijn pc en daarbij bedenkt dat de computer even vergrendeld moet worden.
Gehoopte verbetering efficiëntie blijft uit
Een belangrijke reden om op 1 juli 2017 met ENSIA te beginnen was om efficiënter te werken. Zes bestaande verantwoordingsprocedures – voor DigiD, de Basisregistratie Personen, de PUN, de BAG, de BGT en Suwinet – werden gebundeld. Gemeenten vullen jaarlijks een zelfevaluatielijst in om zo in één keer verantwoording af te leggen over het gebruik van zes systemen. De gewenste efficiëntieverbetering is nog niet evident. De Bruijn: ‘Dat is niet gek, maar op die verbetering was natuurlijk wel gehoopt.’
Veel informatie
De papierwinkel zorgt ook voor problemen. Er is geen gebrek aan beleidsinformatie, maar in het afgelopen jaar is gebleken dat het veel werk is om alle bewijsstukken voor een audit te verzamelen. ‘Procedures binnen gemeenten zijn vaak nog versnipperd’, legt De Bruijn uit. ‘Dus het gereedmaken van informatie kost wat tijd.’
Suggesties
BDO doet enkele suggesties om de problemen te verhelpen: draag het thema breder uit in de organisatie, zodat iedereen zich met het verbeteren van informatieveiligheid bezighoudt; zorg voor eenduidig beleid en eenduidige procedures; en gebruik ENSIA niet alleen om aan verplichtingen te voldoen, maar zie het als een instrument tot verbetering.
Geen paniek
Volgens De Bruijn is er geen reden tot paniek. ‘Het is gewoon een proces dat je door moet lopen als organisatie en daar gaan jaren overheen. Gemeenten zijn daarin niet anders dan bedrijven. Het is een doorlopend proces en het zal ook nooit afgelopen zijn.’ ENSIA is een gezamenlijk project van de VNG, gemeenten en verschillende ministeries. De VNG laat weten geen reactie te hebben op het rapport.
Bron: BinnenlandsBestuur digitaal