Burgerzaken Ciso informatiebeveiliging
05.10.2020

Deze 4 successen bereik je als CISO door meer samen met Burgerzaken op te trekken

Het is dé afdeling binnen een gemeente die het klappen van de informatiebeveiliging en privacy zweep als geen ander kent: Burgerzaken. Deze afdeling doet al jaren veel zelf en heeft een ruime ervaring met informatiebeveiliging. Van continuïteitsplannen en de verantwoording via de BRP zelfevaluatie tot de controle op autorisaties. Je zou denken dat met deze ervaring medewerkers van Burgerzaken en de CISO veel van elkaar leren op het gebied van informatiebeveiliging, het opstellen en implementeren van beleid en procedures en het verantwoorden middels een zelfevaluatie. De realiteit is vaak anders. Gek eigenlijk als je je bedenkt dat de CISO en Burgerzaken een grote gemeenschappelijk deler hebben: informatiebeveiliging en privacy waarborgen. Door de kennis en ervaring van beide te bundelen kun je informatiebeveiliging en privacy meer laten leven in de organisatie en naar een hoger niveau brengen. 4 successen die voortkomen uit een nauwere samenwerking.

Kennis is key!

Benut als CISO de kennis van Burgerzaken. Zij zijn al jaren bezig met informatiebeveiliging. Eerst met de Burgerzaken audit en vervolgens de zelfevaluatie BRP en Reisdocumenten. Daardoor weten ze als geen ander hoe je je kunt voorbereiden op een audit/zelfevaluatie, hoe je een dossier kunt vormen of hoe je opgestelde processen/afspraken goed kunt implementeren op de afdeling. Laat daarom een collega van Burgerzaken deel uitmaken van het team informatiebeveiliging. Daarmee voeg je veel ervaring en kennis toe en heb je er een goede sparringpartner bij. Daarnaast kunnen andere afdelingen leren van Burgerzaken hoe zij bijvoorbeeld eenvoudig zaken te kunnen aantonen voor de steekproef. Dit is een gave die Burgerzaken al tot in de puntjes beheerst.

Voorkom dubbel werk en uitgaven

Een veel gehoord argument naar de CISO is: “Wij redden ons wel en weten hoe we met dit bijltje moeten hakken”. Maar is dat wel zo? Veel zaken die voorheen vanuit de zelfevaluatie BRP en PNIK werden uitgevraagd worden nu vanuit ENSIA uitgevraagd. Deze gewoonte versterkt dat Burgerzaken de verantwoordelijkheid alleen binnen hun eigen afdeling neemt en bepaalde maatregelen alleen binnen Burgerzaken worden ingeregeld, terwijl er een overlap is met andere afdelingen binnen de organisatie. Een gemiste kans! Effectiever is om de overlappende processen die voor de komst van de BIG uitgevraagd werden en nu voor de BIO samen op te pakken. Door Burgerzaken met andere afdelingen dit gezamenlijk te laten oppakken werk je naar een gemeente brede aanpak toe. Waarom zou je immers bij een gemeente 2 procedures voor dezelfde handelingen willen hebben? En wat te denken van tools die worden afgenomen waarvan de CISO en de collega’s van Burgerzaken van elkaar het bestaan niet afweten? Ze hebben iets in huis, maar weten niet wat het kan betekenen. Zonde om een tool niet breder te benutten of om op twee verschillende tools de informatiebeveiliging in te richten. Van de eenduidigheid, maar ook van het geld! Bovendien kunnen ervaringen worden gedeeld over de mogelijkheden en ervaringen met de tool om tot een passende keuze te komen. Sharing is caring!

Zichtbaarheid informatiebeveiliging naar bestuur en college

Veel verplichte stukken van Burgerzaken worden door de afdeling zelf gedeeld met het college terwijl de overige verplichte stukken (meestal gebundeld) door de CISO worden aangeleverd. Daardoor heeft de afdeling een goede zichtbaarheid bij het college en ontstaat hier soms het idee dat er vanuit Burgerzaken onderdelen van informatiebeveiliging gemeente breed zijn ingeregeld, terwijl dit niet het geval is. Niet zo bedoeld, maar niet handig! Als CISO wil je hierin betrokken zijn. Door meer samen op te trekken kun je zorgen dat er eenduidige communicatie over de gemeente brede status van informatiebeveiliging en privacy wordt afgegeven.

Ambassadeur voor informatiebeveiliging

Met haar ervaring en kennis is Burgerzaken de ideale ambassadeur voor informatiebeveiliging binnen de organisatie. Juist, omdat Burgerzaken voor een CISO meer tijd nodig heeft om overtuigd te worden om samen te werken is het raadzaam om hier te beginnen.