02.11.2017

NOREA bijeenkomst ENSIA 2017

 

Op 31 oktober heeft de NOREA een ENSIA bijeenkomst  gehouden voor auditoren. De bijeenkomst kende een aantal onderwerpen:

  • Doelen en toepassing van ENSIA
  • Inzicht in het traject wat gemeenten doorlopen
  • Uitleg van de ENSIA tooling
  • Presentatie van de handreikingen DigiD 2.0 en SUWI

Samenwerkingsverbanden

Er zijn gemeenten die zelfstandig werken en steeds meer gemeenten die samenwerken. Bij de DigiD audit kan een Third Party Memorandum (TPM) worden afgegeven op de webapplicatie en/of de hosting. Afhankelijk van de van een TPM kan bepaald worden welke normen nog van toepassing zijn op de gemeente. Deze normen worden in hoofdstuk 4 van de TPM aangegeven.

Bij de SUWI is het minder duidelijk welke personen verantwoordelijk zijn voor specifieke taken en hoe je de audit het beste kan organiseren. Gemeenten hebben verschillende taken waarvoor SUWI wordt gebruikt. De GSD taken, de gerechtsdeurwaarder, RMC of de adrescontrole. Voor de taken naast de GSD hebben gemeenten veelal een contract met het UWV gesloten. Dit contract komt voort uit de verplichting van het UWV om als verantwoordelijke voor de gegevensverwerking goede afspraken te maken over de borging van de privacy (bewerkersconstructie). Tijdens de sessie is aangegeven dat ook de verantwoording naar het UWV vanuit ENSIA zal plaatsvinden. Dit is echter nog niet door het UWV bevestigd.

Het is nog wel van belang om te kijken naar de plaats waar de activiteiten plaatsvinden, Hieronder de scenario’s:

In het geval van een samenwerkingsverband is het efficiënter en goedkoper om in samenspraak met de andere gemeenten een auditor te selecteren die de audit gaat uitvoeren. De auditor kan dan een TPM afgeven die de gemeenten kunnen gebruiken om hun verantwoording in de ENSIA tool te onderbouwen.

De houding van de auditor

Veel gemeenten kiezen ervoor om naast het verplichte deel van ENSIA ook de rest hiervan te auditeren. Door intergemeentelijke sociale diensten is gevraagd de volledige verantwoordingsrichtlijn te auditeren. De auditoren krijgen hierbij twee opdrachten. Het controleren van de verklaring van de gemeente voor het verplichte deel. Daarnaast ook een audit op het niet verplichte onderdeel.

Bij de verplichte onderdelen kunnen auditoren beperkt coulant zijn. Voor het niet verplichte deel wordt verzocht behulpzaam te zijn en het leerproces te ondersteunen. Mijn persoonlijke insteek is dat een auditor altijd goed moet uitleggen waar eventuele verbeterpunten zijn. Dit omdat een audit het doel heeft om een organisatie te verbeteren. De norm moet altijd gecontroleerd worden. Hierbij moet de afweging worden gemaakt of hetgeen is aangetoond in lijn is met wat er wordt gevraagd.

De planning

Veel gemeenten gaan er vanuit tot 1 mei de tijd hebben om alles in orde te maken. De tijd lijkt echter veel langer dan deze werkelijk is. De verklaring moet op tijd klaar zijn voor de auditor en daarna moet de verklaring naar de gemeenteraad. Deze vergaderingen vinden niet elke week plaats. In maart zijn er gemeenteraadsverkiezingen, hierdoor hebben sommige gemeenten geen vergadering gepland in april. Het is nog beperkte tijd om alles op orde te krijgen.

Het advies is dan ook om tijdig audits te plannen. Ook is het verstandig om in 2017 een pre-audit te plannen zodat u zeker weet dat het in 2018 op tijd klaar is en het van voldoende kwaliteit is.

De normenkaders

Het DigiD 2.0 normenkader is nieuw dit jaar. Het wijkt in een aantal opzichten af van het vorige normenkader. Het lijkt ingekort te zijn met 20 normen. Echter ten opzichte van het aantal normen van de DigiD 1.0 norm zijn de huidige normen samengesteld uit een aantal oude normen. Feitelijk bestaat deze uit 34 normen. De audit heeft een meer technisch karakter gekregen. Vooral voor gemeenten die zelf hosten zal gelet moeten worden op de toename in technische normen. In de uitgereikte handreiking die te downloaden is op de site van de Norea wordt per norm duidelijk gemaakt welke beheermaatregelen de auditor verwacht aan te treffen.

Het SUWI normenkader voor de ENSIA is afgeleid van de volledige verantwoordingsnorm voor de SUWI. Vanuit de kant van auditoren die bij gemeenten werkzaam zijn is bezwaar tegen de uitgeklede norm. Door het beperken van het aantal normen zijn belangrijke aspecten geen object van onderzoek meer. De risico’s van SUWI zijn vooral gericht op de wijze waarop met de data wordt omgegaan. In de ENSIA lijst is hier weinig tot geen aandacht voor. Voor de sociale diensten is dan ook het advies om vast te houden aan de verantwoordingrichtlijn om ook in het kader van de AVG aan te kunnen tonen dat op een goede wijze wordt omgegaan met de gegevens vanuit het SUWI systeem. Ook voor de SUWI is aandacht in de handreiking. De toelichting is hiervan belangrijk omdat er enkele normen maar in beperkte mate van toepassing zijn op de gemeente, bepaalde taken zijn belegd bij het BKWI. Denk hierbij aan wachtwoordinstellingen, loginstellingen en het voorzien in rapportages. Het is aan de gemeente om de middelen die de BKWI ter beschikking stelt te controleren of medewerkers goed omgaan met het SUWI systeem.

Toekomstige ontwikkelingen

Hoewel we nog druk bezig zijn met de verantwoording 2017 werd er al vooruit gekeken naar 2018. De verwachting is dat de specifieke normenkaders van de BRP, PNIK, BAG en BGT worden toegevoegd aan de audit.

Vanuit de DigiD werkgroep werd aangegeven dat het tijd is om naast opzet en bestaan door te gaan op de werking. Omdat ENSIA één stelsel is en het stelsel wel één systeem moet houden is het nog de vraag of dit voorstel doorgevoerd gaat worden. Echter zijn gemeenten ook al jaren bezig met de BRP/PNIK en is er ook voor de BAG al eerder geauditeerd.

Conclusie

Het ENSIA traject vraagt veel van ENSIA coördinatoren en betrokkenen. Zeker daar van de coördinatoren vaak ook een rol verwacht wordt op het gebied van privacy gaan begin volgend jaar zaken door elkaar heen lopen. Daar waar 2017 het jaar is van de opzet van de ENSIA zal 2018 een combinatie worden van verdere inrichting (verbeteringen) en het beheer van het bestaande.

De ontwikkelingen vragen om actualisering van beleid, richtlijnen en procedures. Het actualiseren van risico’s. Het monitoren van de uitvoering van procedures en het in de gaten houden van wettelijke veranderingen.

Dit allemaal samen met de implementatie van de AVG waar ook een beveiligingskant aan zit. Al deze werkzaamheden vragen om tooling die u helpt. Met onze producten ISMS. PMS en IC Control kunnen we u in 2018 helpen om uw informatiebeveiliging en privacy op een adequate wijze en zeer efficiënt bij te houden.

Categorie: Nieuws Wetgeving