Blog: “Wij zijn al 10 jaar op reis met de IBD”
Al 10 jaar staat de Informatiebeveiligingsdienst (IBD) aan de frontlinie van digitale veiligheid voor gemeenten en gemeentelijke samenwerkingsverbanden. Wat begon als een reactie op incidenten bij lokale overheden, groeide uit tot een hoeksteen van informatiebeveiliging en privacybescherming in Nederland.
Onze start als adviseurs informatiebeveiliging bij de IBD was op 24 september 2012. Alles moest worden uitgezocht. Een expertgroep Informatiebeveiliging, een ticketsysteem, automatisering, registratie van contactpersonen, huisstijl, automatisering, communicatie en woordvoering, verbinding met het NCSC en andere informatiebronnen, de eerste regiobijeenkomsten…
We begonnen met het schrijven van wat later de BIG (Baseline Informatiebeveiliging Gemeenten) en nog weer later de BIO (Baseline Informatiebeveiliging Overheid) ging heten.
Daarnaast moesten we met het hele team de CERT-processen uitwerken, waarbij we hulp kregen van het NCSC in de vorm van een vaste contactpersoon. De officiële oprichting van de IBD was op 1 januari 2013. We waren met zeven mensen: een DigiD-team (de DigiD-audit was net begonnen), een CERT-team (Computer Emergency Response Team) en een adviseursteam.
Overal een CISO
De BIG die we toen schreven heeft een aardverschuiving teweeggebracht. Hij gaf richting en bood handvatten en niet in de laatste plaats: we zijn allemaal ongeveer hetzelfde gaan doen. Dankzij de BIG is in vrijwel iedere gemeente en gemeentelijk samenwerkingsverband een Chief Information Security Officers (CISO) aanwezig. Dit is belangrijk omdat de CISO de trekker en aanjager is van de informatiebeveiligingsfunctie in een organisatie.
Kennisuitwisseling
Op het gebied van ondersteuning en kennisdeling is de IBD inmiddels een vertrouwde partner van gemeenten en hun samenwerkingsverbanden. Dat weten we omdat onze ondersteuningsproducten breed gebruikt worden, zelfs tot ver over de gemeentegrens bij andere organisaties, overheden, bedrijven. Andersom halen wij iets van de grote hoeveelheid kennis en ervaring van gemeenten bij ons in huis, mede dankzij professionals van gemeenten die tijdelijk zitting nemen op de CISO-stoel bij de IBD of die van de Functionaris Gegevensbescherming (FG).
Ondersteuningsreis
De inrichting van de huidige ondersteuning was niet zo bedacht bij de start, maar is gegroeid als respons op ontwikkelingen in de wereld om ons heen. De reis van de IBD is gemarkeerd met verschillende mijlpalen. Een baseline of norm beschrijft het “wat” in “wat moeten we doen?”. Dat leidt automatisch tot de tegenvraag “hoe moeten we het dan doen?”. Omdat er heel veel moest gebeuren om aan de BIG-norm te voldoen, hadden gemeenten heel veel vragen over het “hoe”.
Van CISO tot GS
In de beginjaren lag de nadruk op het ondersteunen van CISO’s. Met de komst van de Algemene Verordening Gegevensbescherming (AVG) in 2018 breidde de IBD haar aandachtsgebied uit naar privacybescherming. Voor privacy moeten gemeenten passende technische en organisatorische maatregelen nemen, dus daar kan men vaak wel ondersteuning gebruiken. Die maatregelen staan in de BIG/BIO. In 2020 is ons aanbod uitgebreid met Operationele Technologie en Industriële Automatisering. Sinds het incident bij de Hof van Twente in 2021 ondersteunt de IBD ook gemeentesecretarissen in hun rol als hoeder van de continuïteit van de gemeentelijke dienstverlening.
CERT
De dienstverlening van de IBD is breed en diepgaand en beweegt mee met de behoefte van gemeenten. Haar rol als CERT voor alle Nederlandse gemeenten en gemeenschappelijke regelingen omvat het leveren van kwetsbaarheidsmeldingen, ondersteuning bij incidenten, ondersteuning bij woordvoering, kennisdeling en het stimuleren van samenwerking tussen gemeenten.
Tienduizenden downloads
We kunnen wel stellen dat de IBD haar stempel heeft gedrukt op de informatiebeveiliging en gegevensbescherming bij Nederlandse gemeenten. Daar zijn we best een beetje trots op. Tien jaar lang ondersteuning door de adviseurs van de IBD heeft geresulteerd in meer dan 250 informatiebeveiliging- en privacy-handreikingen, factsheets en andere waardevolle hulpmiddelen. Deze kennis wordt tienduizenden keren per jaar gedownload en niet alleen door gemeenten. Daarnaast trekt de IBD-website jaarlijks 120.000 bezoekers.
Bijeenkomsten en crisisoefeningen
De impact van de IBD is niet beperkt tot interne maatregelen en documentatie. Sinds de oprichting zijn er honderden bijeenkomsten geweest voor CISO’s, FG’s, Privacy Officers (PO’s), gemeentesecretarissen en burgemeesters. Crisisoefeningen bij gemeenten met burgemeesters en bijeenkomsten voor gemeentesecretarissen benadrukten de betrokkenheid van bestuurders en hun rol bij het beschermen van informatie. Niet in de laatste plaats met de ‘gesprekskaarten voor de gemeentesecretaris’ die deze functionarissen ondersteunen bij het stellen van de juiste vragen aan hun adviseurs, en andersom! Ook ontwikkelden we instrumenten voor gemeenten. Dit begon met een DPIA (Data Protection Impact Assessment), die later uitmondde in de Integrale Risico en Privacy Analyse (IRPA).
Nog tien jaar graag!
Tien jaar geleden waren we erbij en we zijn er nog steeds. We hopen dat we nog veel langer mee mogen reizen met het geweldig leuke team van de IBD. Met het team dragen we iedere dag met veel plezier bij aan het verhogen van de digitale weerbaarheid van gemeenten, met gemeenten. Ook na tien jaar zijn we nog steeds onder de indruk van de openheid en transparantie waarmee zij hun ervaringen met ons delen, ook over incidenten. We zien de energie waarmee gemeenten elkaar competenties bijbrengen op intervisiebijeenkomsten en bijpraten over privacy. Het is en blijft een interessant vakgebied, dat mooier wordt door de mensen die er werken.”
Jule en Kees Hintzbergen (de tweeling)
