Informatiebeveiliging bij gemeentelijke samenwerkingsverbanden: slagvaardig maatregelen nemen

Een gemeentelijk samenwerkingsverband heeft in informatiebeveiliging met dezelfde uitdagingen te maken als een afzonderlijke gemeente. Maar er zijn wel verschillen. De focus en slagvaardigheid is bijvoorbeeld groot, zodat vrij strenge maatregelen vlot ingevoerd kunnen worden. Dropbox of Gmail gebruiken? Vergeet het maar.

“Het is mooi dat wij als samenwerkingsverband volwaardig aangesloten kunnen zijn bij de IBD. We hebben veel aan hun ondersteuning, voor ons is de IBD een kennisbank,” zegt Nathaly Icke, afdelingsmanager Gegevensbeheer & IT en tevens CISO bij Cocensus. Cocensus is een gemeenschappelijke regeling op het gebied van belastingen en werkt voor elf gemeenten. Jaarlijks verstuurt het 1.266.621 belastingaanslagen. Er werken 139 mensen, in de hoofdvestiging in Hoofddorp en een nevenvestiging in Alkmaar. Het kantoor in Hoofddorp ademt een sfeer van soberheid en efficiency; veel burgers komen er niet. “We hebben wel een loket, maar dat wordt nauwelijks gebruikt,” zegt Icke. “Eigenlijk gaat alles via de post, telefoon en digitale kanalen.”

Efficiency

Efficiency was de belangrijkste reden voor de gemeenten Haarlem en Haarlemmermeer om in 2007 Cocensus op te richten. Later sloten nog eens negen gemeenten aan. Cocensus voert uit, de aangesloten gemeenten maken het beleid. Zo kan er in de ene gemeente wel hondenbelasting zijn en in de andere niet. “We voeren verschillende regelingen uit. We proberen daar wel in te sturen, want we behalen de meeste efficiency als er niet te grote verschillen zijn. Bijvoorbeeld als alle aangesloten gemeente hetzelfde aantal betalingstermijnen hanteren.”

Icke is verantwoordelijk voor twee teams: ICT en Gegevensbeheer. Gegevens zijn het hart van Cocensus: “We verzamelen allerlei gegevens die nodig zijn voor het opleggen van aanslagen. We waarderen bijvoorbeeld 650.000 objecten voor de WOZ. We verwerken die gegevens in ons systeem, zodat onze afdelingen er mee aan de slag kunnen.” Bijna alle hard- en software heeft Cocensus in eigen beheer, sinds 2014 staat het in een extern datacenter. Sinds begin dit jaar draait het belastingsysteem, het belangrijkste systeem voor het samenwerkingsverband, bij leverancier GouwIT. “In de cloud werken is voor ons zeker een optie, maar we wachten tot onze hardware is afgeschreven voordat we die stap nemen.”

Gevoelige gegevens

Cocensus werkt met veel persoonsgegevens en andere gevoelige gegevens. “Het belangrijkste is dat onze informatie echt veilig is, dat het niet ontsloten kan worden van buitenaf,” vertelt Icke. In de overeenkomst met GouwIT en het externe datacenter zijn daarover duidelijke afspraken gemaakt. Intern nam Cocensus de nodige maatregelen om de veiligheid te garanderen. Zo is het gebruik van toepassingen als Dropbox en Hotmail geblokkeerd, is de wifi streng beveiligd, het netwerk gesegmenteerd en heeft geen van de gebruikte apparaten een USB-poort. Elke smartphone is voorzien van een persoonlijk certificaat, waardoor alleen dat specifieke toestel gebruikt kan worden om de Cocensus e-mail te lezen. Icke: “We hebben het zo veilig gemaakt dat mensen daar in hun werk wel eens last van hebben.” Vooral de beveiligde webmail riep wat weerstand op, omdat mensen alleen hun werkmail via die toepassing kunnen bekijken en niet meer alle mail in hun vertrouwde mailbox. “Er is altijd wel wat weerstand als we dingen invoeren. Maar over het algemeen begrijpen mensen het wel,” zegt Lars de Mooy, systeembeheerder en IT-adviseur. Hij zorgt voor de beveiliging van de interne systemen en houdt onder meer de kwetsbaarheidsmeldingen van de IBD bij. “Er komen doordeweeks best aardig wat meldingen binnen. Ik categoriseer en prioriteer ze. Een deel van de dreigingen wordt door onze firewall opgevangen, daar zorgt de leverancier van de firewall voor. In een geval als de WannaCry uitbraak volg ik via Twitter en andere bronnen wat er gebeurt en zorg ik ervoor dat we meteen patchen.”

BIG

Anderhalf jaar geleden begon Cocensus met de implementatie van de BIG. Icke: “Dat was, in combinatie met de voorbereiding op de AVG, voor ons een goede manier om de hele organisatie door te lichten, van personeelszaken tot IT. We hebben alles projectmatig doorgenomen en gekeken wat goed gaat en wat we moesten aanscherpen. We hebben toen een heleboel maatregelen genomen, zoals de invoering van de beveiligde webmail en het vernieuwen van geheimhoudingsverklaringen met interne en externe medewerkers.” Ook worden sinds die tijd medewerkers actiever geïnformeerd over beveiliging. De Mooy: “We sturen bijvoorbeeld een waarschuwingsmail als er ergens een datalek door phishingmail was. Mensen blijven de zwakste schakel in je beveiliging, dus daar moet je ook aandacht aan besteden.” Door alle voorlichting, bijvoorbeeld over het belang van sterke wachtwoorden, zijn medewerkers zich wel bewuster geworden van de risico’s, zegt hij. De invoering van de BIG werkte dus goed bij Cocensus om de puntjes op de i te zetten. “Het is eigenlijk een handige, supergrote checklist,” zegt Icke.

Eenduidige focus

Wat informatiebeveiliging betreft is een gemeentelijk samenwerkingsverband niet anders dan een afzonderlijke gemeente. Maar er is wel één groot verschil, zegt Icke: “Gemeenten hebben allerlei afdelingen, met hun eigen behoeftes en cultuur. Onze organisatie is vergeleken daarmee heel overzichtelijk en klein. We hebben een eenduidige focus: belastingen. Dat maakt ons slagvaardig. Als ons MT iets beslist, dan kunnen we het implementeren.” De Mooy besluit: “De bij ons aangesloten gemeenten moeten er op aan kunnen dat de gegevens van burgers en bedrijven bij ons veilig zijn.”