Gemeenten aan zet

‘Roep niet te snel dat de veiligheid op orde is’

Om veilig gegevens en informatie uit te wisselen met andere partijen, kunnen gemeenten gebruikmaken van verschillende open standaarden. Het is aan de gemeenten zelf om deze standaarden volgens het ‘pas toe of leg uit principe’ te implementeren. De IBD helpt hen daarbij.

Door de toenemende digitalisering is het voor gemeenten belangrijker dan ooit om zorgvuldig om te gaan met deinformatie en gegevens van burgers, bedrijven en ketenpartners. Dit werd pijnlijk zichtbaar in 2011, toennaar aanleiding van een groot incident met de beveiligingscertificaten van websites van de overheid duidelijk werd hoe kwetsbaar de digitale informatiesystemen van de overheid eigenlijk zijn.Voor bestuurders was het duidelijk dat gemeenten de handen ineen moesten slaan en met een gezamenlijke en gecoördineerde aanpak moesten komen op het terrein van informatiebeveiliging. De oprichting van de Informatiebeveiligingsdienst voor gemeenten (IBD) in 2012 was hiervan het gevolg. Deze moest die coördinatie vormgeven. De IBD is een gezamenlijk initiatief van deVereniging van Nederlandse Gemeenten (VNG) en VNG Realisatie (voorheen KING, Kwaliteitsinstituut Nederlandse Gemeenten) en is het eerste aanspreekpunt voor alleNederlandse gemeenten op het gebied van informatiebeveiliging. “We ondersteunen gemeenten bij beveiligingsincidenten”, vertelt IBD-hoofd Nausikaä Efstratiades. “Hiervoor hebben we een Computer Emergency Response Team (CERT), dat 24 uur per dag bereikbaar is. We hebben alle gemeenten, maar ook hun leveranciers en andere ketenpartners, onder één knop zitten. We kunnen als het moet partijen dus heel snel bereiken. Daarnaast geven we gemeenten advies op het gebied van informatieveiligheid en het gemeentelijk normenkader voor informatiebeveiliging, en zijn we het schakelpunt tussen de gemeenten en het Nationaal Cyber Security Centrum, NCSC.”

Beveiliging

Kort gezegd helpt de IBD gemeenten vanuit de kracht van het collectief om informatiebeveiliging naar een hoger plan te tillen. “Daarvoor hebben we BIG geschreven: de Baseline Informatiebeveiliging Gemeenten”, legt Efstratiades uit. “Die beschrijft voor gemeenten de normen op het terrein van informatiebeveiliging.” De BIG kent een strategische en een tactische variant. Destrategische BIG is als het ware een kapstok waaraan de elementen van informatiebeveiliging kunnen worden opgehangen. Deze richtlijn is van toepassing op alle ruimten van een gemeentehuis, aanverwante gebouwen plus de apparatuur die door de ambtenaren wordt gebruikt. De tactische BIG is het normenkader dat de beschikbaarheid, integriteit en exclusiviteit van gemeentelijke informatie(systemen) bevordert. Deze omvat een totaalpakket aan informatiebeveiligingscontroles en -maatregelen.Efstratiades: “Met de BIG hebben gemeenten een instrument in handen waarmee zij in staat zijn om te meten of hun organisatie in control is als het gaat om informatiebeveiliging.Beide varianten van de BIG zijn beschikbaar voor alle gemeenten op de website van de IBD, zodat iedere gemeente deze openstandaarden ook daadwerkelijk kan implementeren.”

Gericht aan de slag

Tal van open standaarden zijn van nut voor het vergroten van de informatieveiligheid en deze komen terecht op de ‘pas toe of leg uit'-lijst* van Forum Standaardisatie. Alle organisaties binnen de publieke sector die ICT-systemen en -diensten van boven de 50 duizend euro inkopen, zijn in principe verplicht om deze standaarden toe passen. Doen ze dat niet, dan moeten ze hierover verantwoording opnemen in het jaarverslag. De IBD helpt gemeenten die standaarden te implementeren. Efstratiades: “We hebben samen met gemeenten en in afstemming met het Forum Standaardisatie een set ondersteunende producten ontwikkeld die gemeenten kunnen gebruiken bij de implementatie van de open beveiligingsstandaarden.” Zodra het Forum Standaardisatie een nieuwe standaard opneemt in de ‘pas toe of leg uit'-lijst, bekijkt de IBD wat deze standaard precies

betekent voor gemeenten. Efstratiades: “We polsen of en welke gemeenten al ervaring hebben met de betreffende standaard en wat de mogelijke impact ervan is. Daarnaast treden we in overleg met het NCSC, een belangrijke samenwerkingspartner van de IBD. Op basis van onze bevindingen sturen we een factsheet rond naar alle gemeenten met daarin de belangrijkste informatie enconclusies. Regelmatig komen gemeenten ook bij ons terug met praktische implementatietips voor hun collega-gemeenten. Deze delen we natuurlijk in het IBD-netwerk. Dat werkt prima. In de periode tussen 2012 en 2015 plaatste Forum Standaardisatie op de ‘pas toe of leg uit'-lijst bijvoorbeeld drie standaarden die zich richten op veilig e-mailverkeer. Om de adoptie van die standaarden bij gemeenten te vergroten, hebben we een impactanalyse uitgevoerd om de consequenties van invoering van die standaarden bij gemeenten in kaart te brengen. Zo kon elke gemeente gericht aan de slag.”

Bug Bounty Challenge

Over het algemeen pakken gemeenten de open standaarden snel op. Efstratiades: “Datis omdat gemeenten doorgaans werken met eenzelfde groep van leveranciers. Zo is er slechts een handjevol partijen dat websites levert voor gemeenten. Als een van deze partijen een standaard adopteert, kan deze partij ze in één keer toepassen op de websites van veel gemeenten. Dan kan het snel gaan.” Toch is het niet altijd makkelijk. “Dat komt vooral doordat systemen van gemeenten verknoopt zijn binnen de organisatie en met ketenpartners. Een standaard die bedoeld is om spam en phishing tegen te gaan kan – bij een verkeerde implementatie – zomaar leiden tot een verstoring elders in het berichtenverkeer, met alle mogelijke gevolgen van dien”, aldus Efstratiades. Regelmatig worden gemeentelijke informatiesystemen ook getest op hun beveiliging. Efstratiades: “Zo hebben onlangs nog ruim dertig ethische hackers in het gemeentehuis van Den Haaggezocht naar beveiligingslekken in de systemen van die gemeente. De gemeente organiseerde deze Bug Bounty Challengespeciaal om haar systemen te laten testen op mogelijke onveiligheden. De IBD was daarbij ook aanwezig. We gaven hackers uitleg over de gemeentelijke processen en technische systemen, maar waren er ook om eventuele kwetsbaarheden meteen door te geven aan andere gemeenten. De kwetsbaarheden die werden gevonden, bleken gelukkig niet kritiek.”

Zwakste schakel

Voor informatiebeveiligers binnen gemeenten blijft het een constante uitdaging om de aandacht op alle niveaus vast te houden. Efstratiades: “Je moet oppassen dat niet te vroeg het beeld ontstaat dat alles op orde is. Een slot op de deur kan technisch gezien nóg zo veilig zijn, als we de deur niet op slot draaien, is ons huis alsnog niet beveiligd. Naast technische maatregelen is het belangrijk dat gemeenten ook aandacht hebben voor procedures en processen in hun organisatie die ervoor zorgen dat de medewerkers zich bewust zijn van hun veilige dan wel onveilige gedrag. Ze moeten weten op welke manier ze zelf die veiligheid kunnen borgen. Processen en procedures moeten zo zijn ingericht dat zij medewerkers daarbij faciliteren. Informatiebeveiliging is een samenspel van techniek, proces en organisatie. Dat was vroeger zo en dat is nu niet anders.”

Wat zijn de belemmeringen en succesfactoren voor adoptie van standaarden door gemeenten? Lees op pagina 39 het interview met Theo Peters van VNG Realisatie.

Dit artikel kwam tot stand met medewerking van Nausikaä Efstratiades /Hoofd Informatiebeveiligingsdienstvoor gemeenten (IBD).

Aldus Hugo Aalders, Directeur VNG Realisatie

‘Vrijblijvendheid is de vijand van standaardisatie’

Hoe scherper een standaard is gedefinieerd, hoe sneller en beter de adoptie ervan plaatsvindt”, meent Theo Peters van VNG Realisatie. Aan de hand van een aantal concrete standaarden legt hij uit wat de belemmeringen en succesfactoren zijn voor adoptie van standaarden door gemeenten.

VNG Realisatie – sinds 2018 de nieuwe naam van het Kwaliteitsinstituut Nederlandse Gemeenten (KING) – biedt gemeenten de helpende hand bij het adopteren van standaarden om hun dienstverlening te verbeteren. “Standaarden zijn voor het goed functioneren van gemeenten onmisbaar”, zegt Theo Peters, unitmanager Architectuur en Standaarden bij VNG Realisatie. “Zo maken we gebruik van StUF, ofwel het Standaard Uitwisseling Formaat. Dit is een berichtenstandaard waarin staat beschreven op welke manier het uitwisselen van gegevens tussen applicaties in het gemeentelijke veld en ketenpartners plaats dient te vinden. Het helpt gemeenten om hun digitale communicatie te stroomlijnen. StUF biedt als het ware de bouwstenen en richtlijnen waarmee berichtstandaarden kunnen worden samengesteld en voorkomt dat iedere gemeente, inclusief haar ketenpartners, zelf het wielopnieuw moeten uitvinden. In de loop der jaren is er een hele ‘StUF-familie’ aan standaarden ontstaan. Op dit moment  zijn het er ongeveer dertig.”

Softwarecatalogus

Peters licht er drie succesvolle standaarden uit en verklaart waarom de adoptie hiervan soepel verliep: de GEMMA (GEMeentelijke Model Architectuur) Softwarecatalogus, GIBIT (Gemeentelijke Inkoopvoorwaarden bij IT) en de Gemeentelijke Monitor Sociaal Domein. Peters: “Om te beginnen hebben gemeenten sinds 2014 de GEMMA Softwarecatalogus in gebruik. Hierin staat precies beschreven aan welke standaarden de softwareapplicaties moeten voldoen om informatie uit te mogen wisselen met onze andere systemen. Wanneer een gemeente bijvoorbeeld een applicatie laat bouwen voor het afgeven van vergunningen, zal deze applicatie een bepaalde taal moeten spreken om alle relevante informatie voor die vergunning te kunnen verwerken. Alle noodzakelijke informatiestromen moeten bij voorkeur met elkaar kunnen communiceren. De afspraken hierover staan beschreven in deze catalogus. Maar er staat bijvoorbeeld ook een lange lijst van leveranciers in die volgens bepaalde standaarden hun software kunnen leveren.”

Dit artikel kwam tot stand met medewerking van Theo Peters, Unitmanager Architectuur en Standaarden VNG Realisatie.

Gemeenten maken gretig gebruik van de catalogus. Peters: “De adoptiegraad is 95 procent. Het is bovendien een levend document. Gemeenten en leveranciers actualiseren zelf voortdurend de gegevens. Dat gaat min of meer vanzelf, omdat het voor alle partijen een belangrijk en vooral praktisch naslagwerk is. Dat is ook waarom de standaard breed en snel werd geadopteerd. Als gemeenten een nieuwe applicatie nodig hebben, hoeven ze niet zelf na te denken over de eisen waaraan deze moet voldoen en welke leveranciers de software kunnen leveren. Dat scheelt tijd, geld en inspanning.”

Gemeenten maken graag gebruik van de  GIBIT, omdat ze er direct iets aan hebben.

Kleine lettertjes

Een andere standaard die veel gemeenten maar wat graag toepassen, is er een voor inkoopvoorwaarden: de GIBIT. Peters legt uit: “Eind 2016 heeft de VNG de GIBIT vastgesteld. Het idee is dat gemeenten deze voorwaarden gebruiken voor inkoop van producten of diensten op het gebied van ICT. Ook de adoptie van deze standaard ging snel, omdat gemeenten het lastig vinden om bij ieder af te sluiten contract met een ICT-leverancier zelf te moeten nadenken en onderhandelen over de inkoopvoorwaarden. In het verleden lieten gemeenten veel kansen liggen op dit gebied. Nu staan de inkoopvoorwaarden duidelijk en gedetailleerd omschreven. Tot op het niveau van de kleine lettertjes. Wat gebeurt er in het geval van storingen? Hoe zit het met het overdragen van licenties aan partners? Aan alles is gedacht. Ook voor deze standaard geldt dat gemeenten er in de praktijk direct iets aan hebben, dus ze maken er graag gebruik van.”

Ruimte voor interpretatie

Tot slot noemt Peters de Gemeentelijke Monitor Sociaal Domein. “Deze monitor biedt gemeenten een scala aan informatie dat nodig is voor de gemeenteraad, om beleid te maken en om te zien welke informatie burgers ontvangen. Zo geeft de monitor inzicht in het gebruik van voorzieningen, voorspelt hij op basis van bestaande gegevens wat het toekomstig zorggebruik is in een bepaalde gemeente en wat de cliëntervaringen zijn met de Wet maatschappelijke ondersteuning. Ook kunnen we met deze monitor zien welke gemeenten welke standaarden hebben geadopteerd. De gegevens zijn overigens nooit te herleiden tot een individu, maar laten een overall beeld zien.” Afgezien van de succesvolle standaarden diePeters hier de revue laat passeren, verloopt de adoptie van veel standaarden door de bank genomen een stuk moeizamer. Peters: “De bottleneck zit hem bij gemeenten én leveranciers.Het duurt doorgaans lang voordat leveranciers de standaarden hebben ingebouwd in hun systemen en applicaties. En gemeenten zetten hier niet genoeg druk achter. Ze laten het vaak sloffen.”Dat leveranciers veel tijd nodig hebben, heeft weer te maken met het complexe karakter van veel van de standaarden. Peters: “Vaak is het voor de leveranciers niet precies duidelijk wat er moet gebeuren en is er ruimte voor interpretatie. Dan kan ineens blijken dat de koppelingen tussen de diverse softwareapplicaties toch niet werken.”

Vrijblijvendheid

Terugkijkend op de snelle en succesvolle adoptie van bepaalde standaarden heeft Peters wel wat tips. “Hoe kleiner en scherper een standaard is gedefinieerd, des te sneller en beter de adoptie kan plaatsvinden. En zet leveranciers onder druk. Zorg ervoor dat ze geen keuze hebben en de nieuwe standaard móéten adopteren. Zo’n stok achter de deur helpt. Vrijblijvendheid is de vijand van standaardisatie. Maak de adoptie van de standaard bovendien zichtbaar. Transparantie stimuleert anderen om er ook mee aan deslag te gaan.”Een andere tip is volgens Peters om de standaard aan te bieden als een werkende interface waarop partijen kunnen aanhaken,in plaats van een tekst op een stuk papier. Peters: “Zonder een werkende interface met de juiste data waren er bijvoorbeeld geen parkeerapps geweest. Die namen een vlucht, omdat de machine achter de schermen al draaide. Kortom: houd het scherp, maak het makkelijk, tastbaar en nuttig. Dat zijn de pijlers waarop succesvolle standaarden leunen.”

‘Pas toe’ bij de Rijksoverheid

Niet alleen gemeenten volgen het ‘pas toe of leg uit’-principe, ook de Belastingdienst en het ministerie van Justitie en Veiligheid doen dat.

De centrale inkoopeenheid van de Belastingdienst heeft in haar intakeformulier voor interne opdrachtgevers van ICT-projecten een vraag opgenomen over de open standaarden van de ‘‘pas toe of leg uit’-lijst. In het formulier vraagt zij de inhoudelijke experts welke relevante standaarden van de lijst moeten worden uitgevraagd in de inkoop. Worden de standaarden om een geldige reden niet uitgevraagd, dan volgt meteen een verzoek om een ‘explain’-tekst voor in de jaarverantwoording.

Het ministerie van Justitie en Veiligheid ontwikkelde voor Europese aanbestedingen een document met invulvelden. Dit document bevat een tekst over open standaarden en de ‘pas toe of leg uit’-lijst. Daarmee brengt het ministerie niet alleen het onderwerp onder de aandacht, het model verplicht gebruikers ook om de tekst actief te verwijderen als zij in de aanbesteding geen relevante standaarden willen uitvragen. Bovendien dwingt het bij afwijkingen verantwoording af.