ENSIA

Informatieveiligheid en het waarborgen van privacy zijn zaken die hoog op de agenda staan in Nederland. Gemeenten moeten zich elk jaar verantwoorden voor de kwaliteit van de informatieveiligheid van diverse informatiesystemen. Sinds 1 juli 2017 moet dit verplicht met de audit systematiek ENSIA: Eenduidige Normatiek Single Information. Met deze audit kunnen gemeenten in één keer verantwoording afleggen over het gebruik van de informatie die in het gemeentelijk verantwoordingsproces naar voren komt. Onderdelen in deze audit zijn het invullen van een zelfevaluatie vragenlijst en een Collegeverklaring Informatiebeveiliging. En hierbij komt de nieuwe dienstverlening van Astrium Overheidsaccountants (AOA) aan bod.

Assurance rapportage door IT-auditor Niels Lansbergen van AOA

Elke gemeente moet verplicht het ENSIA verantwoordingsproces organiseren, dit gebeurt veelal via een gemeentelijk coördinator. Deze zorgt er o.a. voor dat er bewustzijn, betrokkenheid en draagvlak wordt gecreëerd voor het onderwerp informatieveiligheid. Hij/zij zorgt er tevens voor dat de vragenlijst zelfevaluatie informatiebeveiliging intern wordt uitgezet en ingevuld en dat er een Collegeverklaring Informatiebeveiliging wordt opgesteld. Met deze verklaring geeft het college van B en W aan in hoeverre bij de gemeente de beheersingsmaatregelen voldoen aan de ENSIA normen. Een bij de NOREA (Nederlandse Orde van Register EDP-Auditors) geregistreerde IT-auditor controleert vervolgens de Collegeverklaring en stelt een Assurance rapport op. Hierin wordt verklaard dat de Collegeverklaring een getrouw beeld geeft. In andere woorden: dat het met een redelijke mate van zekerheid juist en volledig is. Niels Lansbergen (AOA) is door het NOREA gecertificeerd om deze IT-audit voor gemeenten uit te voeren. Het opstellen en uploaden van de Collegeverklaring informatiebeveiliging, het uitvoeren van de IT-audit en het opstellen en uploaden van het Assurance rapport dient vóór 1 mei 2018 te gebeuren.

In onderstaand schema is het proces ENSIA verantwoordingsjaar 2017 verduidelijkt:
Proces ENSIA
Bron: www.ensia.nl

Waarom ENSIA?

Met ENSIA hebben gemeentebesturen meer inzicht in de stand van zaken van de informatieveiligheid, kunnen zij beter sturen op informatieveiligheid en er verantwoording over afleggen aan de gemeenteraad. ENSIA is een initiatief van de ministeries van Binnenlandse Zaken en Koninkrijksrelaties, Infrastructuur & Milieu, Sociale Zaken & Werkgelegenheid en de Vereniging van Nederlands Gemeenten (VNG). Het doel is het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).
Voorheen waren er aparte verantwoordingsprocedures voor de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet). Met ENSIA is dit nu samengevoegd en gestroomlijnd. Dat wil zeggen dat gemeenten nu in één audit verantwoording afleggen.