In mei 2012 hebben UWV, Belastingdienst, Sociale Verzekeringsbank (SVB) en de Dienst Uitvoering Onderwijs (DUO) het Centrum Informatiebeveiliging en Privacybescherming (CIP) opgestart om expertise te delen én te ontwikkelen op het gebied van informatiebeveiliging en privacybescherming.
Het CIP is een uitvloeisel van het uitvoeringsprogramma Compacte Rijksdienst waarbij één van de ideeën was het opzetten van expertisecentra (Andere expertisecentra zijn onder meer Fraude (met als ‘trekker’ de Belastingdienst), Business Rules Management (SVB) en ICT (DUO)) om door krachtenbundeling en samenwerking de efficiëntie en effectiviteit van de overheid te vergroten.
Het UWV heeft het initiatief genomen voor de totstandkoming van het expertisecentrum CIP, vertelt directeur Ad Reuijl die vanuit het UWV is vrijgesteld om aan het CIP vorm en inhoud te geven. Het is een publiek-private samenwerking benadrukt Reuijl, waarbij met een aantal marktpartijen een convenant is gesloten om kennis in te brengen. Organisaties als het CVZ, CAK, BKWI, RDW en Rijkswaterstaat hebben zich inmiddels ook aangesloten. ‘Het is mogelijk voor andere overheidsorganisaties om ook toe te treden, dat heb ik actief opgepakt. Want hoe meer er gedeeld wordt, hoe krachtiger het wordt’, aldus Reuijl.
Als er meer gedeeld gaat worden, gaat er dan ook meer gediscussieerd worden?
Reuijl lacht: ‘Dat is wel een ding natuurlijk. Maar we hebben daar een goede structuur aan kunnen geven. We kennen een aantal werkvormen, één daarvan is de tweejaarlijkse CIP-conferentie. Daarvan hebben we er nu drie achter de rug, de vierde vindt 28 november plaats. Dat is een vorm om de hele community bij elkaar te halen en met interessante thema’s te bedienen.’ Het fundament van de samenwerking wordt gevormd door vier domeingroepen. ‘We hebben er bijvoorbeeld een over Privacy. Daarin zitten onder meer mensen met een juridische achtergrond. Een andere domeingroep is Awareness, daarin zitten overheidsmedewerkers met uiteenlopende achtergronden, waaronder bijvoorbeeld ook hr.’
De andere twee domeingroepen heten Ketens en Normen, geeft Reuijl aan. ‘Het aardige is dat dit initiatief bottom-up is opgezet, maar kan rekenen op commitment van zowel bestuurders van de Manifestgroep (waarin grote overheidsuitvoerders samenwerken) als de top van ministeries (bijvoorbeeld die van Sociale Zaken en Werkgelegenheid en Binnenlandse Zaken en Koninkrijksrelaties). Bestuurders en directeuren-generaal van deze organisaties spreken regelmatig op onze conferenties.Maar het uitgangspunt van het CIP is juist dat de professionals binnen onze organisaties elkaar gaan kennen en vinden op bepaalde thema’s.’
Cyber Security Platform
‘Overigens zijn we nu een vijfde community aan het opzetten en dat noemen we het Cyber Security Platform. Dat doen we in relatie met het Nationaal Cyber Security Centrum. We sluiten daarbij aan op het in opbouw zijnde ‘Nationaal Expertise Netwerk Cyber Security’. Daarin zitten vooral mensen met een technische achtergrond en de bedoeling is dat we ook op dit specifieke terrein kennis gaan delen. Ook over mogelijke DDoS aanvallen en problemen die optreden met hackers. Een incident bij een van de partijen kan een waarschuwing betekenen voor de anderen. Dat stelt eisen aan je communicatie en dat is best nog wel een uitdaging, maar zie dit als een stip op de horizon; je kunt bij elkaar de vraag uitzetten of er een beeld bestaat dat bepaalde dreigingen zich kunnen gaan voordoen. Ik zeg altijd: we hebben een vertrouwd netwerk, waarbinnen je meer kunt doen. Waar je sneller elkaar ook met voorlopige informatie kunt bevruchten, waarbij je wél aangeeft dat het voorlopige informatie is. Het is een gegeven dat als je dit soort informatie met elkaar wilt delen, je dan een hoog niveau van onderling vertrouwen nodig hebt.’
De conferentie van 28 november aanstaande is voor een groot deel gewijd aan het thema ‘Overheid digitaal in 2017’ naar aanleiding van de visiebrief die minister Plasterk op 23 mei heeft aangeboden aan de Tweede Kamer met als ambitie om de digitale dienstverlening door de overheid verder te verbeteren waarbij de invoering van een nieuw eID-stelsel centraal staat. Er staat onder meer een paneldiscussie op de agenda, vertelt Reuijl, waaraan deelnemen: Gert-Jan Buitendijk (Directeur-generaal Bestuur en Koninkrijksrelaties van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties), Wilbert Tomesen (plaatsvervangend voorzitter van het College Bescherming Persoonsgegevens), Johan Hakkenberg (algemeen directeur van de RDW) en José Lazeroms (lid Raad van Bestuur van het UWV met portefeuille Informatievoorziening). Moderator is de cio van het UWV, Aart van der Vlist.
Op meer niveaus bezig zijn
Momenteel, zo meldt Reuijl, is het CIP betrokken bij innovatie van het normenkader rond DigiD. ‘Als je als overheidspartij je diensten verleent onder DigiD-authenticatie, dan moet je voldoen aan een normenkader en wij zijn-– samen met het NCSC, het Nationaal Cyber Security Centrum – bezig een nieuwe versie te maken van dat normenkader. Het gaat niet om nieuwe normen maar om een meer fundamentele beschrijving op drie niveaus: beleid, uitvoering en beheer. De systematiek is ontwikkeld door Wiekram Tewarie, senior it-auditor bij het UWV en betrokken bij het onderzoeksinstituut IT auditing van de Vrije Universiteit in Amsterdam; hij trekt ook de domeingroep Normen by the way. Op normengebied is met de maturity assessment methodiek sprake van een echte innovatie.’
Reuijl refereert aan een speech van Generaal b.d. Dick Berlijn, tegenwoordig actief op het gebied van cyber security en veiligheidsvraagstukken, tijdens één van de vorige CIP- conferenties: “Hij gaf als voorbeeld veiligheid in het verkeer. We hebben ons rijbewijs, we hebben verkeersregels, we hebben de awareness om ons aan die regels te houden en er is handhaving. Je moet op meer niveaus bezig zijn om het bij elkaar veilig te krijgen, dat was de boodschap. En dat geldt dus hier ook in grote mate voor. Normen zijn heel belangrijk en ook een gemeenschappelijk begrip van normen. En dat je ze nakomt. En dat je ze handhaaft. Maar het is ook belangrijk om er rekening mee te houden dat het fout kan gaan en dat je dan over herstelvermogen moet beschikken.’
‘Het belang van waar wij mee bezig zijn is op de eerste plaats voor de burger: die mag het vertrouwen in de overheidsdienstverlening niet kwijtraken. Dat betekent dat je door de hele keten van dienstverlening heen de beveiliging moet verhogen, of beter nog: de effectiviteit daarvan. En op de tweede plaats gaat het ook om vertrouwen in elkaar als samenwerkende overheden. Want eigenlijk is alle dienstverlening tegenwoordig ketendienstverlening. En wanneer je die dienstverlening hoofdzakelijk via het internet brengt, dan moet je zorgen dat dat goed gaat. Daarom zetten we nu al die stappen, en niet alleen op informatiebeveiliging, maar vooral op continuïteit van de dienstverlening. Dat staat heel hoog op de agenda hier. Maar de complexiteit is immens en dus zal het af en toe fout gaan, de eerlijkheid gebiedt om dat te zeggen.’
Dit artikel is ook te lezen in GOV magazine nummer 5.
