Een nieuwe ontwikkeling voor gemeenten is de ENSIA. ENSIA staat voor Enkelvoudige Normatiek Single Information Audit. Het is de bedoeling dat de ENSIA alle audits en zelfevaluaties voor gemeenten gaat combineren vanaf 1 juli 2017.
ENSIA moet uiteindelijk de kwaliteit van gemeentelijke informatieveiligheid vergroten. Het is een systematische verantwoording van de informatieveiligheid van een aantal basisadministraties die gemeenten gebruiken. Met ENSIA kunnen gemeenten in één keer slim verantwoording afleggen over informatieveiligheid van hun gemeente. Het bestuur kan daardoor beter sturen en de gemeenteraad te woord staan.
Ook het DigiD assessment valt hieronder. Dit betekent niet dat het DigiD assessment voor gemeenten gaat vervallen maar wordt gecombineerd binnen de ENSIA. Het zou kunnen zijn dat belastingkantoren hier ook mee te maken kunnen krijgen omdat bijvoorbeeld sommige belastingkantoren de BAG uitvoeren voor gemeenten. Onderdeel van ENSIA is namelijk ook de BAG-inspectie.
Ook de BGT (= Basiskaart Grootschalige Topografie) en Suwinet vallen onder de ENSIA.
Planning implementatie
Veel datalekken
PvdA Kamerlid lid Oosenbrug wilde na berichtgeving over de grote hoeveelheid datalekken bij gemeenten tot nu toe en de moeizame voorbereiding op nieuwe privacywetgeving weten of de minister het met haar eens is dat juli 2017 te laat is voor ENSIA. ‘Versnelde invoering is niet mogelijk doordat de gemeenten hiervoor klaar moeten zijn, het instrument ook ontwikkeld dient te zijn en de afspraken met de IT-auditors gemaakt moeten zijn’, schrijft Plasterk. Hij vindt juli 2017 een realistische datum.
Besluitvorming op lokaal niveau
De minister schrijft daarnaast dat besluitvorming over informatieveiligheid bij gemeenten het beste op lokaal niveau kan plaatsvinden. ‘Ik acht het op voorhand niet noodzakelijk om budgetten voor gemeenten af te zonderen of te oormerken. Een dergelijke maatregel verplicht gemeenten om een ontvangen budget voor informatieveiligheid aan dat doel te besteden. Informatieveiligheid behoeft een integrale inbedding in de organisatie – een benadering die verder strekt dan ICT. Het gaat om organisatie, processen, fysieke maatregelen en ICT.’ Volgens Plasterk worden gemeenten ook nu in staat gesteld om met informatiesystemen te kunnen voldoen aan de Baseline Informatie Beveiliging (BIG).
