Gemeente Drechtsteden

"..."

Met 270.000 inwoners is de regio Drechtsteden in omvang de vijfde ‘gemeente’ van Nederland. “Die omvang maakt van ons ook een aantrekkelijk doelwit”, constateert CISO Bas Verheijen. De beveiliging van privacygevoelige informatie is voor een gemeente echter geen eenvoudige opgave. “Tot aan de keukentafel vindt er communicatie plaats, en dat moet allemaal veilig.”

De regio Drechtsteden is tien jaar geleden ontstaan als een samenwerkingsverband tussen Dordrecht, Zwijndrecht, Papendrecht, Hendrik- Ido-Ambacht, Sliedrecht en Alblasserdam. Per 1 januari 2018 komt daar Hardinxveld-Giessendam nog bij.

De deelnemende gemeentes zijn samen ‘eigenaar’ van de ‘Gemeenschappelijke Regeling Drechtsteden’ (GRD). Voor het uitvoeren van de gemeenschappelijke taken – zoals het heffen en innen van gemeentebelastingen en de uitvoering van de Participatiewet en de Wet maatschappelijke ondersteuning (Wmo) – beschikt de GRD over zes dochterorganisaties. Het Servicecentrum Drechtsteden is als een van de zes dochterorganisaties belast met de dagelijkse bedrijfsvoering en onder andere verantwoordelijk voor ICT.

Enorme informatieverwerker

ICT bestaat bij de Drechtsteden uit een team van circa 80 fte. Die fte’s zijn verdeeld over vijf verschillende teams die onder andere verantwoordelijk zijn voor het serviceloket, de infrastructuur, de applicaties en het functioneel beheer van een aantal centrale applicaties. “Als gemeente zijn we een enorme informatieverwerker”, vertelt Marvin Suijker, ICT-manager van het Servicecentrum Drechtsteden. “We maken hier niks. We doen in informatie, en dat op heel veel verschillende domeinen met een hele batterij aan systemen en applicaties. En dan vindt er in gemeenteland ook nog eens ontzettend veel informatie-uitwisseling plaats tussen die systemen. Dat maakt het extra uitdagend om informatie goed, gestandaardiseerd en veilig uit te wisselen.”

“We hebben bijna vijfhonderd ‘zaaktypen’ gedefinieerd in ons zaaksysteem, het informatiehart van de gemeente”, vervolgt Bas Verheijen, die bij het overkoepelende ‘Bureau Drechtsteden’ binnen het CIO-office de rol van Chief Information Security Officer vervult. “Tot aan de keukentafel van de burger vindt er informatie-uitwisseling plaats, en dat moet wel allemaal veilig gebeuren.” Om de veiligheid van informatie te kunnen garanderen, is het volgens Verheijen onder andere noodzakelijk dat de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) wordt gevolgd en dat het informatiemanagement op orde is. “Je wilt weten waar je data zijn, waar ze naartoe gaan en waarom, en van wie ze afkomstig zijn. Die kennis heb je bijvoorbeeld ook nodig om een datalek bij de Autoriteit Persoonsgegevens te kunnen melden.”

Onduidelijke wetgeving

Ondanks het enorme belang van security constateren Suijker en Verheijen ook dat gemeentes voor de nodige uitdagingen staan als het gaat om de beveiliging van persoonsgegevens. Een van die uitdagingen is de onduidelijkheid en tegenstrijdigheid in de privacywetgeving.

Dit is een onderwerp dat Verheijen – onder andere Register EDP-auditor en voorheen werkzaam als IT-auditor – duidelijk aan het hart gaat. “We hebben te maken met meer dan tweehonderd wetsartikelen die met privacy te maken hebben, maar duidelijke richtlijnen voor wat wel en niet mag ontbreken vaak. Bijvoorbeeld de vraag of een e-mailserver in de cloud mag staan, is een ‘non-issue’ als je duidelijke richtlijnen hebt. Nu ontbreekt die duidelijkheid, waardoor 390 gemeentes allemaal dezelfde discussies aan het voeren zijn.”

“Met privacygevoelige informatie mogen we als gemeente alleen iets doen als er een wettelijke grondslag is, maar soms ligt er aan een gemeentelijke taak helemaal geen wet ten grondslag”, vervolgt een gepassioneerde Verheijen. Als voorbeeld noemt de CISO de taken die gemeentes er als gevolg van de decentralisatie bij kregen, zonder dat er eenduidige wetten én al dan niet landelijk verplichte, veilige ondersteunende systemen kwamen, die voor die taken de verwerking van persoonsgegevens regelen. “Zonder die systemen en een duidelijk wettelijk kader zijn gemeenten in feite al jaren in ‘overtreding’.”

Grote verantwoordelijkheid

Een andere uitdaging voor de regio Drechtsteden hangt volgens Suijker en Verheijen samen met de omvang van het samenwerkingsverband. “Met 270.000 inwoners zijn we de vijfde gemeente van Nederland”, verduidelijkt Verheijen. “Die omvang brengt ook een grote verantwoordelijkheid met zich mee. We zijn een interessant doelwit voor cybercriminelen en op dat gegeven moet je ook je beveiligingsmaatregelen afstemmen.” “Daar komt bij dat we op het externe koppelvlak te maken hebben met een snel groeiende capaciteitsvraag”, vervolgt Suijker. “Er gaat zoveel verkeer overheen dat je ook steeds snellere apparaten nodig hebt om te kunnen detecteren of er iets aan de hand is.”

Technology refresh

De groeiende capaciteitsvraag en de uitdagingen op het gebied van security vormden voor het Servicecentrum Drechtsteden mede de aanleiding om op het externe koppelvlak een ‘technology refresh’ door te voeren. Zo werden de oude firewalls vervangen door ‘next-generation firewalls’ van Check Point, wordt het e-mail- en webverkeer voortaan gefilterd met behulp van Forcepoint-technologie en zorgt een oplossing van F5 voor de load-balancing.

De technologische oplossingen zeggen Suijker en Verheijen echter niet zoveel. Volgens de IT-manager en CISO gaat het erom dat je als gemeente een centraal koppelvlak creëert waarop alle informatie die de gemeente binnenkomt en verlaat veilig kan ‘passeren’. Als het ware een veilig ‘verkeersplein’ waar je een bundeling van technieken inzet om de beveiliging van de verkeersstromen te verhogen. En daar blijft het niet bij. “Bij de gebruikers moet er ook een bewustzijn zijn hoe ze die technieken veilig kunnen gebruiken, anders gaan goed beveiligde data alsnog via een goed beveiligde verbinding naar buiten”, aldus Verheijen. “De mens is het startpunt. De beveiliging van informatiestromen is geen ICT-feestje, maar draait voor een groot deel om processen en mensen. En tachtig procent gaat om bewustwording, dat mensen snappen dat ze met privacygevoelige informatie bezig zijn en daar hun gedrag op aanpassen. Maar dan heb je het over het sturen van mensen, en die laten zich niet gemakkelijk en zeker niet alleen met technologie sturen.”

Continu proces

“Het verhogen van de beveiliging is een continu proces”, besluit Suijker. Daar hoort bijvoorbeeld ook bij dat de beveiliging van vaak al oude applicaties doorlopend tegen het licht wordt gehouden. “Motiv is al voor lange tijd onze partner in het constant verbeteren van de beveiliging. Dat gaat echter verder dan het vervangen van beveiligingscomponenten. Motiv biedt ook de support bij de vraagstukken waar wij mee zitten.”

“We zijn continu in gesprek over hoe we de beveiliging stapje voor stapje steeds beter kunnen maken”, aldus Suijker. “We staan nu bijvoorbeeld aan het begin van een Mobile Device Management-project dat zeker weer gaat zorgen voor aanpassingen in het centraal koppelvlak. Dan komen we weer bij Motiv uit. ‘Denk mee, help mee.’