#07 - Informatiebeveiliging als onderdeel van kwaliteitsmanagement (met Hessel Bremer)
Ja, er ging alweer een maand voorbij. Dat betekent dat het de hoogste tijd is voor een nieuwe aflevering van Keep Talking. En voor wie mij wat beter kennen, die weten misschien dat ik in Zwolle woon en daarom is deze aflevering extra leuk want ik interview Hessel Bremer en Hessel Bremer kennen jullie misschien wel als de SISO van de gemeente, jawel Zwolle. Toen wij deze aflevering opnamen was het buiten zeer warm, maar gelukkig zaten wij binnen in een koele ruimte in het stadskantoor in Zwolle. En met Hassel heb ik het uitgebreid gehad over hoe je informatiebeveiliging kan zien als een kwaliteits aspect.
Renco:Ja, wat we daar precies mee bedoelen, daarvoor zul je toch deze aflevering van KeyTalking gewoon moeten gaan luisteren. Dat is hopelijk niet al te bezwaarlijk. We wensen je in ieder geval veel luisterplezier met aflevering 7 van KeepTalking. Hessel Bremer, een hele goedemorgen. Goedemorgen.
Renco:Wij zitten hier in de, we mogen wel hardop zeggen, de mooiste stad van Nederland. Nu denken mensen natuurlijk: waar zitten ze dan? En we zitten in? Wat dacht je van Zwolle? Zwolle.
Renco:Zonder dollen. Zwolle roet. Woe! We zitten hier op het stadskantoor in Zwolle. Gelukkig is er airco want buiten is het
Hessel:lekker warm. Ja, bijna 30 graden er gewoon aan.
Renco:Ik deed nog een poging om hard te lopen vanmorgen maar ik heb vooral ontzettend veel gezweet. Ja, dus als ik nog een beetje glinster dan weet je waar het van komt. Heerlijk. Hé, Nesel, jij bent Siso van de gemeente Zwolle. Ja, klopt.
Renco:En je bent ook SISO geweest van andere organisaties. Kan je kort iets vertellen over jezelf en de functies die je in de recente jaren gehad hebt?
Hessel:Ja goed, allereerst dank ook voor mijn uitnodiging voor dit mooie gesprek. Hartstikke leuk en ook om dat te doen met Zwollenaar. Mijn naam is Hassel Bremer, ik ben inderdaad als CISO van de gemeente Zwolle op dit moment en de afgelopen jaren de CISO geweest van Deventer, Olzweij en Raalte, min of meer ook om het team verder op weg te helpen.
Renco:Dat was een samenwerkingsverband.
Hessel:DOR heet dat en dat zie je veel in gemeenteland. Dan wel vanuit een shared service gedachte, gemeenschappelijke regeling ook wel genoemd. Daar komen we straks misschien nog wel op vanuit Zwolle, hebben we dat ook. Via het shared service centrum ONS. Nou, dat is hartstikke leuk om te doen.
Hessel:Daarvoor heel even uitstapje gemaakt naar de commerciële Capremanie partij en daarvoor 20 jaar in de zorg gewerkt, zeg ik altijd maar, en uiteindelijk ook het vak van informatiebeveiliging hands on geleerd vanuit uiteindelijk de CISO-functie in Isola in Zwolle.
Renco:Dat is dan wel weer grappig, die wereld is niet zo heel groot. Ik heb vorige week iemand gefeliciteerd met de nieuwe functie.
Hessel:Ik ook, ik heb hem
Renco:ook gefeliciteerd. Ik denk dat we dat gewoon hardop mogen zeggen, de SISO van de gemeente Harderberg, die wordt SISO van de Isala. Leon die
Hessel:kwam dat vertellen in de SISO-kring IJsselland, want die hebben we ook. We zitten met de SISO's van gemeente, van van ijsseland bij elkaar.
Renco:Van de veiligheidsregio.
Hessel:De veiligheidsregio ijsseland en helaas wij gaan hem nodig missen.
Renco:Ja, maar de Azala is een ervaren CISO rijker, dat is dan de website.
Hessel:Maar ja, dat ligt ook wel mooi linkje hoor, want uiteindelijk kennen we elkaar en wie weet hebben we elkaar nog nog nodig Het kader van cybercrime etcetera.
Renco:Ja, en hij gaat natuurlijk bij de Island al jouw werk daar aantreffen.
Hessel:Ik heb hem gewaarschuwd. Vroeg, hij vroeg in eerste: Hessel mag ik je nog
Renco:eens bellen? Dat is altijd goed hè.
Hessel:Als het gesprek zo begint, dan ben ik daarvoor. Nee, leuke is wat je dan ziet, dat is misschien een mooie opmars ook naar dit gesprek wat wij nu hebben, dat vooral ook Isola een gecertificeerd, kan ik zeggen, nee ik word hier niet voor betaald hoor, een gecertificeerd ziekenhuis is. Wat ook daadwerkelijk een accreditatie heeft. Ze hebben internationale accreditatie, de JOUD COMISTIA. Oké.
Hessel:En dat betekent dat zij hun processen ook echt op kwaliteitsniveau hebben ingericht. En dat is iets waarvan wij nog wel wat kunnen leren.
Renco:En wij zijn dan de gemeente?
Hessel:Exact. Wij zijn de gemeente en wat ik Leon in ieder geval aangaf is, joh let op, ik heb geprobeerd om de informatiebeveiligings- en privacyprocessen te integreren in het kwaliteitsmodel van het ziekenhuis.
Renco:Kan je iets vertellen over wat is dan een kwaliteitsmodel? Wat versta je daaronder? Wat bedoel je dan?
Hessel:Nou, als we het helemaal plat slaan, dan zeggen we we hebben een kwaliteits norm, de ISO 9001, die staat en valt met het continu verbeteren van je processen. Plan-Do-Check-Act, zoals we dat ook wel zeggen. En als je op basis van bijvoorbeeld de zorgprocessen kijkt naar die PDCA cyclus, dan betekent het dus ook dat op het moment dat er iets niet te bord is of dat iets bijgesteld moet worden, je dat ook continu bijstelt en eigenlijk ook continu leert. Want
Renco:in mijn kleine informatiebeveiliging wereld praten we vaak over de 27001, wat eigenlijk de kwaliteitscyclus is voor sec informatiebeveiliging. Framerk. Klopt. Zelfde gedachtegoed maar dan afgewakend voor informatiebeveiliging.
Hessel:Ja, en dat geldt in de zorg natuurlijk van de NEN 7510, net zoals wij de bio in gemeenteland kennen, is ook die norm. De NEN 5 is gebaseerd op de 27001. Precies voor de zorg en ik voorzie nog wel dat dat uiteindelijk gewoon op internationaal niveau gelijk getrokken gaat worden, dat we zometeen alleen nog maar de 27001 als standaard gaan gebruiken. Maar er is wat voor te zeggen, want ze hebben natuurlijk heel specifieke dingen in de zorg.
Renco:Jij begon met heel bewust met de 9001 dus je trekt de scope veel breder, dus kwaliteitsmanagement is veel breder dan natuurlijk alleen maar informatiebeveiliging. Je zou zelfs kunnen beweren dat informatiebeveiliging ergens zeg maar in de afgelopen jaren met de opmars van IT en alle daarmee samenhangende dreigingen pas later bijgekomen is. Daarvoor hadden we al andere aspecten van kwaliteitsmanagement. Klopt, maar
Hessel:ik kan een voorbeeld geven. Dat is even gechargeerd gezegd dat een patiënt maar 1 keer kan overlijden op het moment dat daar een handeling aan ten grondslag ligt die niet goed of niet goed past in dat proces, dan zul je je proces moeten bijstellen en op basis daarvan ook het kwaliteitsniveau van dat proces verhogen. En dat is eigenlijk ook wat je continu doet. En dat doen wij op basis van normeringen. Want je hebt natuurlijk de normale onderliggende normering, de 27000, een de NEN of de BIO.
Renco:Ook gebied van informatiebeveiliging.
Hessel:Ja, bijvoorbeeld van informatiebeveiliging dat is nou ook weer een mooie linkje dan uiteindelijk naar de gemeente, dat je ziet dat gemeenten niet of nauwelijks zijn ingericht met een aantal daarbuiten gelaten, waaronder wel de DOWR. Die heeft zich een aantal jaar geleden wel op in ieder geval de 9001 laten certificeren En dat is een hele mooie start en dat is ook een heel mooi begin om te zeggen van goh een kwaliteitsmodel kan niet alleen in de zorg maar ook heel juist goed werken binnen een binnen de gemeente.
Renco:Dat ken ik niet, veel andere die iso certificaten hebben op het gebied van kwaliteitsmanagement. Dat kan dan zijn 9001, de 27001, je hebt ook nog de 27001. Dat kan ook van privacy add-on is op die 27001. Allemaal hetzelfde gedachtegoed maar dan specifiek gemaakt. Klopt.
Renco:Als als als nou als ik nu hier, we zitten hier in het stadskantoor en ik zou naar een willekeurige afdeling lopen en ik vraag daar aan een afdelingsmanager van wat versta jij onder kwaliteitsmanagement, wat denk je dat zo iemand dan van antwoord geeft? Wat valt er dan volgens hem of haar onder kwaliteitsmanagement?
Hessel:Nou zoals zoals ik hem zie, ik kan even ik kan niet antwoorden wat iemand anders natuurlijk vindt, maar ik ik snap, de vraag snap ik uiteraard wel, wat ik sowieso denk, is dat als ik leidinggevende zou zijn van bijvoorbeeld burgerzaken, dan zou ik graag willen dat mijn processen ingericht zijn conform een kwaliteitsnorm. En die kwaliteitsnorm die zegt iets over de standaard, de standaard staan kwaliteit, dus het voldoen aan bepaalde, misschien wel specifieke wetgeving in dit geval. Maar dus ook de informatiebeveiliging en wellicht privacy. Privacy kennen ze vaak wel. Dat is niet het probleem.
Hessel:Hier in Zwolle al helemaal niet, want dat hebben ze best wel goed in hun contread, maar daarbij het gaat om informatiebeveiliging.
Renco:Ik ben even benieuwd, waarom zeg je nou helemaal in Zwolle niet? Helemaal in Zwolle kennen ze dat wel. Wat maakt dat nou in Zwolle bovengemiddeld kennis is van die privacywet?
Hessel:Laat ik het zo zeggen, daar is afgelopen periode juist door het feit dat daar wetgeving op is gekomen, de AVG kennen wij natuurlijk. Wellicht hebben we straks nog over de NIS, maar in ieder geval de wetgeving rondom de privacy, wel de nodige aandacht aan besteed en zijn de stakeholders en de partners en de businesses daarmee ook daadwerkelijk, zijn die processen ingericht ten aanzien van privacy en bekeken door de bril van privacy.
Renco:Dus daar is toen die AVG, ik zeg gewoon dat is ook heel veel aandacht voor geweest toen die op de AVG op het tentoneel verscheen. Klopt. Waarom lukt het ons dan niet om diezelfde aandacht te genereren toen de bio verscheen?
Hessel:Ja, dat is dus een hele mooie vraag. Dit is ook precies de vraag waar ik als CISO mee stoeien. Uiteindelijk heeft het er wel mee te maken dat in hoeverre het onderwerp aandacht krijgt bij in ieder geval de directie, directie en management van je organisatie. En daar ben ik ook verantwoordelijk voor, dat realiseer ik me ook, dat gesprek voeren met hun. En wat je dus ziet is dat het voorheen, en ik noem dat even gechargeerd, een soort afvinklijstje, toen we altijd de BIG en we doen de ENCIA, horizontale verantwoording, maar hartstikke Dat is zoals men het onderwerp informatiebeveiliging kent.
Hessel:Dus puur en alleen vanuit die compliance open. We hebben het lijstje weer voor elkaar, we kunnen weer verder. De DIGD aansluiting blijft weer open etcetera. Dit gaat 1 stapje verder. Op het moment dat je ze echt wilt, en dat is de bio, dat weet jij ook, de bio is natuurlijk risk-based.
Hessel:Nou, hoe en in welke vorm is risico, sturing en regie binnen de gemeente zeg maar bekend in de processen, dat is enkel vanuit financieel perspectief. De financiële kolom is dit normaal. Maar dat is dus niet wat ik bedoel. Ik bedoel juist in dit geval, ik heb het graag met hun dan ook, en dat gesprek voeren we nu en zijn we nu ook echt aan het voorbereiden over bedrijfscontinuïteit. En dan kom je uiteindelijk wel weer op die kwaliteitsnorm waar we het net al eerder over hadden.
Hessel:Maar dat staat of valt ook met wie is dan waarvoor verantwoordelijk. Want wat je dus ook ziet, is dat we prima die planning en control cyclus hebben ingericht. Als wij aan risico's denken, dan denken we aan het afkopen bijvoorbeeld van risico's, in plaats van het bijstellen en bijsturen van jouw proces. Dus daar is nog wel wat te doen. En dat is complex en dat vindt men toch wel spannend.
Hessel:Maar wij hebben sinds corona, en dat is ook geen nieuws wat ik nu vertel, maar enorme afhankelijkheid vanuit ICT op dit moment gecreëerd. Precies, daarnaast weten we dat zeker ook een aantal statelijke actoren zich bevinden op deze markt en dat wij ook continu bedreigd worden. Dat is ook voor het eerst eigenlijk afgelopen jaren dat we dat ook wel melden.
Renco:Dat is ook echt reëel voor de gemeente Zwolle.
Hessel:Dat is reëel.
Renco:Het is een theorieboek, dus reëel.
Hessel:Dat voor de ziekenhuizen. Dat geldt voor iedere gemeente. Bij ons wordt er duizenden keren per dag wordt er gewoon aan de deur gerommeld, zeg ik altijd. En dan moeten
Renco:we op orde.
Hessel:Precies, en op het moment dat men, of tenminste dat een directie of managementlid daar van hoort, ja, dan denken ze ook dat het allemaal in orde is. Maar de bewustwording begint wel nu te komen, dat we aan de ene kant te maken hebben met risico's en aan de andere kant te maken hebben met een stuk bedrijfscontinuïteit, wat weer onze dienstverlening aangaat. Daar sluit
Renco:je natuurlijk wel de brug naar het verantwoordingsgebied en hopelijk het interessegebied van zo'n manager die staat aan de laf natuurlijk voor die dienstverlening. Maar het is geen eenvoudige taak om dat beeld van een vinkenlijstje zoals je dat noemde om dat zeg maar om te buigen naar het beeld dat informatiebeveiliging gewoon een integraal onderdeel is van kwaliteitsmanagement en dat je echt niet meer, ja ik zeg het maar even, niet meer bij de tijd bent als je denkt dat dat dat dat er niet bij hoort of dat je dat gewoon, maar dat regelt de afdeling ICT of dat regelt mijn leverancier, ik hoef daar niks in. Zijn natuurlijk dingen die hoor ik
Hessel:ook in mijn werk. Dat laatste is ook het geval, dat men denkt van het is van ICT, een afdeling informatievoorziening, want die hebben we dan in Zwolle zeg maar, regel dat, regel dat maar voor ons. En dat is wat anders dan men gaat zeggen, hoe sta ik er eigenlijk voor? Want we weten dat we gewoon naar een kwalitatief beter niveau moeten, qua processen, qua ondersteuning. En ik vind ook dat juist die normen als de AVG voor informatiebeveiliging, dat die heel goed kunnen dienen om het kwaliteitsniveau gewoon nu eens een keer daadwerkelijk goed te gaan implementeren.
Renco:Maar dat kan je niet alleen. Dat lijkt me een flinke job om alleen te doen. Je hebt andere afdelingen binnen de gemeente die al aanschurken tegen tegen wat wij doen als informatie beveiligers. Ik doe nu even die privacy officers.
Hessel:Maar ook de collega's openbare orde en veiligheid bijvoorbeeld.
Renco:Openbare orde en veiligheid dat is een andere invalshoek. Dat groeit ook. Ik heb jou ook wel eens presentatie zien geven op een bijeenkomst van de VNG waar het ging over het raakvlak eigenlijk tussen openbare orde veiligheid en de digitale veiligheid.
Hessel:Die ook
Renco:in elkaar overloopt. Maar als ik kijk naar de interne afdelingen zijn er ook bijvoorbeeld, er is ook een architect en er is ook een informatiebeheerder of een record manager. Ik weet niet hoe die in Zwolle heet, maar het zijn allemaal mensen die eigenlijk ook met kwaliteitsaspecten van die informatievoorziening bezig Die daar hun werk in hebben. Als je zegt we hebben integraal kwaliteitsmanagement dan zou ik zeggen dat betekent het ook dat je met je met hen samen optrekt. Dus dat die lastige opgave die ik net schetste van vinkenlijstje naar integraal kwaliteitsmanagement, ja dat hoef je dan gelukkig niet alleen te doen, hoop ik.
Renco:Maar daar heb je dan ook je de architect die staat naast jou en de chief privacy officer of weet niet hoe dat hier in Zwolle organiseert.
Hessel:De chief data officer bijvoorbeeld.
Renco:Kun je daar iets over zeggen, hoe samenwerking met hen vorm krijgt?
Hessel:Kan ik. Vanuit Zwolle, ik gaf net al aan, CISO zit ik bij de afdeling informatievoorziening, heb toch een onafhankelijke positie, zoals we dat ook verwachten en weten dat het zo is. Zeker qua advisering. Vanuit in ieder geval deze afdeling zijn we en gaan we bezig ook om verder ontwikkelen van de CEO office.
Renco:En
Hessel:dat is eigenlijk voortbordurend op het feit van hoe je vanuit strategie meer de regie kan pakken en en ook neerleggen op dat niveau waar het hoort, dus tactisch-operationeel. En we willen dan eigenlijk en op die manier af van de gedachte van dat regelt IV wel, dat regelt de afdeling wel. Maar juist in die CEO-office komen de enterprise architect, chief data officer, de CISO, etcetera, die komen bij elkaar en vanuit daar wordt weer de strategie bedacht ten aanzien van de implementatie van onze processen. En vanuit die optiek kun je dus ook dan In onderlinge samenhang dan ook? Ja, onderlinge samenhang, dus integraal, zoals je het zegt.
Hessel:Dat gaan we doen, want we zijn al wel inhoudelijk bezig geweest. De architectuur en IB-principes, is gewoon 1 lijst zeg maar. Daar zijn we gewoon druk mee bezig. Dat hebben we afgelopen jaar al uitgewerkt, maar het gaat er nu ook om dat we op die manier naar de business gaan en ook naar de business gaan kijken en dus ook daadwerkelijk die kwaliteitseisen gaan neerleggen. Gecombineerd
Renco:dan, ook gecombineerd.
Hessel:Ja, gecombineerd. Ik noem dan even het woord volwassenheid ik vind dat altijd wel een mooie mooie metafoor. Op een gegeven moment ga je groeien. We hebben dit jaar al dat we qua Insa getoetst worden op de werking van onze processen. Ja dat is ook datgene wat je uiteindelijk wel weer terug ziet vanuit je beleid in die processen van de business.
Hessel:Dus die ontwikkeling zie je bij ons heel sterk. Wij hadden al sowieso een kwaliteitsbord dan, die toetst sec op inderdaad dan de projecten, dat is dan weer de ad variant. Portfolio management etcetera, zodat je in controle raakt in aanzien van datgene wat je doet. Je kan maar 1 keer je geld uitgeven nota bene. En daar komt nu een derde bij en dat is in feite het kwaliteitsstuk.
Renco:Die zou dan die ongoing business moeten afdekken. Begreep ik die dan goed?
Hessel:Ja, die zou het kwaliteitsniveau van onze processen binnen de gemeente naar een hoger level moeten tillen. Naar het level wat jij bent ten aanzien van jouw weerbaarheid ook. Ik heb het eigenlijk al in de zin een beetje over digitale veiligheid op dit moment.
Renco:Dat is wel interessant want ik ken veel gemeentes die hebben wel een vorm van portfoliomanagement, dat heet niet altijd zo, maar iedereen snapt wel hey er komt wat nieuws binnen. We gaan we krijgen een nieuwe wettelijke taak of gaan een applicatie opnieuw aanbesteden of we gaan iets wat on premise stond gaan we naar de cloud brengen. We hebben allerlei aanleidingen maar de uitkomst is dat er iets nieuws binnenkomt.
Hessel:Precies, begint die.
Renco:Binnen hoeft niet per se te zijn on premise, dat kan dus ook SaaS zijn bij een leverancier ofzo, maar daar zit vaak wel het besef, daar moeten we zorgen dat we daar onder de juiste voorwaarden dat soort nieuwe contracten sluiten. Die passen bij de huidige kijk en visie op informatiebeveiliging en andere aanverwante disciplines. Daar is vaak wel wat voor opgetuigd en op een gegeven moment is dan het project de implementatie is eigenlijk afgerond en dan gaat het over naar beheer. Naar de business kun je het noemen of ja, ze zeggen wel eens ja, ben niet zo thuis in die in die fancy termen maar ik kan daar even niet opkomen. Maar in ieder geval op een gegeven moment is het project afgerond, het is geïmplementeerd en dan gaat het over naar beheer en er zijn natuurlijk heel veel zaken die gewoon al heel lang in beheer zijn en die misschien ook wel nooit die portfoliomanagementprocessen zullen raken.
Renco:Dus als je je alleen daarop zou richten, dan mis je ook gewoon een Dat pak je dan iets. Net wat jij nu net uiteenzet.
Hessel:Ja, dat pak je op om en daarmee doordat je vanuit concern, want laten we wel zeggen, ben geen kwaliteitsmanager, ik ben de CISO en blijf ook de CISO, maar eigenlijk wil je dat de directie iets gaat vinden van die kwaliteit en gaat zeggen van goh, we hebben een bepaalde weerbaarheid, digitale weerbaarheid nodig en hebben we dit niveau van pas daarbij. Dat we dat ook met elkaar gaan bespreken, waarom en hoe dat er dan uit moet zien. Dus nee, dat klopt. Dat is inderdaad ook het ja.
Renco:En zijn jouw evenknieën bij de andere disciplines even enthousiast als jij bent over dit idee? Het leuke is dat vooral ook bij architectuur er op
Hessel:precies dezelfde manier wordt gedacht. PDCA en de dingen doen en bijstellen etcetera. Dus daar vind je mekaar? Daar vind je mekaar zeker. Ja klopt klopt.
Hessel:Kijk en het punt is alleen van hoe krijgt dit het niveau van binnen de directie. Als we kijken naar de stukken, vooral de recente stukken vanuit de IBD die we nu voorbij zien komen, dan zie je ook het dreigingsbeeld bijvoorbeeld dat ook er een, nou ik kan wel bijna zeggen, een andere rol, een verdergaande rol wordt verwacht vanuit de gemeentesecretaris ten aanzien van bedrijfscontinuïteit. Men noemt daar zelfs geloof ik de hoeden van bedrijfscontinuïteit. Er moet iemand verantwoordelijk zijn voor dit onderwerp en dat is wat we net al aangaven. Financieel hebben we het redelijk goed op orde, zijn we in control.
Hessel:We dit willen, dan zullen we toch, dan zal er iets bij moeten komen, om het zo maar te zeggen. Dat betekent dat we iets moeten doen aan risicomanagement en vervolgens ook aan bedrijfscontinuïteit en daar moet ook een eigenaar aan gekoppeld worden. Of hoe je het ook wilt noemen. Wij zijn met leances, dus of
Renco:je product
Hessel:owner of wat dan ook.
Renco:Heb je dan wel eens overwogen, want een paar keer kwam al langs dat in die financiële kolom dat risicomanagement, het hele planning en control proces met begroten, exploitatie, rekening verantwoording afleggen. Er zit een externe controle op, de accountant die geeft natuurlijk als het goed is daar een verklaring over af. Een goedkeurende verklaring hopelijk dan ook. Heb je wel eens overwogen om gewoon vol bij hun aan boord te stappen? Want je zou kunnen zeggen ja, ze hebben al zoveel staan, we kunnen, ik kan met architectuur, privacy en informatiebeheer wat optuigen, ik kan ook gewoon vriendjes worden met winst control.
Hessel:Dat hebben wij natuurlijk wel gedaan. Ik bedoel, je voelt hem al aankomen. Wij zijn vorig jaar gestart met de verdergaande samenwerking om juist ook vanuit de planning, bestaande planning en contract te Dat voelt
Renco:nu een beetje als we een geregisseerd 1, 2, Nee, dat is het dus niet. Jij
Hessel:triggert mij natuurlijk nu op deze vraag, maar wat ik dus nog niet heb genoemd is dat wij vanuit de derdelijns control nu wel een en ander hebben opgetuigd al het afgelopen jaar. Dus we hebben ook gezamenlijk met privacy, security en interne audit een eigen jaarplan gemaakt. Op basis waarvan we vanuit de derde lijn terugkijken op datgene wat er in de tweede lijn en de eerste lijn gebeurt en is vastgelegd. En zijn dan
Renco:de iso van de gemeente Zwolle en de privacy offices? Meer dan 1 privacy offices?
Hessel:Ja, we hebben 1 privacy offices op dit moment en 1 FG. Ja. En de FG zit dan in de derde lijn, de privacy offices en de tweede lijn. De security De office, de ISO's zitten ook in de tweede lijn en we hebben de CISO, die zit dan weer in de derde lijn. En dan heb je de eerste lijn, dat is uiteraard ook de business.
Hessel:Dit is het Norea Freelines of Defence, heette dat vroeger, maar het derdelijns model geloof ik, noemen ze dat nu. En dat is wel heel mooi, want uiteindelijk zijn we daar in opzet al wel heel ver mee. Alleen nog steeds willen we natuurlijk ook graag naar de business toe, hebben wij ook gesprekken gevoerd met ook het management ten aanzien van de verantwoordelijke voor die business. En ik moet wel concluderen dat op dit moment men daar nog niet echt aan toe is. Want wat je bijvoorbeeld wil doen, bredere context, ook over die 3 vakgebieden, is dat je bijvoorbeeld een onderwerp als identity access management bij de poot pakt en gaat zeggen, goh, hoe hebben we nou een en ander georganiseerd?
Hessel:Nou zijn ze daar de afgelopen jaren heel druk bezig mee om dat verder nu fine te tunen en uiteindelijk weer op het juiste level te krijgen.
Renco:Vanuit de techniek bedoel je dan?
Hessel:Vanuit de techniek, op basis van MDM beleid wordt dat weer opnieuw gekeken, hoe zijn die processen georganiseerd? Het gaat over meerdere afdelingen uiteraard, HR, ict et cetera. En dan kunnen we heel mooi juist vanuit die derde lijn toetsen op datgene wat er is opgetuigd en eventueel bevindingen teruggeven, want het is geen vingertje. We proberen echt op die manier en daarmee zie je dus ook al wel dat kwaliteitsmodel vorm krijgt. En ik moet eerlijk zeggen dat op dit moment we nog niet zo ver zijn, want het is wel heel mooi als wij bijvoorbeeld, we hebben nu onlangs afgelopen maanden een eerste rapportage ingeleverd, laten we zeggen dat die wel integraal was.
Hessel:Dus mij is vanuit privacy, security en de interne audit. Aan wie opgeleverd? Aan de directie. En dat is onderweg naar de directie moet ik op dit moment zeggen.
Renco:Heet van de naald.
Hessel:Heet van de naald, er staan best wel wat bevindingen in. Op dit moment hebben we die voorbesproken met degene om wie het gaat en worden uiteindelijk naar de directie gebracht. Ja, en daaruit zal ook blijken weer, maar dat hoeven we niet hoe de organisatie is georganiseerd ten aanzien van de bevinding. Want ze gaan allemaal een kant op en dat is de afdeling informatievoorziening, terwijl ze daar in feite natuurlijk niet horen. Ze horen te landen divage.
Renco:Dat is natuurlijk wel het risico wat je dan hebt dat je ze eigenlijk allemaal op je eigen bord weer terugkrijgt. Precies. En op je eigen bord bedoel ik dan de de iv kolom of informatie management, afhankelijk van dat.
Hessel:Ja, dat klopt ook, want op dit moment is de governance nog niet, even naast die derdelijns defence, nog niet ingericht zoals we hem voor de toekomst graag zouden willen hebben, in ieder geval ten aanzien van risicomanagement. Kijk, dit raakt ook nu alweer een beetje cybercrises management, daar zijn wij ook druk mee bezig. Wij hebben een samenwerkingsverband met het shared service center ONS, met de provincie Overijssel, gemeente Kampen, Dalfsen, Zwartewaterland, Westerveld, Zutphen.
Renco:Dus dat is 1 service center die gewoon een aantal diensten, ICT gerelateerde diensten aanbiedt aan die gemeente en in dit geval dan ook de best wel een gezamenlijke combinatie, dat er ook een provincie bij in zit.
Hessel:Dat hoor je niet vaak. Dat ook en ieder geval ook een gemeente onze eigen veiligheidsregio, Westerveld in dit geval. Dus dat is wel een hele interessante, maar dat mag geen probleem, kan en hoeft ook geen probleem te zijn. Het enige waar we in onze cybercrisis planvorming lopen we er wel tegenaan, maar ook de veiligheidsregio is georganiseerd, dus in die zin kunnen we dat ook wel goed kwijt. Die cyber crisis planvorming hebben we uiteraard ook met de veiligheidsregio opgezet, partners.
Renco:Nou dat verbaast me niks aangezien ik jou de wat ik al eerder noemde dus die presentatie zag geven in de OOV hoek, de openbare orde veiligheid. Ik wil nog even terug naar iets wat je net zei van de IBD die stuurt ook wat meer stuurt meer aan op de rol die de gemeentesecretarissen moet pakken of zou moeten pakken op het gebied van bijvoorbeeld bedrijfscontinuïteit. Daar ben je dan als algemeen directeur natuurlijk ook van. Dat kan je niet alleen maar overlaten aan de ICT afdeling, dat reikt verder. Zelf merk ik dat ik het wel eens lastig vind dat als ik dan diezelfde documenten raadpleeg, staan we erachter wie is daar verantwoordelijk voor?
Renco:En dan heb je vaak proceseigenaar, dat zijn dan de business de afdelingen zeg maar. Dat kan publiekszaken zijn of ruimtelijke ordening of wat dan ook. Dan heb je de diensten leverancier dat is dan in jouw geval voor groot deel ONS, maar die zal misschien geen personele processen faciliteren dus daar is weer een eigen afdeling voor binnen de gemeente Zwolle en dan heb je ook wat ik even noemde concern aangelegenheden zeg maar dus die over al die verschillende afdelingen heen uitgevoerd moeten worden bijvoorbeeld een heel simpel voorbeeld daarvan is er moet een beleid zijn. Dan hoef je niet voor al die afdelingen specifiek te maken dat maak je 1 keer voor de hele club. Als ik dan door zo'n lijst heen kijk dan zie ik heel vaak inderdaad staan bij verantwoordelijke gemeentesecretaris.
Renco:En dan heeft het er misschien mee te maken dat ik de afgelopen jaren vooral voor wat grotere gemeenten heb gewerkt maar ik vind Zwolle toch ook een wat groter In opmars he? Ja,
Hessel:vrij grote gemeente. Richting de 150.
Renco:Ja, dus dat is wel een serieuze stad. Kan jij dan wat met dat, en dan verraad ik mijn standpunt dan mee, ik kan niet echt wat met, dan staat daar de naam van gemeentesecretaris, denk ik ja, ja ik snap dat je je zet gewoon hoog in je zet daar gewoon de hoogst ambtelijke verantwoordelijke neer maar ja die beste man of vrouw die heeft echt een hoop andere dingen aan zijn of haar hoofd dus ik vind het ook soms een beetje gemakkelijk dat ik denk ik snap wel waar het vandaan komt, ik kan nog niet echt veel meer in de Nee,
Hessel:ik weet dat er diverse initiatieven vanuit de IBD, VNG ook worden, beide zelfs, worden ontplooid om in ieder geval wel de gemeentesecretaris op het juiste niveau te krijgen. Ze willen graag, ze hebben bepaalde specifieke trainingen waarin ze ondergedompeld in bijvoorbeeld ook informatiebeveiliging, risicomanagement, bedrijfscontinuïteit. Dat zijn de onderwerpen waar wij als professionals ook echt mee aan de slag willen en moeten. Zij zijn de hoeden en zolang de organisatie, want dat is ook wel het punt denk ik, nog niet gaat inzien dat een mate van kwaliteit nodig is om bijvoorbeeld ook in dit geval de digitale weerbaarheid te waarborgen, je een probleem hebt dan wel kan krijgen. Want we weten ook, we hebben ook dagelijks datalekken, die komen ergens vandaan.
Hessel:En het gaat goed zolang het goed gaat. Het is niet de vraag of, maar wanneer bekend wordt dat we gehackt zijn. Zo'n proces moet ook groeien. Ik merk ook dat mijn gesprek met de gemeentesecretaris ook zeker beter kan. Ik ben aan de achterkant heel druk bezig om vanuit cybercrisesmanagement ook iets doen met bedrijfscontinuïteit.
Hessel:Ik ben voorzitter van het CISO-partneroverleg, dus in die zin een beetje de trekker ook van het hele verhaal. Maar uiteindelijk zal iedere partner zelf ook de eigen bedrijfscontinuïteitsplannen op orde moeten gaan krijgen. Het
Renco:lijkt me lastig om dat ook regionaal te gaan opzetten. Kan ook niet. Dat kun
Hessel:je wel doen ten aanzien van die gemeenschappelijke infrastructuur. We zijn met een partij bezig die dat ook interessant vindt, omdat wij juist ook vanuit die gemeenschappelijke regeling Dan bedoel je dus ONS, hè? Ja, ONS, dat noemen we gemeenschappelijke regeling. Juist vanuit die gezamenlijke infrastructuur starten wij om te zeggen van goh, want dat is ons ICT-deel, daar gebeurt het natuurlijk, laten we daar dan mee beginnen. Wat zijn onze kritieke processen?
Renco:Daar trek je eigenlijk een heel belangrijk deel af en dat kan als een soort springplank dienen om het verder ook op te pakken binnen de rest van je gemeentelijke organisatie.
Hessel:Dan kom ik even op de vraag terug die je stelde richting de gemeentesecretaris. Ik denk dat juist ook het goed is dat in die crisisorganisatie ook de gemeentesecretaris een rol krijgt. Want wat wij in ieder geval binnen het Zwolse verband, maar ook binnen DOB, hebben gedaan, is in ieder geval niet zeggen van: goh, we hebben een cybercrisis, we gaan iets aparts optuigen. Nee, helemaal niet. We hebben een grip structuur, we hebben de structuur al liggen.
Hessel:Van de OOV-hoek, en op het dat het nou een overstroming is of een cyberincident, we haken daarop aan. Dus, en dat gaat iets vragen van de organisatie. Dus daar gaan we de komende jaren, wat mij betreft ook, ik noem dat al even management development sessies, want je zult ze ook moeten meenemen. Dat er meer is dan alleen een eigen
Renco:Maar je zet dus niet wat nieuws neer, je herdefinieert eigenlijk de scope van wat er al is.
Hessel:Precies en dan creëer je ook de bewustwording die je nodig hebt.
Renco:En hoe wordt dat dan ontvangen door jou, dat hoef je niet per se beantwoorden specifiek voor de gemeente Zwolle. Ik weet dat jij die vraag ook wel in bredere zin kan beantwoorden. Wordt dat ontvangen de OOV collega's? Wij kunnen wel zeggen, wij moeten bij jullie aan tafel, want we zijn superbelangrijk, want we hebben allemaal dingen die lijken erop. Zien dat zij dat eigenlijk ook zo?
Hessel:Ja, zeker. Ik ben blij dat je het vraagt, anders krijg ik ze aan mijn broek. Want sterker nog, wij zijn al 2 jaar met elkaar onderweg op dit moment. Het leuke is dat we vanuit de collega's Openbare Orden en Veiligheid, die maken een integraal veiligheidsplan. Dat doen ze periodiek, 1 keer in de zoveel jaar.
Hessel:En in ons veiligheidsplan van de gemeente Zwolle, die dit jaar unaniem is vastgesteld door het college en de raad.
Renco:Dus die kan
Hessel:ik gewoon vinden in het klimaatberaad. Daar staat ook daadwerkelijk iets over digitale veiligheid.
Renco:Precies. En
Hessel:daar ligt nu ook het linkje, want iedereen weet wel dat het belangrijk is. Maar wat dan? En hoe dan? Et cetera. Dus het is ook goed, en dat is ook weer een even naar mezelf kijkend, u moet ook zorgen dat we er niet op blijven zitten, maar dat we ook daadwerkelijk in gesprek gaan met de organisatie, want daar begint hij wel.
Hessel:En onze burgemeester Peter Snijders heeft natuurlijk ook op de landelijke agenda digitale veiligheid zelf een rol op dit moment. Dus dat is dan wel weer de mazzel.
Renco:Ik zie wel eens een foto of artikel voorbij Precies. En dat
Hessel:is ook hartstikke mooi en dat helpt ook. Want op bestuurlijk niveau, want daar hebben het toch een beetje over nu, gebeuren ook meer zaken. We hebben ook een peer-to-peer gesprek gehad dit jaar. Dat is ook iets wat de VNG organiseert, dus dat je met een andere gemeente het gesprek aangaat over digitale veiligheid, informatiebeveiliging en privacy. Dat gebeurt echt op burgemeester niveau.
Hessel:Daar is de gemeentesecretaris bij, daar is de CISO bij, dus FG bij en daar is de collega openbaar hoor en veiligheid bij. Dus ik heb periodiek overleg met de collega's openbare orde en veiligheid en zij weten ook dat wij op dit moment de nodige zaken ondernemen om in ieder geval iets te doen met die digitale veiligheid, wat ik al vertelde, rondom crisismanagement. En daar worden ze bij, en daar zijn ze bij betrokken. Ja interessant. En dan nog hebben zij een andere rol hè, want zij zitten naar die buitenkant en ik kijk meer naar die binnenkant.
Renco:Zeker, maar dat vind ik zelf ook eigenlijk altijd wel heel duidelijk. Daar zit ook heel duidelijk die knip. Iemand van OOV die zou zeggen, die hele interne organisatie en alles wordt op gebied van cyber en dreigingen, dat is jouw pakkie an. Precies, ja dat snap ik. Andersom vind ik het soms ook wel comfortabel om te kunnen denken ja ik hou mij echt bezig met die interne kant en ja de stad kant zeg maar, de inwoner kant, die heb ik buiten scope.
Renco:Daar vind je elkaar en ik vind die scheidslijn eigenlijk best wel helder en die maakt ook dat je als je allebei maar je wederzijdse belangen onder kent dat je heel veel makkelijker kunt starten met die samenwerking. Tot slot nog even. Wat vindt nou de gemeente Hardenberg denk je van ons? Want we hebben nu al een burgemeester naar Zwolle gehaald. We hadden nu ook nog een CISO naar Zwolle.
Hessel:Mij woont Peter er nog. Dat weet
Renco:ik eigenlijk niet. Gok ik.
Hessel:Geen idee. Het is jammer dat ze zich zo afzonderen.
Renco:Ik moet er binnenkort maar eens heen denk met microfoon. Ik wil je heel erg bedanken voor dit leuke gesprek. Ja, wederzijds. Dank je wel.
Hessel:Graag gedaan.
Renco:Volgens mij zouden wij dit nog wel een half uur volhouden, maar Doen we op het terras. Lijkt me heel leuk. Ja, dat doen we. Jij gaf wel aan van nou, als je laatst een podcast wilde beginnen duurt een uur. Dat je zegt, nou dat duurt echt te lang.
Renco:Dus we proberen het een beetje snappy te houden met die 30 minuten ongeveer. Nogmaals dank en wie weet tot de volgende. Graag gedaan. Jij natuurlijk bedankt voor het luisteren naar deze aflevering van Keytalking. Ik hoop dat je er over een maand weer bij bent als er weer een nieuwe aflevering online komt.
Renco:Tot dan.
