#22 - IT-audits en BIO aantoonbaarheid (met Juliette Tetenburg)
Hey, leuk dat je weer luistert naar Keep Talking. Je bent beland in aflevering 22 waarin ik, Renko, in gesprek ga met Juliette. Zij is Audit Manager IT bij de Auditdienst Rijk. En samen hebben we het over hoe je nou de BO2 aantoonbaar maakt. Want dat is toch wel wat de cyberbeveiligingswet en daarachter de NIS2 in toenemende mate van ons vraagt.
Renco:Ja, en verwacht van ons niet alle antwoorden, want veel van deze dingen zijn gewoon nog onduidelijk maar je kunt er natuurlijk wel alvast eens goed met elkaar over nadenken en dat hopen we gedaan te hebben in deze opname. Ja, veel luisterplezier. Over een mooie rumoerige zesde etage van een prachtig gebouw in Utrecht zit ik hier weer gezellig te podcasten. En tegenover mij zit, ja wie zit er eigenlijk tegenover mij?
Juliette:Juliette Tetenburg.
Renco:Juliette Tetenburg, hartstikke leuk Juliette Tetenburg. Zal ik het gewoon bij Juliette houden?
Juliette:Ja, Nou,
Renco:hey welkom bij Keep Talking. Leuk dat je er bent. Het is misschien voordat we inhoud induiken, vind ik altijd leuk om even stil te staan bij wie is Juliet eigenlijk maar ook hoe kennen wij mekaar en wat is jouw werk? Wat is jouw je zit waarschijnlijk in de hoek van informatie beveiliging privacy. Kan je iets vertellen over wat jouw dagelijkse werk inhoudt?
Renco:Wat je doet?
Juliette:Ja, zeker. Ja, ik ben Audit Manager IT bij de Auditdienst Rijk.
Renco:De ADR?
Juliette:De ADR.
Renco:Oké.
Juliette:Onderdeel van het ministerie van Financiën.
Renco:Dat wist ik dan weer niet.
Juliette:Ja, al best een tijd ook.
Renco:Wat heb ik dan wat geleerd?
Juliette:Al een jaar of oef, daar moet ik niet over overhoord worden, maar ik denk een jaar of 8, 9. Toen zijn alle auditdiensten van de verschillende rijksdepartementen zijn bij elkaar gevoegd tot de auditdienst Rijk.
Renco:Dat werd de ADR?
Juliette:Dat werd de ADR, ja. Daar werk ik dus als Audit Manager IT, wat betekent dat ik verschillende IT-audits binnen het Rijk mag uitvoeren of mag aansturen als projectleider.
Renco:Binnen de verschillende ministeries, uitvoeringsorganisaties, wat zijn jouw klanten? Noem je het zo klanten?
Juliette:Ja, Audite's, onderzoeksobjecten.
Renco:Audite's, oké. Dat vind ik wel chique in ieder geval.
Juliette:Ja, mooi hè? Ja, zijn en departementen en dat zijn uitvoeringsorganisaties. Ik heb er een aantal gezien afgelopen jaar. Ik heb BZK gezien, ik heb Ministerie van Financiën gezien middels de belastingdienst, wat onderdeel is van het Ministerie van Dat
Renco:klinkt dan wel meteen weer logisch hè?
Juliette:Ja hè, ja ja ja. Ik heb ook een hele gave organisatie. Ik heb de Passagiers informatie eenheid Nederland onderdeel van de Koninklijke Marechaussee gezien.
Renco:Daar heb ik dan weer nooit van gehoord.
Juliette:Nee, is ook relatief nieuw.
Renco:Die Marechaussee wel voor de duidelijkheid.
Juliette:Ja. Die PNL zoals we hem afkorten, dat is een relatief kleine organisatie binnen de Marechaussee en die voeren ook in principe 1 taak uit.
Renco:Oké.
Juliette:Dus dat was ook wel heel interessant om bij rond te lopen en wat inzicht te krijgen in wat ze doen en hoe ze werken.
Renco:Je komt nog eens ergens dan.
Juliette:Ja, komt zeker ergens. Ja. Ja. En er zijn ook heel veel verschillende mensen waar ik mee mag spreken.
Renco:Mag spreken zelfs dan?
Juliette:Jazeker.
Renco:Wij kennen elkaar omdat wij ook een tijdje samen hebben gewerkt.
Juliette:In Rotterdam.
Renco:Bij de gemeente Rotterdam. Toen deed je nog niet dit werk. Het werkte nog niet voor de ADR. Ik werd daar toen ingehuurd en jij werd daar ook ingehuurd en in hetzelfde team. Dus wij kwamen, ik wou zeggen we kwamen daar elkaar veel tegen.
Renco:Dat dat viel mee trouwens.
Juliette:Ja, digitaal in ieder geval.
Renco:Ja, digitaal wel ja. Ja, maar zo kennen wij. Dus het het werd ook hoogste tijd dat we een keer samen gingen podcasten.
Juliette:Ja, ja, zeker. Je bent
Renco:wel dichterbij komen wonen vertelde je me al voordat we gingen opnemen. Dichterbij vanuit mijn perspectief gezien althans want ik woon in Zwolle. Ja. Dus vandaag deed zich de kans voor om in het prachtige Utrecht samen te podcasten. Ik dacht ja, wat is er nou wat is er nou mooier om te kunnen podcasten met een IT-auditor, R.
Renco:A. Ja, de hele Santenkraam hè?
Juliette:Ja, ja.
Renco:Heb je daar hard voor moeten leren? Het lijkt mij echt best wel pittig om daar
Juliette:Definieer hard leren. Nou ja, kijk ik heb er wel wat wat tijd en energie ingestoken. Het is het is de RE opleiding op zichzelf is natuurlijk een opleiding van 2 jaar. Ja, dat alleen al. Precies, moet je toch weer 2 jaar voor terug de schoolbanken in.
Renco:Ja, dan moet je wel van gewoon, ja dan moet je het ook wel graag willen zeg
Juliette:maar. Ja, nou dat was ook wel het geval. En daarna moet je natuurlijk nog je vlieguren maken en daarna pas mag je die titel dragen. Dan schrijf je in bij de Noréa en dan ja goed dan ben je dus RE. Gister IDP-auditor, hele ouderwetse term.
Juliette:En wij noemen dat tegenwoordig wel lekker IT-auditor.
Renco:Ja, volgens mij ben je mijn eerste RE die ik interview in Keep Calvin.
Juliette:Lekker.
Renco:Ja, het voelt heel speciaal ook.
Juliette:Er zijn er toch best wel wat in Nederland.
Renco:Ja, niet iedereen niet iedereen wilde mij geïnterviewd worden denk ik.
Juliette:Nou, dat snap ik niet.
Renco:Hey, maar in in Rotterdam waren wij allebei moet strategisch adviseur informatiebeveiliging.
Juliette:Onderdeel van het CISO Office.
Renco:Wat later opging in het CIO Office.
Juliette:Daar was ik niet meer bij.
Renco:Ik heb toen ook nog SiSO van de gemeente Rotterdam geïnterviewd voor Keep Talking. Usger ging ook over Auditing. Usger heeft als SiSO ook een audit achtergrond. Dat was een leuk interview. Nog meerdere mensen trouwens wel geïnterviewd in Rotterdam.
Renco:Dus ik ik ik de mensen die ik interview hangen nog wel eens vaak samen met de opdracht die ik op dat moment waar waar die op dat moment loopt. Dus op dit moment is dat ook in Utrecht dus vandaar dat we ook in Utrecht zitten.
Juliette:In het mooie open gebouw.
Renco:Ja, ja, mensen die ook even de de teaser kijken. Het promofilmpje wat bij deze opname hoort die kunnen daar ook iets van zien. Dus mocht je dat nog niet gedaan hebben dan moet je even zoeken op Vimeo daar staan ze allemaal of check het op LinkedIn. Ja. Daar plaats ik ze ook.
Renco:Hey, maar Juliet, Auditing, IT-auditing.
Juliette:Ja.
Renco:Ik denk dan eigenlijk meteen aan digi-day.
Juliette:Zeker,
Renco:ja. Verplicht natuurlijk daar elk jaar al heel aantal jaren om daar een IT-audit te doen of zoals Logius structureel volhoudt en beveiligingsassessment.
Juliette:Ja, volgens mij gaan we nu, ik weet het niet zeker, maar ik denk dat we nu het elfde twaalfde digidjaar ingaan.
Renco:Ja, dus dit is echt wel flinke tijd al. Ja. Ik denk ook aan SUNET. Ja. Met de komst van NCA is ook IT-auditor voor een deel van de Bio-Control uitgebreid of ingevoerd voor SUNET.
Juliette:Zeker. En
Renco:alle subs maken die we dan kennen van Sewinet, Sewinet inkijken, Sewinet inlezen, DKD inlezen.
Juliette:Ja, ook buiten NTA om overigens. Er zijn natuurlijk ook organisaties die zich niet hoeft te committeren aan NTA maar wel Sewinet aansluiting hebben.
Renco:Ja, zullen best veel zijn denk ik
Juliette:ook ja. Ja, provincies onder andere.
Renco:Dus dat is waar ik aan denk. Dan denk ik ook wel aan de bio op zichzelf als het volledige normenkader maar dan dan denk ik al snel aan zelfevaluatie want dat is wat we als gemeentes dan doen binnen die NCA verantwoording systematiek die elk jaar terugkeert. Als ik verder denk aan IT-audit, denk ik aan jaarrekening controle. Dan denk ik aan een voor kantoor of een hé die dan een afvaardiging stuurt van mensen die naar de centen kijken en die nemen ook mensen mee die naar de onderliggende IT-systemen kijken naar de zogenaamde general IT controls. Ja.
Renco:En daar houdt het op voor mij. Dat is dit is mijn kennis van IT-auditing.
Juliette:Ik vind het best een uitgebreide samenvatting.
Renco:Ik hoop wel dat je hem nog een beetje verder inkleurt. Ik heb wel het idee dat het erg beperkt is.
Juliette:Kijk de WPG is natuurlijk nu sinds een paar jaar ook opgekomen. De Wet politiegegevens. Daar hebben we eigenlijk nu de eerste serie verplichte audits voor gehad. Beginnend volgens mij een jaar of 2 3 geleden.
Renco:Dus ook vanuit de ADR worden er WPG audits uitgevoerd? Is dat wat je zegt?
Juliette:Deels. Deels worden ze ook uitbesteed bij externe partijen of andere partijen. Maar daar zijn eigenlijk de departementen vrij in om zelf te kiezen welke audits ze uitvoeren. Of welke audits ze laten uitvoeren door de medewerkers van de Auditdienst Rijk. Met uitzondering van de jaarrekeningcontrole.
Renco:Ik wou zeggen, dus op die WPG-audit is er geen van zogenaamde gedwongen winkonnering hé. Nee. Maar dat klinkt wat negatief dat ik het doe hoor.
Juliette:Het is niet wettelijk vastgelegd dat de auditdienst Ja,
Renco:dat klinkt eigenlijk beter, ja.
Juliette:Aldus uitvoert.
Renco:Maar dus voor de jaarlijkse controle van de jaarrekening is dat wel het geval? Ja. Dan heeft de ministerie zaken te doen met de oude dienst Rijk.
Juliette:Ja, ja. Oké. Zeker.
Renco:Dus we hebben de jaarrekening waar een stuk IT Auditing onder zit omdat we natuurlijk die centen steeds meer door allerlei computersystemen heen trekken, informatiesystemen en dat moet natuurlijk allemaal kloppen. We hebben binnen de lokale overheid wat delen. Maar nu zit er zoiets aan te komen als NIS 2, cyberbeveiligingswet. Waarin eigenlijk staat u hebt straks een zorgplicht. Die zorgplicht vullen we in Nederland in met Bio2.
Renco:Die verwacht ik ergens in Q1, Q2 dat die vastgesteld wordt.
Juliette:Net als de algemene maatregel van bestuur.
Renco:Ja, dit moet ook nog komen. Wordt eigenlijk in gezegd die hele Bio 2 die moet je aantoonbaar met een managementsysteem moet je die al die maatregelen aantoonbaar invoeren. Dat is toch van een totaal andere orde nog weer dan de dingen die we net benoemden?
Juliette:En nee. Ik denk het ligt natuurlijk aan hoe ga je ermee om, hoe kijk je er tegenaan. Ik denk bijvoorbeeld je noemt net NCIA. NCIA is natuurlijk sinds 2017 verplicht koek voor gemeenten in ieder geval. En gemeenten die voeren natuurlijk die zelfevaluatie uit over de gehele bio.
Juliette:Dus de gemeenten die beoordelen natuurlijk zelf, voldoet wel of niet aan die maatregelen? En over een tweetal, eigenlijk over 3 systemen, wetten, ja hoe je het ook wil noemen. Over DigiD Surined, maar ook over de identiteitsgegevens.
Renco:Basisregistraties.
Juliette:De BAG, ik ben er even uit moet ik zeggen, ik heb het een paar jaar niet gedaan. Volgens mij was het de BAG, Bro en BRP.
Renco:100 punten.
Juliette:Yes! Waarover de gemeente natuurlijk ook zich moeten verantwoorden richting de betreffende ministeries. Ja. Nou, dat doen ze al een paar jaar. Het is al een paar jaar vullen gemeenten die vragenlijsten in en kijken voor zichzelf wat is eigenlijk onze stand van zaken?
Juliette:Hebben die maatregelen geïmplementeerd? Zo ja, hoe hebben we die geïmplementeerd? Nou ja, eigenlijk dat tweede zit, maakt geen inherent onderdeel uit van ENCI, want het is altijd een ja of een nee. Doe ik het wel of doe ik het niet? Maar die systematiek zit er natuurlijk al in sinds 2017 en is in de loop van de jaren verder uitgebreid.
Juliette:En de vraag is dus een beetje hoe gaan we om straks met die meldplicht? Wat we nu al een paar jaar doen is
Renco:Een meldplicht of zorgplicht?
Juliette:Sorry de zorgplicht.
Renco:Oké, want die meldplicht heb je ook met die
Juliette:Ja, voor de beveiligingsincidenten. Ja, Maar dus die ENCIA die doen we nu al een paar jaar. Daarover leggen we verantwoording af richting de gemeenteraden en dus richting de betrokken ministeries als het aankomt op de basisregistratie Surined en DVD. Dus dat gebeurt al en ik verwacht uiteindelijk ook dat die Bio2 of dit Bio 20 komt uiteindelijk natuurlijk ook in de NCIA. Dus dit gaat gewoon door.
Juliette:Die zin dat nog steeds. Kijk wat je natuurlijk gaat krijgen is dat je uiteindelijk, wat ik verwacht is dat er een onafhankelijke partij iets van moet gaan vinden en zal kunnen laten zien bijvoorbeeld middels een audit. Kijk eens we hebben dit en dit en dit getoetst. We hebben gekeken wat stand van zaken is met betrekking tot die maatregelen in die Bio 20 en we hebben dit oordeel geveld. Voelt het wel of doet niet?
Renco:Ja precies, eigenlijk ontstijg je dan zeg maar of ga je eigenlijk in de toetsing ga je eigenlijk een stap verder. In de zin dat je in de huidige systematiek kun je zeggen nou, ik heb er zelf eens goed naar gekeken en ik evalueer mijzelf en ik stel vast dat ik wel of niet voldoe. En daar schrijf ik een verbeterplan op of of wat dan ook. Voor een deel doe je dat, verantwoord je dat ook naar een toezichthouder maar in de niet in de volle breedte.
Juliette:Nee.
Renco:Met de komst van bio 2 lijkt dat nadrukkelijk wel de bedoeling te zijn waardoor dan een zelfevaluatie ook een wat als een wat te licht instrument voelt om aan te tonen dat je al die beveiligingsmaatregelen die overheidsmaatregelen zoals ze dan heten binnen de bio 2, ook trouwens nu al binnen de bio 1, dat je die allemaal geïmplementeerd hebt. Dus ik denk mijn gedachten gaan meteen ook naar daar zal toch wel een soort onafhankelijke partij dan een audit komen uitvoeren. Ja. En dan denk ik ja hoeveel informatiesystemen heeft een gemeente? Hoeveel bio-overheidsmaatregelen zijn hé?
Renco:Als ik daar een matrixje van maak dan dan zakt mij de moed in de schoenen, ja de moed in de schoenen.
Juliette:Ja, nou ja kijk en die NIS 2 en die Bio 20 leggen natuurlijk veel meer die nadruk op risicomanagement. Ja. Hè, dus wat is nou in eerste instantie belangrijk en wat vloeit er daarna af? Wat is er minder belangrijk? En volgens mij is dat ook een manier waarop je moet gaan kijken naar de wijze waarop je het toetst.
Juliette:Je kunt natuurlijk zeggen nou we gaan die hele bio 20 toetsen, die gaan we toetsen op opzet bestaande werking. Dat gaan we doen op alle systemen en processen die betreft de Precies, we gaan er keihard tegenaan. Daar ben je en ik weet niet hoe lang onderzoek aan het doen. En het is natuurlijk, ja het is ontzettend veel. De scope is dan enorm groot en je kunt je ook afvragen hoeveel baat heb ik erbij?
Juliette:Wat laat ik zien richting mijn burger? Want uiteindelijk is dat volgens mij wat je wil doen. Je wil richting de burger laten zien kijk eens, ik ga goed om met jouw gegevens.
Renco:Ja, wilt een veilige omgeving. Veilige verwerking van persoonsgegevens van burgers en bedrijven.
Juliette:Ja, volgens mij moet je beginnen met een afweging in wat zijn nou mijn belangrijke, aan mijn relevante processen of systemen. Wat wil ik als eerst, waar wil ik als eerst transparantie en duidelijkheid over geven richting mijn Ik
Renco:hoopte eigenlijk niet dat je het woord eerst zou gebruiken, want dat impliceert toch nog steeds dat je die hele rattenplan die je nog niet doet wel op een zeker moment ook allemaal moet doen.
Juliette:Het ligt natuurlijk aan hoe je je organisatie hebt ingericht. Kijk je hebt natuurlijk in de ondoor de wereldmarkt weet je natuurlijk alles van. Je kan kijken naar de opzet, bestaan en de werking van de maatregelen. Dus heb je alleen maar iets opgeschreven, heb je het een keer doorgevoerd of heb je het, voer je het altijd per definitie uit. En ook als het aankomt op die toetsing van die bio kun je natuurlijk kijken van heb ik op opzet al iets op papier gezet en heb ik dat generiek gedaan voor mijn hele organisatie?
Juliette:Ja, heb je natuurlijk een hele bups aan systemen en processen meegenomen.
Renco:Ja, die worden eigenlijk dan gedekt door die ene richting van die ene controle op generieke manier.
Juliette:Ja, en dat is ook helemaal afhankelijk van hoe de organisatie is ingericht. Dus ik heb ook organisaties gezien die hadden, om even iets voor mij dicht bij huis te pakken, die hadden hun wijzigingenbeheer of de wijzigingen, de wijze waarop ze dat proces aanpakte die hadden ze voor alle applicaties generiek ingericht.
Renco:Oké.
Juliette:Ja, dat is gunstig.
Renco:Ja, dat voelt efficiënt.
Juliette:Ja, het is best efficiënt dat overigens is dit wel een ideaalplaatje. Ik zie het vaker niet dan wel.
Renco:Maar het is
Juliette:wel heel fijn.
Renco:Prima om in de podcast uit te gaan van ideaalplaatje.
Juliette:Ja toch?
Renco:Zeker. Ja, ja.
Juliette:Ja en als eerste ja, ik denk uiteindelijk als je wil gaan groeien in volwassenheid als organisatie zul je natuurlijk wel prioriteiten moeten gaan leggen en toe willen gaan werken naar wat je wil bereiken als organisatie. En waar je wil komen. En dat geldt denk ik ook voor een volwassenheidsniveau zeg maar. Je hebt als je kijkt naar bijvoorbeeld CMI, je hebt niveaus 1 tot en met 5. Ambieer je als organisatie niveau 5?
Juliette:Is dat realistisch? Wil je daar naartoe werken? Of ben je oké als je op 3 blijft hangen wil ik zeggen, maar dat klinkt oneerbiedig.
Renco:Ja, dat denk ik alsof je altijd op 5 toch zou moeten mikken?
Juliette:Ja, dat moet je afvragen denk ik, of je dat wel wil.
Renco:En betekent het ook als je dan op drieën blijft hangen dat je dan toch ook een helder helft niet kan doen? Dan zeg je nou ik ben wel wat onvolwassen, ik doe niet alles, maar goed genoeg?
Juliette:Ik denk dat het belangrijkste is dat er goede afwegingen worden gemaakt
Renco:en
Juliette:dat het bestuur daar ook zijn verantwoordelijkheid in neemt.
Renco:Dat is natuurlijk ook waar die 2 veel meer nadruk op legt. Dus die verantwoordelijkheid van het topmanagement zeg maar in het sturen op dit onderwerp, het in control zijn op risico's, het mitigeren van risico's. Of te accepteren. Of te accepteren, maar dat dat vind ik altijd een spannende. Mag dat nou wel of niet?
Renco:Want als je puur kijkt dit deze overheidsmaatregelen zijn de ondergrens, ja, dan vraag ik me af of je wel kan accepteren. Misschien voor een tijdje hé. Dat je het meer in de tijd uitzet. Dat kan me iets bij voorstellen. Maar een andere richting om dit probleem op te lossen zou kunnen zijn dat je net als dat dat nu in de markt gebeurt rondom de 27001, dat je meer nadruk legt op het managementsysteem dan op alle individuele controls op alle individuele informatiesystemen.
Renco:Ja. Dat geeft denk ik minder zekerheid hé. Bedoel als ik een ISO 27001 certificaat krijg van een marktpartij dan zegt mij dat iets, maar het is wat anders dan dat ik een ISOE 3004 0 2 krijgen type 2 toch?
Juliette:Wat goed van jou.
Renco:Ja, ja, poeh. Spreek even uit. Die tweede rapportage, die ISAE, die geeft mij veel meer, die geeft mij Die geeft mij assurance. Dat geeft dat certificaat mij niet. Toch kan ik in veel situaties best leven met dat certificaat.
Renco:Als in het is voor mij voldoende, kan meer, maar is in deze situatie misschien niet nodig. Als ik kijk naar wat het ondersteuningsaanbod van informatiebeveiligingsdienst, die zitten ook erg op hoe werkt nou dat ISMS, verklaring van toepasselijkheid. Daar proef ik in dat dat systeem, het managementsysteem steeds belangrijker wordt gemaakt. Ik ben dan ook heel benieuwd hoe een RDI maar misschien ook wel een ADR, hoe die dan gaat toetsen. Komen die dan nog steeds informatiesystemen toetsen?
Renco:Dus individuele controls, bijvoorbeeld wijzigingenbeheer, op informatiesysteem 1, 2, 3, 4, 5 en ga zo maar door.
Juliette:Liever niet.
Renco:Of komen die en zeggen nou laat mij jouw managementsysteem maar eens zien.
Juliette:Ja, ja, ja, dat is natuurlijk het ideaalplaatje.
Renco:Ja, is dat het? Dat weet ik niet.
Juliette:Wat mij betreft wel, want kijk weet je, ik vind de belangrijkste taak van de Auditor is een organisatie helpen inzicht te krijgen in de stand van zaken, maar ook helpen in hoe kan ik ervoor zorgen dat ik mijn doelen bereik. En dan in dit geval op het gebied van informatiebeveiliging. En dan ook mede extern ingegeven, want het is uiteindelijk wettelijk vastgelegd. Maar oké, dus dat wordt dan een doel. En idealiter denkt de organisatie daar zelf over na, voert daar vervolgens misschien wel interne controles op uit of gooit de beleidsadviseurs tegenaan of ISA's of privacy officers of weet ik veel hoe we die mensen gaan noemen.
Juliette:Maakt eigenlijk niet zo heel veel uit. Maar die gaan uiteindelijk kijken naar nou ja, A het stukje risicomanagement. Waar zitten mijn risico's? Wat zijn nou de belangrijke maatregelen die ik als eerste, ik durf het bijna niet meer te zeggen.
Renco:Als eerste.
Juliette:Als eerste wil gaan implementeren, op wat voor manier wil ik dat doen, op welke systemen wil ik dat doen. Commitment van bestuur is belangrijk. En dat leg je dan vast in je managementsysteem waarin je een soort van PDCA cyclus krijgt. Waardoor je doorlopend in control gaat komen als het aankomt op die informatiebeveiliging. En ik zou, nou dus het ideaalplaatje is, ik word ingevlogen als auditor en de organisatie zegt tegen mij oké luister, wij hebben plannen gemaakt, hebben erover nagedacht, we hebben bestuurlijk commitment en de wijze waarop we dat aanvliegen hebben we vastgelegd in het managementsysteem.
Juliette:Alsjeblieft, ga maar kijken en dan gaan we daar het goede gesprek over voeren.
Renco:Ja, dus dan neem jij als die organisatie dat zo voorbereid heeft, dan kan ik me voorstellen Wat
Juliette:een ideaal plan. Ja, ik was eerlijk Dat
Renco:snap ik hé. Dus het zo zo zo op een presenteerblaadje krijg je het natuurlijk niet vaak aangereikt, daarom stel ik, maar als een organisatie op die manier zeg maar het initiatief zelf al neemt, dus voordat jij binnenkomt eigenlijk dit voorwerk allemaal al gedaan heeft, kan ik me voorstellen dat je als IT-auditor ook best wel geneigd bent om daarin mee te gaan. Terwijl je ook zou kunnen zeggen je kan ook toetsen die die initiële scope die men aangebracht heeft, dat systeem wel, dat systeem niet, dan denk ik even weer aan zo'n jaarrekening waar de waar kan je nog zeggen ja vanuit de poen geredeneerd had dit en dit en dit ook in jullie managementsysteem scope moeten zitten. Dus je dan beweeg je dan mee met de organisatie om ook te belonen dat zij zelf al een afbakening hebben aangebracht of zeg je dan 'ja ho ho ho, voordat ik de inhoud induik ga ik even kijken of jouw scope niet niet essentiële systemen buiten beschouwing laat.
Juliette:Ik vind het primair als auditor niet mijn verantwoordelijkheid om de scope te bepalen.
Renco:Oké, da's een duidelijk antwoord. Wat
Juliette:mij betreft word ik als auditor ingevlogen met een hele duidelijke opdracht. Die opdracht die krijg ik van een bestuur, management, een directie en wie dan ook. En die zegt goh, hebben hier, wij hebben hier een aantal doelen gesteld, hebben een aantal normen. Ik wil graag dat jij gaat kijken of we doen wat we denken dat we doen. En ik wil graag dat jij daarnaar gaat kijken binnen deze scopes voor deze processen, deze systemen.
Juliette:En natuurlijk kan ik daar mijn bedenkingen bij hebben. Natuurlijk heb ik ook wel eens met managers of directies vooral, trouwens in mijn VKA tijd moet ik zeggen, gesprekken gehad met klanten
Renco:Ja precies,
Juliette:ook veel IT-orders bij verschillende organisaties, vaak overheidsorganisaties. En natuurlijk heb ik daar ook wel eens gesprekken gevoerd over ja maar ben jij nu compleet? Hebben we nu inderdaad alle systemen, hebben we alle processen?
Renco:Kan ik me voorstellen dat dat af en toe jeukt, dat je denkt nu?
Juliette:Ja, zoals het jeukt dan kan ik daar wel iets over zeggen, daar haalt het wat mij betreft op. Als mijn auditie of klant of opdrachtgever zegt ja dit is wat wij getoetst willen hebben, dan is dat wat we gaan toetsen. En aan mij de taak om wel heel scherp in mijn rapport op te schrijven wat de scope is geweest. Dus ik heb naar deze en deze systemen gekeken, punt. En daarover val ik een oordeel en over alles wat bij de scope is dus per definitie niet.
Renco:Hoe zie jij hoe bezi jij dan de komst van zo'n cyberbeveiligingswet en daaronder ook die nieuwe Bio 2 die dan invulling geeft aan die zorgplicht die we straks wettelijk hebben. Cyberbeveiligingswet. Hoe wat wat voor een impact wat van ja, wat voor impact heeft dat op ons werkveld? Wat denk je dat gaat wat gaat gebeuren?
Juliette:Ja, ik ik ben heel benieuwd. Ik ben soms voelt het voor mij een beetje als dit doen we toch eigenlijk al een paar jaar? Alleen komt nu dit stukje erbij waarin er meer transparantie komt en organisaties meer ook naar buiten zullen moeten laten zien van kijk eens ik doe
Renco:het ook de juiste duimschroeven worden iets verder aangedraaid.
Juliette:Aan de ene kant wel aan de andere kant denk ik ja, maar ja goed je zag natuurlijk ook met de AVG in 2018. We hadden natuurlijk al jaren een privacywet. Maar.
Renco:Ja, dat was een beetje dode letter hè?
Juliette:Ja, maar toen kwam die AVG en toen kwam dus de toezichthouder die daadwerkelijk boetes uit ging geven die daadwerkelijk ging controleren. En ja, dat heeft wel het een en ander in beweging gezet. Er kwamen FG's, kwamen DPIA's, er kwamen nieuwe analyses. En ik verwacht dat dit ongeveer dezelfde lijn gaat. Volgen zij het niet dat organisaties al wel jaren bijvoorbeeld een CISO hebben of ISO's of medewerkers die gespecialiseerd zijn in het uitvoeren van werkzaamheden rondom informatiebeveiliging.
Renco:Daar waar bij de AVG heel veel organisaties nog helemaal geen privacy officer of een FG hadden natuurlijk. Waren allemaal nieuwe functies. Dat is in dit vakgebied niet meer zo.
Juliette:Nee, ja, die CISO die bestaat al een tijdje. We kunnen nog wel discussiëren over positionering van de CISO's bij verschillende organisaties. Maar de functie an sich die bestaat al even. En zo'n normenkader bestaat ook al even. Ja.
Juliette:Daarvoor hadden we de BIA, daarvoor hadden we de BIG en de BIG. Ja. En daarvoor leefde ik nog niet denk maar daarvoor had je vast ook nog op mijn kaders.
Renco:Niet in dit vakgebied in ieder geval.
Juliette:Nee precies. Dus dat, het zou ons als het goed is niet allemaal rauw op ons dak moeten vallen. Nee. Denk ik. Maar kleine disclaimer, want er zitten natuurlijk wel wat extra haken en ogen aan.
Juliette:Er zit die bestuurlijke verantwoordelijkheid, er zit de verplichting aan bestuurders om die opleidingen trainingen te Die verantwoordelijken zijn ook nog voor het erkennen van de risico's, de gevolgen ervan et cetera et cetera. Het al dan niet implementeren van die overheidsmaatregelen. Ja, zijn wel allemaal strakke.
Renco:Ja, het risicomanagement proces goed laten functioneren. Ja, die betrokkenheid van die ambtelijke top. Want jij noemt het bestuur ambtelijke top. Dat loopt loopt nog wel eens een beetje door mekaar welke van de 2 er is, maar hoe dan ook. Mensen anders dan de CISO zouden zich ook druk moeten gaan maken over over risico's die gelopen worden en en of maatregelen dan wel of niet en in welke volgorde ze genomen moeten worden.
Juliette:Ja, wat ik daar dus heel lastig aan vind is dat voor mijn gevoel dat eigenlijk al het moet nu zeg maar wettelijk maar dat moet toch eigenlijk al heel lang dat mensen anders dan de CISO daarvoor verantwoordelijk zijn.
Renco:Ja, Maar dan klinkt het dan weer een beetje als ja, we hadden ook al heel lang een wet bescherming persoonsgegevens. Ja, precies. Ja, dat hadden we inderdaad. Ja, alleen dat dat teken ik toch niemand. Ja, ja.
Renco:Het valt wel staat denk ik ook wel met die toezichthouder, de RDI.
Juliette:Ja, voor overheidsorganisaties.
Renco:Ja, sorry, ja. Waar staat die afkorting voor? Rijksdienst.
Juliette:Rijksinspectie voor Digidi. Digitale infrastructuur geloof ik.
Renco:Ik had eerst ervan gemaakt digitalisering en infrastructuur, maar dat klonk een beetje als wegen en bruggen en zo. Ja, ja. Digitale infrastructuur.
Juliette:Dat dacht ik wel ja.
Renco:Die die
Juliette:In Amersfoort zit ze toevallig.
Renco:Jouw nieuwe woonplaats.
Juliette:Zeker,
Renco:ja. Lekker centraal. De meest gemiddelde gemeente van Nederland.
Juliette:Is dat zo?
Renco:Ja dat is altijd wat er over Amersfoort gezegd wordt.
Juliette:Ja. Maar goed,
Renco:dat terzijde.
Juliette:We wat geleerd.
Renco:Ik ben erg benieuwd hoe de die toezichthouder, de RDI dan voor overheidsorganisaties, hoe die ja, op zal optreden. Want daar dat is heel erg bepalend ook in de zwaarte van de toetsing. Toetsing vooraf, toetsing achteraf, hoe gaat dat eruit zien? Ja, is eigenlijk allemaal nog heel onduidelijk. Tenminste er wordt wel steeds duidelijker welke taken die toezichthouder dan heeft, maar hoe die die taak precies voor de verschillende overheidslagen gaat invullen, dat is niet duidelijk.
Renco:Er is wel gezegd als het gaat om de lokale overheid nou we sluiten, de RDI zelf gezegd, we sluiten aan bij de NCIA verantwoordingssystematiek. Dat gaf jij ook eerder al aan, die Bio2 die zal gewoon geïntegreerd worden in de NCIA. Ik denk dat ook, maar wat ik ook denk is dat in de gemeente er heel veel grote taak applicaties zijn waarin specifieke wettelijke taken uitgevoerd worden die buiten scope vallen van digi-d, buiten scope vallen van SUNET en buiten scope vallen van de WPG. Ja, Buiten die ja en buiten scope van de basisregaties. Dan is er nog steeds zijn er nog steeds heel veel informatiesystemen te bedenken.
Renco:En misschien zelfs nog wel buiten scope ook van de jaarrekening controle. Dan nog hou je best wel kritische kritische systemen over en daar zou het toch ook in toenemende mate over moeten gaan. Die moeten ergens binnen scope komen.
Juliette:Volgens mij gaat daar dan dus je risicomanagement over. Op het moment dat je risicogoedmanagement goed hebt geïmplementeerd denk ik, ga je dus per sector binnen een gemeente, want er zijn er natuurlijk nogal wat, er zijn verschillende sectoren, zijn verschillende onderwerpen. Je hebt ook het hele stuk jeugd en zorg wat natuurlijk ook is belegd bij gemeenten die vaak bij de scope vallen.
Renco:Ja, een goed voorbeeld.
Juliette:Waar ook hele kritische data doorheen loopt, waarbij ze ook binnen die sector op zichzelf ook hun risicomanagement zullen moeten gaan optuigen als het nog niet bestaat en als het wel bestaat echt zullen moeten gaan kijken van wat zijn nou onze kritische applicaties en hoe gaan we daarmee om?
Renco:Ja, dus je moet het woord kroonjuwelen wordt dan vaak Dus wat verdient nou de meeste bescherming? Waar is het nou het ja, wat zet de continuïteit van onze gemeente? Is altijd een beetje raar te zeggen alsof een gemeente ook failliet kan gaan of zo. Dat geloof ik dan niet zo, maar wat zet wat zet er dus het voortbestaan van de organisatie het meest op het spel hé als dat niet gewaarborgd is? Als veiligheid van die gegevens niet gewaarborgd is.
Juliette:Ja of waar worden de burgers het hardst geraakt op het moment dat die applicatie er ineens uit ligt.
Renco:Ja, dat doen nu direct ook hoor dat die burger gaat zich natuurlijk melden bij de gemeente dan en
Juliette:Ja, precies. Ja ja, ik gebruikte in mijn in mijn gemeente Delft, kijk als ik intern als ondernemer, vaak het voorbeeld van een participatiewet uitkering. Mensen die echt toeleven naar die vijfentwintigste van de maand die dan een uitkering krijgen. Op het moment dat die applicatie 2 dagen uit de lucht is, bij wijze van, en ze krijgen hun uitkering 2 dagen later, ja, dan staat die hele stad op zijn kop. Dat kan niet, is geen optie.
Renco:Ik zie dat de informatiebeveiligingsdienst in haar ondersteuningsaanbod voor de Bio2 ook met een voorstel komt voor alle kritieke processen. Zodat niet iedereen hé, de gemeente voert natuurlijk allemaal dezelfde wettelijke taken uit dat niet elke gemeente zelf bijvoorbeeld allemaal business impact assessment gaan doen om te bepalen wat zijn onze kritieke processen. IBD ondersteunt daarin en dan zou je kunnen zeggen nou we pakken die processen, we kijken naar de informatiesystemen die daaronder zitten en dat wordt dan onze initiële scope. Zou je kunnen kijken en dan zou je ook een aantal van die systemen waarvan ik net mijn zorg uitsprak dat die nergens binnen scope zijn die invalshoek, dat is volgens mij dan wat jij bedoelt met risicomanagement. Dat je met die invalshoek die er ook eindelijk bij pakt en binnen scope trekt.
Juliette:Ja, sterker nog, volgens mij bestaat dat overzicht al een paar jaar. IBD is natuurlijk al een paar jaar bezig met kijken naar die gemeentelijke processen en vooral de samenhang tussen al die gemeenten want
Renco:Ja, maar in de verantwoording zat er natuurlijk geen prikkel om om om in de om om zo diep te gaan in termen van opzet bestaan werking omdat daar geen toezicht en regime of geen verantwoording cyclus op zit anders dan een interne. Je zou dan zeggen dat moet genoeg zijn, een interne cyclus. Goed, werkelijkheid is volgens mij anders. Het is toch vaak de externe druk de externe druk stimulans die de boel in beweging brengt en houdt. In dat opzicht kijk ik met veel verwachting uit naar die komende wet en de Kooldioxide en met name dan de wettelijke verankering daarvan.
Renco:Ben ik heel benieuwd of op die manier, mede afhankelijk van de RDI dan, die zich op gaat stellen.
Juliette:En anderen ook, daar ben ik ook wel nog benieuwd naar. De RDI is dan nu toezichthouder voor kritische organisaties, de overheids organisaties. Maar je hebt natuurlijk meer toezichthouders in Nederland. Anders dan bij de AVG waar je alleen de AP hebt voor alle organisaties in Nederland die persoonsgegevens verwerken, heb je voor de uitvoering van de cyberbeveiligingswet straks meerdere toezichthouders. En ik ben ook benieuwd hoe die samenhang.
Renco:Jullie kunnen ook nog een ander perspectief hebben op hoe ze dan toezicht gaan houden op die cyberbeveiligingswet.
Juliette:Dat vraag ik me af.
Renco:Maar dat zag je toch ook wel eens bij de AP al? Je had dan eerder de ACM en dan de AP, dus de cookiewet is dan zo'n leuke, die zit dan zo'n beetje half in het midden en dan heb je 2 toezichthouders die ook niet helemaal dezelfde accenten leggen. Dat zou je natuurlijk bij de cyberbeveiligingswet ook kunnen krijgen.
Juliette:Ja, liever niet.
Renco:Nee, nee, liever niet.
Juliette:Misschien gaan ze juist die samenwerking wel aan. Tenminste, daar ga ik vanuit dat ze die samenwerking gaan opzoeken om te kijken hoe gaan we daar nou in het land, in de landen, in Nederland mee om. Ja. En hoe geven we daar invulling aan?
Renco:Maar wat het ook wordt, ik denk dat er genoeg werk blijft en meer bij gaat komen voor de ADR.
Juliette:Ja, dat zeker.
Renco:En misschien wel voor alle
Juliette:RE's IT-auditors. Ja precies. Ik denk niet dat de gemiddelde IT-auditors zich gaat vervelen komende jaren.
Renco:Nog even ingaan dan wat je net zei. Je zei dat je IT-auditor bent geweest bij de gemeente Delft. Ja. Ken jij veel IT-auditors die intern gewoon vast in dienst zijn bij een gemeente?
Juliette:Nou er zijn relatief weinig gemeenten die een audit afdeling hebben.
Renco:Een IT audit afdeling? Of überhaupt?
Juliette:Gewoon de audit afdeling of tenminste er zijn vaak wel interne auditors, maar we hadden bij de gemeente Delft echt een audit afdeling met en financial auditor en IT auditor en operational auditor. Ik ken er een paar bij de gemeente Den Haag. Ik ken er een paar bij de gemeente Rotterdam. Ja, het zijn toch vaak de grote gemeenten in Nederland. Dus de 4 grote gemeenten.
Renco:Amsterdam heeft u ook een eigen, de AKAM.
Juliette:Ja, en ik vermoed, maar dat weet ik nog niet, ik vermoed dat Utrecht ook gewoon een interne audit afdeling heeft met een aantal ERA's die hier wellicht rondlopen, maar dat durf ik niet te zeggen.
Renco:Dus de omvang van de gemeente is wel bepalend in het al dan niet hebben van een eigen IT-auditor?
Juliette:Ja, ja zeker. Ja, sowieso IT-auditors zijn binnen gemeenteland vrij schaars.
Renco:Ja, ja. Nou, ze kunnen altijd nog aankloppen bij de ADR of werkt de ADR niet voor gemeentes? Kan je daar gewoon heen bellen en zeggen joh ik wil een audit bestellen
Juliette:bij jullie? Goede vraag, volgens mij niet. Nee volgens mij niet. Nee, principe werken wij echt voor het Rijk en dienst uitvoeren. Ik
Renco:vond het hartstikke leuk om met jou te gast te gast gast.
Juliette:Ik ook.
Renco:Dankjewel, leuk dat je er was en veel plezier bij al die uiteenlopende klanten die je bedient vanuit de ADR. Ja, was hem alweer hè? Je hebt gehoord dat ik me wat zorgen maak over hoe je in vredesnaam op al die informatiesystemen kan aantonen dat je aan al die Bio2 maatregelen voldoet. Ik denk niet dat dat kan, maar ja, de vraag is wat dan wel kan, wat dan wel moet, wat je dan wel zou moeten willen. Nou, deze aflevering heeft daar hopelijk iets ingeholpen in dat denkproces, maar we zijn er met nog niet denk ik dan maar.
Renco:Dus al met al heel veel redenen om te blijven luisteren naar je talking. Ik hoop dus dat ik je volgende maand weer tref als luisteraar. Graag tot dan.
