Nasim Ahmadi is als gevolg van een ambtelijke samenwerking zowel Chief information security officer bij de gemeente Aalsmeer als bij de gemeente Amstelveen. Een gesprek over het wiel opnieuw uitvinden, de rollen binnen de Algemene verordening gegevensbescherming en het in gesprek blijven met de burger.
Auteurs: Léonhard Weijmar Schultz & Anna de Haas
Nasim: We proberen zoveel mogelijk samen en gelijk op te trekken, want uiteindelijk wil je voor zowel de inwoners van Amstelveen als voor de inwoners van Aalsmeer dezelfde bescherming. Qua werkwijze of uitvoering van de wet is er dus geen verschil. Wel is er een ‘natuurlijke’ scheiding in de wensen en prioriteiten van het bestuur, het college van Aalsmeer kan andere prioriteiten zien en wensen hebben dan het college van Amstelveen. Aan mij de taak om dat helder te krijgen en toch te proberen zoveel mogelijk één lijn te trekken voor beide gemeenten.
Als Chief information security officer (CISO) heb ik onder andere de taak de implementatie van de Baseline Informatiebeveiliging Gemeenten (BIG) en per 1 januari 2020 de Baseline Informatiebeveiliging Overheid (BIO) te coördineren. Dat zijn heel wat maatregelen, dat heb je niet in een jaar verwezenlijkt. Het gaat soms ook om ‘ingrijpende’ maatregelen, dus het kan goed zijn dat de ene bestuurder de implementatie van de BIG/BIO te hard vindt gaan terwijl het voor de andere bestuurder niet snel genoeg kan gaan. Het hangt er allemaal vanaf in hoeverre het bestuur en het management de onderwerpen informatiebeveiliging en privacy belangrijk vinden en hoog op de agenda hebben staan. Gemeenten dragen een hoop verantwoordelijkheden en informatiebeveiliging is daar slechts één van. Mijn rol is om deze onderwerpen constant onder de aandacht te brengen.
We hebben het zo ingericht dat niet ik, maar de lijnverantwoordelijke uiteindelijk de verantwoordelijkheid draagt. Ik adviseer vanuit mijn expertise over wat je als management en bestuur zou moeten doen om informatie zo goed mogelijk te beveiligen, waar de grootste risico’s zich bevinden en uiteraard welke beveiligings- en beheersmaatregelen we kunnen treffen. Als zij dan zeggen: “Nee, we nemen het risico om dat niet te doen”, dan ligt die verantwoordelijkheid daar en niet bij mij. Dus als er iets misgaat, bijvoorbeeld in de vorm van een datalek, dan is de ‘lijn’ verantwoordelijk en moet uiteindelijk de portefeuillehouder uitleg geven. Uiteraard moet ik ervoor zorgen (samen met bijvoorbeeld de Functionaris gegevensbescherming (FG)) dat het niet zover komt.
Het management moet zich verantwoordelijk gaan voelen, maar dat voelen ze nog niet altijd. “Gaat het weer over informatieveiligheid en privacy?” Op een bepaald moment waren zij een beetje moe van het onderwerp, en dan zadelden wij ze ook nog eens op met extra taken omdat de verantwoordelijkheid bij hen ligt. Dat was lastig. Ik kan mij voorstellen dat het voor managers soms even te veel is of dat ze het gewoonweg het een lastig onderwerp vinden. Het is ook niet zozeer dat ik ze niet begrijp, als wel dat ik vind dat het niet meer van deze tijd is om je daar zo tegen de verzetten.
Ik ben wel van mening dat je de onderwerpen informatieveiligheid en privacy stapsgewijs en gedoseerd moet brengen. En ook dat je vooral moet laten weten dat de privacywetgeving (bestaande en nieuwe) ontwikkelingen niet tegenhoudt. Neem nu de digitale transformatie waar we als organisatie erg druk mee zijn. We moeten ervoor zorgen dat de organisatie straks digiproof is en het voor burgers zo eenvoudig mogelijk maken om ons digitaal ‘veilig’ te bereiken. Dat betekent...
Dit artikel is ook te vinden in het dossier AVG
