De rol van team DSPO in gemeente Helmond

26-10-2020

Op de personeelslijst van de gemeente Helmond staat een team DSPO's: decentrale security en privacy officers, een rol die geen enkele andere gemeente kent. Het DSPO-team heeft een cruciale rol in het versleutelen van informatiebeveiliging en privacy in het DNA van de gemeentelijke organisatie.

Auteur: Quita Hendrison​

Dorinie Edelaar begon vijftien jaar geleden als interne auditor bij de gemeente Helmond. Met de jaren groeiden haar interesse in en kennis van ICT en informatiebeveiliging en na een uitstapje naar de consultancy is ze alweer enige tijd CISO (chief information security officer) van de gemeente. "In 2018 stelden we vast dat we informatiebeveiliging en privacy een duidelijkere plek konden geven in de bedrijfsprocessen. Informatiebeveiliging was voornamelijk het feestje van de CISO en privacy dat van de FG (functionaris gegevensbescherming). En tussen die twee domeinen werd weinig verbinding gelegd, terwijl er overduidelijke raakvlakken zijn en wederzijdse beïnvloeding. Daarnaast ontbrak de verbinding met de 53 GEMMA-bedrijfsprocessen (Gemeentelijke Modelarchitectuur). En daarmee ook de bewustwording bij de proceseigenaren, waar het in feite allemaal bij begint."

Integraal

Het bleef niet bij een vaststelling: er werd een plan geschreven om de bestaande situatie om te buigen. Dat plan is in 2018 met steun van de gemeentesecretaris en verantwoordelijk wethouder voorgelegd aan de directie. Het belangrijkste idee hierin: informatiebeveiliging en privacy integraal oppakken. Edelaar: "Draagvlak bij directie en management is ontzettend belangrijk om van plannen praktijk te maken. We willen structureel groeien op die twee thema's informatiebeveiliging en privacy. En als we willen groeien is het absoluut noodzakelijk dat de proceseigenaren in de organisatie zich ook echt eigenaar voelen van die onderwerpen in hun eigen bedrijfsproces. Daarom begon de uitvoering van het plan met bewustwordingsessies voor de eigenaren van de 53 processen. Wat is precies hun rol in informatiebeveiliging en privacy, wat de rol van de ambtelijk opdrachtgever, de CISO, de IT-auditor, de bestuurder, enzovoort. Door die sessies hebben we bewustwording georganiseerd."

Het slotstuk van de bewustwordingsessies was voor de managers wellicht verrassend. "Aan hen is gevraagd om in hun afdeling een medewerker aan te wijzen die we opleiden tot DSPO, de nieuwe rol van decentrale security en privacy officer. De DSPO ondersteunt de proceseigenaar bij het in het DNA van de gemeente krijgen van informatiebeveiliging en privacy. Daarnaast is het een adviserende rol; bijvoorbeeld over datalekken, risico's en nieuwe maatregelen rond de BIO. De DSPO's coördineren het bedrijfsproces dat aan hen is toebedeeld. Kortom: ze zullen zich echt met de werkprocessen bezighouden."

Onafhankelijke positie

Niet gemakkelijk zo'n nieuwe rol, dus niet iedere medewerker komt ervoor in aanmerking. "Vandaar dat we de proceseigenaren geholpen hebben met het profiel en hen gevraagd hebben zelf collega's te selecteren die deze rol kunnen invullen" beaamt Edelaar. "Ze moeten uiteraard aan een bepaald profiel voldoen, zoals affiniteit hebben met IT en beveiliging. En ze komen uit de beleidskant en niet uit het werkproces; die vermenging is onwenselijk, want als DSPO moet je een onafhankelijke positie hebben. Je moet ook kritisch durven zijn en stevig in je schoenen staan, want het kan gebeuren dat je proceseigenaar (en dus leidinggevende) op een bepaald moment de bedrijfsvoering voorrang wil geven terwijl jij iets anders adviseert. Dan moet je goed beargumenteerd risico's in kaart kunnen brengen. Belangrijk om te vermelden: de DSPO is niet eindverantwoordelijk, dat blijft de proceseigenaar."

Om de plek van de nieuwe rol duidelijk te maken voor de gehele organisatie is er een speciaal communicatietraject voor de introductie van de DSPO's opgetuigd. Ze hebben zichzelf voorgesteld in afdelingsoverleggen en ze hebben een eigen groep - op het intranet of interne berichtgeving - waar medewerkers vragen kunnen stellen.

Op dit moment zijn er 19 DSPO's die allemaal een opleidingstraject hebben gevolgd. In feite is dat een doorlopend traject waarin onderwerpen als privacy, ENSIA, de BIO, risicomanagement en toegangsbeveiliging aan de orde komen. Edelaar: "Deels doen we dat met externe experts, deels intern. Het is bijvoorbeeld belangrijk om risicomanagement toe te lichten aan de hand van echte praktijksituaties: breng eens in beeld wat bepaalde risico's kunnen zijn voor jouw afdeling en welke maatregelen je daartegen kunt nemen. En als we zo'n casus behandelen betrekken we daar ook andere collega's bij: bij toegangsbeveiliging hebben bijvoorbeeld functioneel beheerders een belangrijke rol. Waar dat kan, pakken we het zoveel mogelijk integraal aan."

Mooie stappen

Voor Edelaar is het opzetten van de DSPO-organisatie een taak erbij naast haar CISO-taken. "Dat geld ook voor onze FG. Dit is echt een Helmondse 'uitvinding' en wij ervaren het als een belangrijke stap om naar het gewenste niveau te komen. Om uiteindelijk informatiebeveiliging en privacy onderdeel te maken van de bedrijfsprocessen, want dat is het doel. En we hebben al mooie stappen gemaakt. Zo hebben we op basis van het ENSIA verantwoordingsproces van 2019 doorontwikkelplannen opgesteld per proceseigenaar. Waar liggen risico's, waar moeten we prioriteren? Dat is de basis om te kunnen sturen. We zijn ook het verwerkersregister voor de AVG door aan het ontwikkelen in een tool waarin we alles vast kunnen leggen. Verder hebben we - in het kader van bewustwording – een communicatieplan gemaakt waarin we alle doelgroepen meenemen. En uiteraard gaan we evalueren, zodat we de DSPO-organisatie steeds een stapje verder kunnen brengen. We merken wel dat het hard werken blijft. Digitalisering en de effecten daarvan op informatie en daarbijbehorende privacy- en veiligheidsthema worden al snel als technisch of bureacratisch beoordeeld. De vanzelfsprekendheid dat dit net als financiën en personeel tot de integrale managementtaak hoort, is er nog niet altijd. Het is aan ons om hier constant aandacht voor te blijven vragen, zonder de verantwoordelijkheid over te nemen.


Bron: VNG Realisatie

Van onze partners

Vergadersoftware: Beveiliging en Privacy

→ Lees meer

Inkoop Software (diensten)

→ Lees meer

Cursus: werken aan een privacybewuste organisatie

Na deze afwisselende en interactieve cursus kunnen deelnemers een privacybewustzijnsproces in hun eigen organisatie initiëren.

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer