Rijksbrede IT-strategie
De I-strategie van het Rijk is er op gericht om de onnodige verscheidenheid in de ICT-infrastructuur en de informatiehuishouding van het Rijk te bestrijden en de besturing te verbeteren. Het doel is te komen tot zoveel mogelijk standaardoplossingen. Hoe er tot die Rijksbrede I-infrastructuur wordt gekomen, staat nader beschreven in de brief. Ik verwijs daar graag naar.
Veel aandacht voor beveiliging
Opvallend is dat het onderwerp "Vertrouwen en beveiliging van informatie" zeer nadrukkelijk terugkomt in de brief: maar liefst bijna 2 volle pagina's (van de 11) zijn hier aan gewijd. Het belang van het thema volgt ook duidelijk uit de openingsalinea:
Het kabinet hecht er aan dat de burger vertrouwen kan hebben in de wijze waarop het Rijk omgaat met de opslag en het gebruik van digitale gegevensbestanden. De rijksoverheid is er voor verantwoordelijk dat informatie die wordt gebruikt betrouwbaar is, en dat gegevens die van derden worden ontvangen zorgvuldig en rechtmatig worden gebruikt. Om dit te bewerkstelligen, dient permanent te worden geïnvesteerd in de weerbaarheid van de rijksoverheid tegen (on)opzettelijke inbreuken, in het vergroten van het herstelvermogen bij onverhoopt geslaagde inbreuken en in processen ten aanzien van het omgaan met privacygevoelige gegevens.
Enkele concrete maatregelen in het kader van beveiliging
Als (concrete) maatregelen worden onder meer genoemd:
- het opleiden van medewerkers om hen bewust te maken van de risico's bij informatiebeveiliging;
- het borgen van afspraken met externe partijen over informatiebeveiliging;
- het ontwikkelen van instrumenten om bij inbreuken sneller tot herstel over te kunnen gaan; en
- het ontwikkelen van één rijksbrede operationele ICT-beveiligingsfunctie.
Wat precies onder deze maatregelen moet worden verstaan wordt in de brief overigens niet duidelijk gemaakt.
Meer aandacht voor privacy in projectplan IT-project
Verder worden de bestaande maatregelen ten aanzien van de beheersing van grote ICT-projecten uitgebreid met maatregelen ter bescherming van privacy. Een centrale rol daarbij spelen de Chief Information Officers (CIO's) van de ministeries. Zo zal voortaan in het projectplan voor grote ICT-projecten moeten worden opgenomen:
- of er bij het project sprake is van het opnemen van privacygevoelige gegevens en koppelingen of verrijking daarvan; en
- of voor het project een Privacy Impact Assessment of toepassing van een soortgelijk instrument geboden is (incl. argumentatie daarvoor).
Op basis van onder meer deze gegevens moet vervolgens een risicoprofiel worden opgesteld door de opdrachtgever en de betreffende CIO. Projecten met een hoog risico worden opgenomen in de jaarlijkse rapportage bedrijfsvoering en in het Rijks ICT Dashboard. Deze gegevens worden aan de Tweede Kamer gerapporteerd.
Slotopmerking
De brief is volgens mij op zichzelf een goede stap. Wel is opvallend dat de brief op diverse punten nog erg voorzichtig is geformuleerd. Zo is opvallend dat niet duidelijk wordt wanneer het uitvoeren van een Privacy Impact Assessment nu wel of juist niet noodzakelijk is (los van het feit dat niet geheel duidelijk is [intlink id="7404" type="post"]wat daaronder precies moet worden verstaan[/intlink]...). Het is de vraag of een CIO die zich gesteld ziet voor de vraag of het zinnig is een PIA uit te voeren, in feite niet gedwongen wordt al vooruit te lopen op die PIA. Dat zou echter betekenen dat (in meer of mindere mate) altijd een PIA wordt gemaakt. Waarom dan dit niet als eis is opgenomen, is mij niet duidelijk. Het is dan ook afwachten hoe deze eis zich in de praktijk zal gaan ontwikkelen.
