Rustig aan met het NUP

Laatst was ik op een congres over de e-overheid. Tijdens één van de presentaties liet een spreker een foto zien. We zagen een prachtige berg met een helderwit besneeuwde top. Het onderschrift was: “Zo mooi. Daar gaan wij vanzelfsprekend naar toe!” Instemmende geluiden in de zaal. Toen kwam het volgende plaatje. Om naar de top toe te gaan, moest je eerst naar beneden, via een dal, om dan weer omhoog te klimmen. Een hele tocht! Gezucht in de zaal. Dit was een hele opgaaf en zeker zonder alpineschoenen en zekeringen een onhaalbaar en riskante tocht. En ik weet zeker, tijdens die tocht zijn er heel wat hindernissen te nemen en spoorwegovergangen te kruisen.

Toen ik begon aan mijn artikel over de beveiliging van (persoons)gegevens in de keten van de basisvoorzieningen voor het NUP (Nationaal Uitvoeringsprogramma Betere Dienstverlening en e-overheid), moest ik weer aan dat beeld denken. Die fraaie berg met de belofte van prachtig uitzicht en die barre tocht.

Alle overheden staan aan de andere kant van dat dal te kijken naar de berg. Ze maken zich gereed voor een grootscheepse operatie om te voldoen aan de afspraken voor het NUP. Grote gemeenten, kleine gemeenten. Waterschappen, provincies. Belastingdienst. Iedereen. Voor 2011 moet de ketenintegratie een feit zijn. Zo veel mogelijk overheidsorganisaties worden gekoppeld om gegevensuitwisselingen mogelijk te maken. Uw en mijn gegevens dus.

Nationaal Uitvoeringsprogramma
Maar wat is het NUP eigenlijk? Het is een plan van het Rijk, dat als regisseur de kaders neerzet en mede-overheden voeren dit uit. Eigenlijk is de e-overheid als het ware één groot project gekoppeld aan uitvoeringsprogramma’s die zijn geïnitieerd vanuit het Rijk. Dat is nieuw: tot voor kort waren overheidsorganisaties gewend vooral te kijken op microniveau, naar de eigen kanalen en de eigen dienstverlening.

Het Rijk wijst dus naar de besneeuwde bergtop: het aanbieden van gecombineerde elektronische overheidsdiensten aan burgers, bedrijfsleven en andere overheidsinstellingen. Om zo met behulp van ICT diensten te verlenen voor iedereen, los van tijd en plaats.

Gekraakt
Iedereen wil naar die top! Maar dan wel met de zekerheid van een veilige overtocht en bewaakte spoorwegovergangen onderweg. Let wel, we praten over een landelijk migratiepad voor een veilige en betrouwbare uitwisseling van informatie tussen websites, overheidsorganisaties en basisregistraties. Dat vergt nogal wat van de beveiliging van gegevens! Dat het daaraan schort bleek overtuigend tijdens het Cascadiscongres, najaar 2008. Daar wist men binnen een half uur door de beveiliging van een gemeentewebsite heen te breken.

Deze en andere signalen over gebrekkige informatiebeveiliging waren voor mij meer dan genoeg aanleiding om in de materie te duiken. Met als centrale vraag: hoe veilig zijn mijn én uw gegevens in die keten? En, is er ook een noodplan als er iets misgaat? Om over de bergexpeditie te spreken: wat gebeurt er als er een zekering losschiet? Of als u het liever over treinen heeft: is die spoorwegovergang waar de e-overheid over heen dendert nu wel of niet bewaakt?

Dat is een lastig punt. Die beveiliging is niet goed genoeg. Er zijn namelijk overheidsorganisaties die goed letten op informatiebeveiliging en de seinen bewaken. Maar ook heel veel organisaties doen dat niet. En die zwakkere schakels zitten in diezelfde keten die e-overheid voor ogen heeft in het NUP.

Hoog goed
Wie spreekt over NUP, komt automatisch terecht bij NORA. NORA is een naslagwerk van bijna 300 pagina’s voor overheidsorganen – meer dan 1600 – over samenwerking in ketens en netwerken en beschrijft hoe de samenhang tussen onderdelen (applicaties, bedrijfsprocessen en organisaties) van de elektronische overheid kan worden bevorderd. De NORA zegt niets over het tempo en volgorde waarin bouwstenen in de e-overheid gereed moeten zijn. Het NUP, zoals gezegd, wel.

Wat zegt NORA over informatiebeveiliging? Heel veel. Vooral dat informatiebeveiliging voor overheidsorganisaties een hoog goed is. En dat iedereen in de keten rustig moet wachten totdat overal de beveiliging goed op orde is. Pas daarna mag iedereen aan de slag. Ik citeer een paar uitgangspunten: “Bij intensieve vormen van samenwerken in ketens of netwerken, is het belangrijk dat de beveiliging van de samenwerkende organisaties (of organisatiedelen) vergelijkbaar is. Voorkomen moet worden dat de ene schakel in de keten veel zwakker is dan de andere schakel.” Of neem het citaat: “Vertrekpunt voor de nadere invulling van beveiliging en privacy is dat de individuele organisaties hun zaken al op orde hebben.”

Ik zie de bui al een beetje hangen. Heeft uw organisatie al afspraken gemaakt? Is privacy in uw organisatie tot achter de komma geregeld? Weet u dat ook van uw collega’s elders in de keten? Ik denk dat iedereen die betrokken is bij digitale overheid zich dat zou moeten afvragen.

Genoeg te doen
Kortom, wie de begrippen ist- en soll-posities kent uit interne controles, weet waar de schoen wringt. Soll gaat over het vaststellen van normen en ist is het waarnemen van de werkelijkheid, het startpunt. Het NUP stelt (soll) dat de basisvoorzieningen in de ketenintegratie vóór 1 januari 2011 moeten zijn gerealiseerd. Ik denk dat veel overheidsorganisaties op het gebied van architectuur, informatiebeveiliging en governance nog helemaal niet zover zijn (ist) als in het NUP wordt aangenomen.

Wat moet er nu gebeuren bij overheidsorganisaties? Er is genoeg te doen op het gebied van informatiebeveiliging. Toegegeven, informatiebeveiliging is geen sexy onderwerp, je ziet er nauwelijks wat van en in projectmatige zin – tenminste als het goed is belegd – kost het een flink deel van je budget. Maar informatiebeveiliging en indirect ook privacy, zijn wel uiterst belangrijke voorwaarden voor een succesvolle implementatie van het NUP. We weten dat de ketting zo sterk is als de zwakste schakel. Maar kan de overheid zich een zwakke schakel veroorloven? En wat doet zo’n zwakke schakel met het vertrouwen in de overheid? U begrijpt, het is uitermate belangrijk bij de uitvoering van het NUP steeds op informatiebeveiliging te letten.

Aanbevelingen
Terug naar het NUP en de spoed die daar omheen hangt. We moeten tenslotte verder, maar dan wel op een goede manier. Ik heb drie aanbevelingen. De eerste is om overheidsorganisaties de tijd te geven om hun informatiebeveiliging écht goed op orde te krijgen. Vergeet niet, een kleine gemeente met maar weinig financiële ruimte moet aan even hoge standaarden voldoen in e-dienstverlening als een grote gemeente. Dat levert heel wat verschillen in tempo op in die hele keten. Het Rijk moet rekening houden met die dynamiek. Precies, we moeten wachten op de langzaamste deelnemer in de keten om veilig te kunnen oversteken.

Ten tweede moet het Rijk voorwaarden stellen en moet de staat van de informatiebeveiliging getoetst worden. Die tussenstap – het toetsen van kwaliteit – is nog niet ingebouwd en die is echt cruciaal.

Als derde punt is de aanbeveling om de afspraken onderling te verankeren; de zogenoemde ketengovernance. Dat zijn de regels die overheden onderling opstellen op het terrein van beheer, architectuur en toezicht. Kortom, regel de operationele besturing op de ketenprocessen.

Naar de top
Tot slot het volgende. Bang maken of doemscenario’s schetsen, is niet mijn bedoeling. We zijn immers goed op weg: in de ‘E-readiness rankings 2009’ van IBM bezet Nederland een derde plaats direct achter Noorwegen en Denemarken. Dat is een goede prestatie! Waar ik vooral voor pleit is aandacht voor informatiebeveiliging. Want als alle ketenpartners zich bewust zijn van de potentiële risico’s voor de bedrijfsvoering en dit intern én in de keten goed beleggen, dan kunnen burgers en bedrijven verantwoord oversteken en mee naar de top om te genieten van het geweldige uitzicht.

Ron Zwetsloot is voorzitter van Cascadis, een vereniging van webprofessionals in de publieke sector. Hij werkt bij de Bank Nederlandse Gemeenten (BNG).