Klantcasus: ENSIA verantwoording bij Meerinzicht
Wat was het probleem?
Er bestond onduidelijkheid of de organisaties van Meerinzicht voldeden aan de vereisten die worden gesteld in de wettelijke en normatieve kaders op het gebied van privacy en informatiebeveiliging. Daarnaast ontbrak het intern aan de benodigde capaciteit om deze kwesties aan te pakken en om de verplichte ENSIA-verantwoording uit te voeren.
Wat was de opdracht?
VHIC is gevraagd de invulling van de rol van ENSIA-coördinator te verzorgen, inclusief het inzetten van de GRC-tool van Recourse voor het verzamelen van de vereiste informatie.
Hoe is dit uitgevoerd?
Op verzoek van VHIC is ervoor gezorgd dat de vragen vanuit ENSIA effectief onder de medewerkers zijn verspreid en beantwoord via de GRC-tool. Daarnaast zijn ondersteunende sessies georganiseerd om medewerkers inhoudelijk te begeleiden. De voortgang is nauwlettend gemonitord, waarbij indien nodig contact is opgenomen met medewerkers en eventuele kwesties zijn geëscaleerd naar de opdrachtgever (CISO).
Tijdige beantwoording van de ENSIA-vragen en het verzamelen van de bijbehorende rapportages zijn verzorgd, en rapportages zijn samengesteld waarin de resultaten zijn verwerkt. Daarnaast is een adviesrapport opgesteld met daarin de voornaamste resultaten, bevindingen en suggesties voor verbetering. Tot slot heeft VHIC tevens de voorbereiding en begeleiding van de audit voor DigiD en Suwinet op zich genomen, en heeft actief de bevindingen van de audit opgevolgd, inclusief het onderhouden van contact met de auditor.
Waaruit bestonden de werkzaamheden?
Op basis van verkennende gesprekken met de opdrachtgever heeft VHIC een offerte opgesteld. Na aanvaarding van de opdracht en verdere overleggen met de opdrachtgever, werd een gedetailleerd plan van aanpak gecreëerd. Gedurende het proces is er nauw contact onderhouden met zowel de medewerkers als de opdrachtgever, en regelmatig gerapporteerd aan de opdrachtgever (CISO). Daarnaast is er actieve ondersteuning geboden aan de medewerkers, zowel op inhoudelijk als procesmatig vlak. Voortgangsoverzichten zijn gemaakt om de ontwikkelingen helder in kaart te brengen. De werkzaamheden met betrekking tot de audit werden grondig uitgevoerd en begeleid. Dit alles past binnen het bredere kader van de eerder genoemde activiteiten, waarin VHIC heeft gezorgd voor een gestroomlijnde aanpak van ENSIA en gerelateerde processen.
Wat was het resultaat?
Meerinzicht heeft sinds het traject niet alleen inzicht, maar voldoet ook aan wettelijke en normatieve kaders op het gebied van privacy en informatiebeveiliging. VHIC heeft de GRC-tool van Recourse opgezet en effectief ingezet. Er is actief gewerkt aan het vergroten van het bewustzijn onder de medewerkers, met specifieke aandacht voor aspecten zoals informatieveiligheid, informatiebeheer en ENSIA. De gestelde vragen met betrekking tot de ENSIA-verantwoording zijn tijdig en adequaat beantwoord. Aansluitend zijn er verbetervoorstellen opgesteld om de algehele aanpak te versterken. Het volledige auditproces is doorlopen, wat een wezenlijk onderdeel vormt van het brede scala aan activiteiten dat VHIC heeft ondernomen in het kader van het ENSIA-traject.