Diensten · Hefboom drie

Compliance gemeente. Bijproduct van goede techniek.

Compliance voor gemeente en overheid in het sociaal domein. ISO 27001, BIO, NIS2, AVG, ENSIA en de EU AI-verordening. Geen aparte projecten, ingebakken in hoe je systemen werken.

ISO 27001 BIO NIS2 AVG ENSIA AI-verordening Algoritmeregister

De aanpak

Compliance voor gemeente is bijvangst, geen doel.

Bij veel gemeenten loopt compliance achter de techniek aan. Er wordt iets gebouwd, en dan komt iemand later vragen of het wel aan BIO voldoet, of er een DPIA was, of het past binnen NIS2. Vrijwel altijd te laat. Vrijwel altijd met aanpassingen achteraf die duurder en pijnlijker zijn dan wanneer het meteen goed was gedaan.

Bij info² zit compliance erin vanaf de eerste lijn code. Niet omdat het moet, maar omdat goede techniek vanzelf voldoet aan de meeste regels. Een correct ingericht datawarehouse heeft toegangsbeheer op rolniveau, audit logs en encryptie. Dat is geen compliance-vinkje, dat is gewoon hoe het hoort.

De drie principes

Goede techniek voldoet vanzelf. Slechte techniek nooit.

Eén ISMS, alle kaders

Niet per framework een apart traject. Eén informatiebeveiligingssysteem dat ISO 27001, BIO én NIS2 bedient. Werk maar één keer doen.

Bewijslast bewijst zichzelf

Logs, audit trails en monitoring genereren automatisch het bewijs dat auditors vragen. Geen maandelijkse rondes meer om papier op orde te krijgen.

Compliance bij oplevering

Elke applicatie of integratie wordt opgeleverd met de juiste documentatie voor de auditor. Niet pas wanneer ENSIA op de deur klopt.

De frameworks

Compliance gemeente: wat er allemaal op je af komt.

Een gemeente in Nederland heeft te maken met meer compliance-kaders dan ooit. Veel van die kaders overlappen, sommige tegenspreken zich, en de hoeveelheid documentatie groeit jaarlijks. Een overzicht van wat info² in projecten meeneemt.

ISO 27001

Internationale standaard informatiebeveiliging

De wereldwijd erkende standaard voor informatiebeveiliging. Beschrijft hoe je een ISMS (Information Security Management System) inricht. Vrijwillig, maar steeds vaker geëist door ketenpartners.

Aanbevolen

BIO

Baseline Informatiebeveiliging Overheid

De verplichte beveiligingsbaseline voor alle Nederlandse overheidsorganisaties. Gebaseerd op ISO 27001 maar met overheidsspecifieke aanvullingen. Meer over de BIO bij IBD →

Verplicht

NIS2

Network and Information Security 2

Europese richtlijn voor digitale weerbaarheid. Sinds 2024 ook verplicht voor veel gemeenten en overheidsorganisaties. Verplicht een risicobeheerproces, incidentmeldingen en bestuurlijke verantwoording.

Verplicht

AVG

Algemene Verordening Gegevensbescherming

De Europese privacywet. Verplicht doelbinding, dataminimalisatie, beveiliging, DPIA's bij hoge risico's en het recht van burgers om hun gegevens in te zien.

Verplicht

ENSIA

Eenduidige Normatiek Single Information Audit

De jaarlijkse zelfevaluatie waarmee gemeenten hun informatiebeveiliging verantwoorden aan BZK. Veel werk als de basis niet op orde is. Bijna geen werk als alles ingebakken zit in je systemen.

Jaarlijks verplicht

AI-verordening

EU AI Act

De Europese wet voor kunstmatige intelligentie. Sinds 2024 van kracht, met gefaseerde verplichtingen. Vooral relevant voor gemeenten die AI inzetten voor besluitvorming over burgers, zoals fraudedetectie of risicoanalyses.

In werking

Wat je krijgt

Compliance die meegroeit, niet achterloopt.

Concrete deliverables die info² bij elke opdracht meebrengt. Niet als losse compliance-dienst maar als integraal onderdeel van het werk.

✓

ISMS-documentatie op één plek

Eén plek waar al je beveiligingsbeleid, procedures en bewijsstukken samenkomen, toegankelijk voor auditors en bestuur.

✓

Automatische audit trails

Wie heeft wat wanneer gedaan met welke gegevens, automatisch gelogd, doorzoekbaar en aantoonbaar voor controles.

✓

DPIA's bij elk integratietraject

Gegevensbeschermings-effectbeoordelingen ingebakken in de architectuurfase, niet achteraf erbij gemaakt.

✓

Algoritmeregister-klaar

Alle AI- of regelgebaseerde beslismodellen worden gedocumenteerd zoals het algoritmeregister vraagt en zijn direct publiceerbaar.

✓

ENSIA-rapportage zonder paniek

De jaarlijkse evaluatie wordt een formaliteit in plaats van een project, omdat het bewijs al automatisch verzameld is.

✓

Incident response procedures

Vooraf ingerichte processen voor security incidents, inclusief de NIS2-meldingsplicht aan toezichthouders binnen 24 uur.

Veelgestelde vragen

Wat IT-managers en CISO's vaak willen weten.

Doen jullie ook ISO 27001 certificering?

info² is geen certificerende instantie. Dat doen erkende organisaties zoals BSI, KIWA of Lloyd's Register. Wat info² wel doet: zorgen dat de techniek en documentatie aan de eisen voldoen, zodat de audit slaagt. We hebben ervaring met het voorbereiden van organisaties op ISO 27001 audits en kennen de gangbare gespreksvragen van auditors.

Hoe verhoudt NIS2 zich tot BIO en ISO 27001?

Ze overlappen voor 80%, maar leggen verschillende accenten. NIS2 focust op cyber-incidenten, ketenrisico's en bestuurlijke verantwoordelijkheid. BIO is breder en specifiek voor de overheid. ISO 27001 is de internationale basis waar de andere op leunen. In de praktijk werk je het beste met één ISMS dat alle drie tegelijk afdekt. Dat scheelt enorm in werkdruk.

Wat als we al een DPO (Functionaris Gegevensbescherming) hebben?

Goed nieuws: info² vervangt geen DPO, we werken met de DPO samen. De FG/DPO bewaakt het privacybeleid en de naleving, wij zorgen dat de techniek en documentatie het mogelijk maken om dat beleid daadwerkelijk uit te voeren. Veel DPO's lopen vast op de uitvoering: het is moeilijk om beleid te handhaven als de systemen het niet ondersteunen.

Hoe gaan jullie om met algoritmes en de AI-verordening?

Bij elk algoritme of AI-model dat we bouwen vragen we eerst: valt het in de hoog-risico categorie van de AI-verordening? Zo ja, dan wordt het anders ingericht, beter gedocumenteerd, en getoetst aan de extra eisen rondom transparantie, menselijke controle en non-discriminatie. Alle modellen worden opgenomen in een algoritmeregister, ongeacht of dat verplicht is.

Wat kost compliance-werk gemiddeld voor een gemeente?

Hier zit de essentie van de info²-aanpak: compliance kost minder als het ingebakken zit. Een aparte compliance-implementatie van NIS2 kan tienduizenden tot honderdduizenden euro's kosten. Als compliance onderdeel is van een groter automatiseringstraject zit het in de prijs en hoeft het niet apart. Dat is letterlijk wat we bedoelen met "compliance als bijproduct".

Verder lezen

De andere hefbomen van info².

Compliance staat zelden alleen. Het werkt het best als de data al goed is georganiseerd en de automatisering goed is opgezet. Hieronder de twee andere diensten.

Hefboom één

Eenheid van taal tussen systemen

Dataintegratie via GGM, GIZO, iWmo en iJw. Wie weet welke data waar zit, kan compliance veel makkelijker garanderen.

Lees verder →

Hefboom twee

Apps en automatisering die werk weghalen

Power BI, Databricks, Azure. Automatisering gebouwd met compliance al ingebakken, niet als afterthought.

Lees verder →

Compliance die meebeweegt?

Eén uur, om door te nemen welke frameworks bij jouw gemeente het meest knellen en hoe info² compliance een onderdeel kan maken van hoe je werkt en geen apart project meer hoeft te zijn.

Maak kennis → Terug naar home