Centric geeft Regionale Belastinggroep
openheid over informatiebeveiliging
Centric Belastingen is het belangrijkste informatiesysteem voor de Regionale Belasting Groep (RBG) en daarom wilde de organisatie graag zelf zien hoe Centric de informatiebeveiliging heeft georganiseerd. Directeur John Kooistra: “We hebben een groot vertrouwen in Centric, maar daar gaat het niet om. Uiteindelijk zijn wij zelf verantwoordelijk voor het belastingproces en daarom wil ik weten of het product dat ik gebruik, veilig is.”
De Regionale Belasting Groep regelt de belastingen voor de hoogheemraadschappen van Schieland en de Krimpenerwaard en van Delfland. En ook voor de gemeenten Delft, Schiedam en Vlaardingen. “We werken met gegevens van burgers en we willen zeker weten dat dat op een veilige manier gebeurt. Dan kun je afgaan op de certificaten die leveranciers ons overleggen, maar dat geeft geen 100% garantie. Dat hebben we helaas zelf in het recente verleden ervaren, toen we werden geconfronteerd met een aantal incidenten, overigens niet bij Centric,” vertelt Kooistra. Het was voor RBG de reden om zelf bij Centric te gaan kijken hoe de informatiebeveiliging is georganiseerd.
“Om het in boekhoudtermen te zeggen: Centric gaf volledige openheid van boeken.”
John Kooistradirecteur RBG
Een kijkje in de keuken
Centric gaf RBG letterlijk een kijkje in de keuken op haar kantoor in Gouda, vertelt Nils Hoole, Privacy & Security Officer bij Centric. Securityspecialisten van Centric bespraken met de Chief Information Security Officer (CISO) van RBG, Roger Visser, en een andere (externe) auditor de securitymaatregelen die zij nemen. In de bijeenkomst, die duurde van 9:00 tot 14:00, werd alles nagelopen: hoe Centric informatiebeveiliging voor Centric Belastingen heeft georganiseerd, welke mensen eraan werken, wie daarvoor verantwoordelijk is. En hoe zaken als security incident management en monitoring van kwetsbaarheden geregeld zijn.
Volledige openheid
“We konden de vragen van RBG beantwoorden en dat werd als zeer positief ervaren,” vertelt Hoole. Hij vervolgt: “RBG is een belangrijke klant voor ons en de banden op directieniveau zijn goed. Een dergelijke audit betekent natuurlijk extra werk voor ons, maar we vinden het belangrijk om te laten zien hoe we het hebben georganiseerd.” Ook RBG is tevreden over de audit, zegt Kooistra: “Ik heb een heel kritische CISO, en die was bijzonder blij met hoe het ging. Om het in boekhoudtermen te zeggen: Centric gaf volledige openheid van boeken.” RBG wilde verder kijken dan de certificaten en dat is gebeurd, zegt hij: “We hebben kunnen zien hoe Centric de dagelijkse praktijk rondom informatiebeveiliging en privacy heeft geregeld.” Ook het feit dat het bedrijf deze openheid gaf over veelal gevoelige informatie, ervaart Kooistra als positief.
Proactievere communicatie
Verbeterpunten kwamen ook uit de audit. De belangrijkste: de communicatie rond kwetsbaarheden en incidenten kan proactiever. Kooistra geeft als voorbeeld de recente hack bij het Openbaar Ministerie, door een kwetsbaarheid in Citrix: “Wij werken ook met Citrix, dus in zo’n geval willen wij weten of wij ook kwetsbaar zijn. Het zou goed zijn als Centric proactief aan zijn klanten zou vertellen welke actie is ondernomen en dat wij daarom geen probleem hebben. Nu blijft communicatie vaak uit en dan ontstaat er toch ongerustheid.” Een bevinding uit het rapport van de audit luidt daarom: ‘RBG kan vertrouwen op de certificeringen en verklaringen van Centric, maar verwacht versterking door meer transparantie in rapportages en het Customer Portal.’
Sterke schakels, sterke keten
De audit past bij hoe RBG zijn relatie met leveranciers wil vormgeven, vertelt Kooistra: “Ik zie graag een samenwerking. Natuurlijk moet een leverancier geld verdienen, dat snap ik. Maar er gebeurt zoveel in de wereld, dat wij dat zelf niet allemaal kunnen volgen. Ik vind het prettig als onze leveranciers ons hierin meenemen. Ik zoek dus bewust een samenwerkingsrelatie en merk dat dat goed werkt. Het brengt ons verder.”
Hoole wijst op het belang van samenwerking als het gaat om informatiebeveiliging: “In het kader van ketenverantwoordelijkheid zijn audits zoals deze mooie stappen om te maken.” Kooistra: “Hoe sterker de schakels, hoe sterker de keten. Dat is denk ik waar we met elkaar alert op moeten zijn.” Kooistra en Hoole zouden graag zien dat organisaties gezamenlijk dit soort audits doen, want op die manier werk je nog meer aan sterke ketens. Het verslag van deze audit deelt RBG graag, zodat andere organisaties er hun voordeel mee kunnen doen. “We zijn erg tevreden met hoe Centric dit heeft opgepakt. We mopperen in de praktijk regelmatig op ze, ik vind dat je het dan ook mag delen als je tevreden bent,” besluit Kooistra.
Het verslag van de audit is op te vragen bij Roger Visser, CISO van de Regionale Belasting Groep: rvisser@derbg.nl.
