1

Kamervragen!

In drie eenvoudige stappen op de agenda van de Tweede Kamer

of toch liever niet.

ALF MOENS

• Security Manager TU Delft

• Programmamanager SURF: Beveiliging en Identity Management

• voorzitter SURF-ibo

•Docent Informatiebeveiliging Hogeschool Utrecht

2

WAT GAAN WE DOEN?

• 3-Stappenplan voor Kamervragen

• Casus uit het Hoger Onderwijs

•Waarom Kamervragen stellen?

• Kamervragen voorkomen?!

3

DE FEITEN• Kamervragen worden gesteld door de gekozen

volksvertegenwoordigers in de Tweede Kamer

• Ze worden vrijwel altijd schriftelijk gesteld

• Ze worden altijd beantwoord

• Ze worden soms behandeld in een vragenuurtje

• Ieder onderwerp is mogelijk

• Kamervragen zijn openbaar

4

VOORBEELDEN• Vragen aan de minister van Landbouw, Natuur en

Voedselkwaliteit (25 maart 2010)

• ....

• 3. Acht u het dichtbevolkte Nederland met vele recreanten in de natuur en vele lammetjes, veulens en kalveren in het voorjaar in de wei niet een waar Luilekkerland, waar de wolf zich met genoegen blijvend zal vestigen en voortplanten?

• ....

• 6. Wat is de rol van de Nationale Postcode Loterij bij het rijp maken van de geesten voor de komst van de wolf?

• ....

5

VOORBEELDEN

• Vragen van het lid Bashir (SP) aan de minister van Financiën over het bericht “DSB ontweek ook belasting”. (Ingezonden 25 maart 2010)

• 1 Wat is uw reactie op het artikel “DSB ontweek ook belasting”

• 2 Kunt u bevestigen dat DSB ook deed aan ontwijking van btw via Zwitserland?

• 3 Hoeveel bedrijven waren bij deze constructies van ING en DSB betrokken als toeleverancier?

• 4 Loopt er ook onderzoek naar het gedrag van de toeleveranciers van de “Zwitserse procurement hub” van ING? Zo nee, waarom niet?

• 5 Is het waar dat toeleveranciers onder druk zijn gezet om contracten om te zetten naar een Zwitsers contract? Is dit onderzocht?..... (nog 10 vragen)

6

VOORBEELDVragen van het lid Algra (CDA) aan de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Financiën over de storing in het DigiD-systeem. (Ingezonden 25 maart 2010)

1 Heeft u kennisgenomen van het nieuws dat er 23 en 24 maart 2010 sprake was van een storing in het DigiD-systeem? 1)

2 Hoe werd deze storing geconstateerd?

3 Wat waren de gevolgen van deze storing voor burgers en bedrijven?

4 Hebben zich vaker storingen voorgedaan? Zo ja, welke maatregelen zijn of worden genomen om instabiliteit van DigiD-systeem tegen te gaan?

5 Wat is de verwachte/geplande levensduur van het DigiD-systeem?

6 Wordt er inmiddels gewerkt aan een opvolger van dit DigiD-systeem?

7

DE CIJFERS

8

bron: Jaarcijfers 2009 Tweede Kamer der Staten-Generaal

STAPPENPLAN

• 1. (Optioneel) Kies Kamerlid (of Politieke Partij)

• 2. Kies Medium

• 3. Kies Onderwerp

9

1. KIES KAMERLID

•Op basis van Ervaring

• of op basis van specifieke expertise10bron: www.tweedekamer.nl

1. KIES KAMERLID

•Op basis van Ervaring

•

11bron: Jaarcijfers 2009 Tweede Kamer der Staten-Generaal

1. KIES KAMERLID

•Op basis van Ervaring

•

12bron: Jaarcijfers 2009 Tweede Kamer der Staten-Generaal

1. KIES KAMERLID

•Op basis van Ervaring.....

•Of op basis van Expertise

13bron: www.tweedekamer.nl

2. MEDIUM

•Direct het Kamerlid benaderen

• Een Politieke Partij benaderen

• Een kamercommissie benaderen

• Via een publicatie (in de pers)

• 25 Maart: 3 nav. publicatie, 5 nav. pers, 1 eigen onderzoek, 1 brief belangengroep

14

STAP 3: EEN ONDERWERP

•Misstanden onder de aandacht brengen: Er deugt iets niet in de regelgeving of in de implementatie van de regelgeving.

• Lobby voor een ideologie, voor innovatie: Nieuwe inzichten onder de aandacht brengen, belichten vanuit een andere invalshoek.

15

HET STAPPENPLAN SCHEMATISCH

16

KamerlidOnderwerp Medium Vraag

HET STAPPENPLAN SCHEMATISCH

17

KamerlidOnderwerp Medium

Wie heeft de regie?

Vraag

HET STAPPENPLAN SCHEMATISCH

18

KamerlidOnderwerp Medium

Wie heeft de regie?

Vraag

HET STAPPENPLAN SCHEMATISCH

19

KamerlidOnderwerp Medium

Wie heeft de regie?

Vraag

HET STAPPENPLAN SCHEMATISCH

20

KamerlidOnderwerp Medium

Wie heeft de regie?

Vraag

HET STAPPENPLAN SCHEMATISCH

21

KamerlidOnderwerp Medium

Wie heeft de regie?

Vraag

EEN PRAKTIJKCASUS

22

EEN PRAKTIJKCASUS

23

24

25

WAT WAS HET EFFECT?

• Hogeschool vindt het vervelend om zo in het nieuws te komen

• Sector is blij met de aandacht

• Sector is blij met antwoord van de minister

• Sector komt vaker in de pers

26

27

29

KAMERVRAGEN?

• JA, als er bewust voor gekozen wordt, route via belangengroepen, of langs de koninklijke weg.

•NEE, voorkomen, zonder regie is er een onzekere en vaak ongewenste uitkomst

• Helaas niet altijd onder controle

•Ongecontroleerde pers is altijd ongewenst

30

VOORKOMEN ONGEWENSTE PERS

• Groningen: fout in personeelsadministratie: uitgebreide pers

•Delft: fout in identity management: geen pers vanwege ernstige calamiteit

• Eindhoven: gegevenslek: uitgebreide pers

• HU: gegevenslek in vakgroep: uitgebreide pers en kamervragen

•Delft: gegevenslek in vakgroep: geen pers

• Allemaal “lekken” van studenten en personeelsgegevens

31

32

VOORKOMEN ONGEWENSTE PERS

• Groningen: fout in personeelsadministratie: uitgebreide pers

•Delft: fout in identity management: geen pers vanwege ernstige calamiteit

• Eindhoven: gegevenslek: uitgebreide pers

• HU: gegevenslek in vakgroep: uitgebreide pers en kamervragen

•Delft: gegevenslek in vakgroep: geen pers

• Allemaal “lekken” van studenten en personeelsgegevens

33

VOORKOMEN: HOE?

• Structurele, procesmatige aanpak

•Weten wat belangrijks is om te beschermen

• Uitdagingen in decentrale groepen

•Weten waar de zwakke plekken zitten

• Voorlichten en controleren

34

35

SURF MEERJARENPLAN

• Prominente rol voor Informatiebeveiliging en Privacy

• Verhogen niveau en bewustzijn in hele sector

36

SURF: SECURITY AWARENESS

37

38

SURF: SECURITY AWARENESS

39

www.cybersaveyourself.nl

PostersFlyers

AdvertentiesScreensavers

PennenUSB SticksBanners

....

HO instelling

SURFnet

Comodo

Studielink

SURFCERTSURFfederatie

Interne Kwaliteit

GovernanceIn control

AccountantOverheid

BrancheKwaliteit

Wet en Regelgeving

Publieke Opinie

3e Geldstroom

PIN over IP

40

DUO

SURF: ONDERSTEUNING

• Security Audit

• Benchmark

• Advies

• Stappenplannen en leidraden

41

0,0

10,0

20,0

30,0

40,0

50,0

60,0

70,0

80,0

90,0

100,0 5 Beleid

6 Organisatie

7 Bedrijfsmiddelen

8 Personeel

9 fysieke beveiliging

10 bedieningsprocessen 11 toegangsbeveiliging

12 infosystemen

13 incidentbeheer

14 continuiteit

15 naleving

Instelling vs Benchmark 2008

gem. HO min HO max HO gem. HBO Gem. Universiteit Instelling

Roadmap SURFaudit

Pilot SURFaudit

Meting Incident

Managementvoor CERT

vorming

Metingen maturity informatiebeveiliging

BIS: Geïntegreerde aanpak

referentiekader IB

normen voor SIM en

IdM

certificering studielink

draagvlak voor normen

normen toetsen

Programma van eisen

Selectie meetpartijen

draagvlak voor methode

en kosten

20102008 2009 2011

Meting Identity Managementvoor SURFfederatie

BIM: metingen komen bij elkaar

2007Proefmetingen

maturity Informatiebeveiliging

De markt meet,? borging

bij SURF

Mixed financiering?

Scenario(‘s)testen

Bestuurlijk, CIO, ICT, Beveiliger

42

Voorbeeld Rapport SURFaudit 2009

!

RESUME

• 3-Stappenplan voor Kamervragen

• Casus uit het Hoger Onderwijs

• Kamervragen voorkomen?!

• SURF Security Awareness en SURFaudit

• Vraag het je eigen beveiligingsmensen!44

tekst