BIO-checklist voor gemeenten: 10 stappen
De Baseline Informatiebeveiliging Overheid (BIO) is sinds 2020 het verplichte normenkader voor informatiebeveiliging bij alle Nederlandse overheidsorganisaties — van ministeries tot gemeenten, van waterschappen tot provincies. In de praktijk blijkt dat met name gemeenten worstelen met de implementatie. Dit artikel biedt een concrete checklist met de tien controls die het vaakst ontbreken of onvoldoende zijn ingericht.
Wat is de BIO?
De BIO is gebaseerd op de internationale norm ISO 27001/27002 en vervangt de eerdere BIG (Baseline Informatiebeveiliging Gemeenten), BIR (Rijksdienst) en BIWA (Waterschappen). Het doel is één uniform normenkader voor de hele overheid.
De BIO bevat verplichte overheidsmaatregelen bovenop de ISO 27002-controls, specifiek gericht op de context van de Nederlandse overheid. Naleving is niet vrijblijvend: colleges van B&W zijn bestuurlijk verantwoordelijk en gemeenten moeten jaarlijks verantwoording afleggen via ENSIA (Eenduidige Normatiek Single Information Audit).
De checklist: 10 controls die gemeenten het vaakst missen
1. Informatiebeveiligingsbeleid en governance
Veel gemeenten hebben wel een informatiebeveiligingsbeleid op papier, maar het ontbreekt aan actualisering en bestuurlijke verankering. De BIO vereist dat het beleid minimaal jaarlijks wordt geëvalueerd en dat er een duidelijke governance-structuur is met een aangewezen Chief Information Security Officer (CISO). Actie: Stel een CISO aan (of wijs deze rol formeel toe), actualiseer het beleid jaarlijks, en zorg dat het college van B&W het beleid formeel vaststelt.
2. Toegangsbeheer en identiteitsbeheer
Wie heeft toegang tot welke systemen en data? Bij veel gemeenten is het antwoord op deze vraag onduidelijk. Accounts van vertrokken medewerkers blijven actief, rechten worden wel toegekend maar zelden ingetrokken, en functiescheiding is niet geïmplementeerd. Actie: Implementeer een Identity & Access Management (IAM) systeem. Voer kwartaalreviews uit op toegangsrechten. Automatiseer de provisioning en deprovisioning van accounts bij in- en uitdiensttreding.
3. Encryptie van data at rest en in transit
De BIO vereist dat gevoelige gegevens versleuteld worden opgeslagen en verstuurd. In de praktijk ontbreekt encryptie at rest bij databases en bestandsopslag, en wordt er intern nog regelmatig onversleuteld gecommuniceerd. Actie: Implementeer TLS 1.2 of hoger voor alle netwerkverbindingen. Versleutel databases en back-ups met AES-256. Beheer cryptografische sleutels volgens een formeel sleutelbeheerbeleid.
4. Logging, monitoring en detectie
Zonder adequate logging weet u niet wat er in uw systemen gebeurt. Veel gemeenten loggen wel, maar analyseren de logs niet structureel. Verdachte activiteiten worden pas opgemerkt als het al te laat is. Actie: Centraliseer logging in een SIEM-systeem. Definieer use cases voor detectie (failed logins, privilege escalation, ongebruikelijke dataexport). Zorg dat logs minimaal 12 maanden worden bewaard conform de BIO.
5. Incident response en meldprocedures
De BIO vereist een formeel incident response plan met duidelijke procedures, rollen en communicatielijnen. Bij veel gemeenten is de procedure onduidelijk of bestaan er geen oefeningen. Actie: Stel een incident response plan op met duidelijke escalatiepaden. Oefen het plan minimaal jaarlijks met een tabletop-oefening. Zorg dat de meldprocedure naar de Autoriteit Persoonsgegevens en het NCSC is geborgd.
6. Business continuity en disaster recovery
Wat als uw systemen uitvallen door een ransomware-aanval of een brand in het datacenter? De BIO vereist business continuity plannen en geteste back-up- en herstelprocedures. Actie: Stel een BCP (Business Continuity Plan) op voor kritieke processen. Test back-ups maandelijks op herstelbaarheid — niet alleen op het maken van de back-up. Definieer en test de Recovery Time Objective (RTO) en Recovery Point Objective (RPO) per systeem.
7. Supply chain en leveranciersmanagement
Gemeenten maken gebruik van tientallen externe leveranciers en SaaS-diensten. De BIO vereist dat u de informatiebeveiligingsrisico's van deze leveranciers beoordeelt en beheert. Actie: Maak een register van alle leveranciers die toegang hebben tot gemeentelijke data. Beoordeel per leverancier het risico op basis van het type data en de aard van de toegang. Neem informatiebeveiligingseisen op in contracten en verwerkersovereenkomsten. Evalueer leveranciers periodiek.
8. Patch management en kwetsbaarheden
Niet-gepatchte systemen zijn een van de meest voorkomende oorzaken van beveiligingsincidenten. De BIO vereist een proces voor het tijdig toepassen van beveiligingsupdates. Actie: Implementeer een patch management proces met duidelijke SLA's: kritieke patches binnen 48 uur, overige patches binnen 30 dagen. Voer maandelijks vulnerability scans uit. Documenteer uitzonderingen en accepteer restrisico's formeel.
9. Data classificatie en rubricering
Niet alle data is even gevoelig, maar als u niet weet welke data gevoelig is, kunt u deze ook niet adequaat beschermen. De BIO vereist dat informatie wordt geclassificeerd naar vertrouwelijkheid, integriteit en beschikbaarheid. Actie: Stel een classificatieschema op (Openbaar, Departementaal Vertrouwelijk, Staatsgeheim, of een vereenvoudigde variant). Classificeer alle informatiesystemen en de data die ze verwerken. Pas beschermingsmaatregelen toe die passen bij het classificatieniveau.
10. Bewustwording en training
De menselijke factor is en blijft de grootste kwetsbaarheid. De BIO vereist structurele bewustwordingsactiviteiten voor alle medewerkers. Actie: Voer een jaarlijks bewustwordingsprogramma uit voor alle medewerkers. Organiseer phishing-simulaties om het bewustzijn te meten en te verhogen. Zorg voor specifieke training voor beheerders, ontwikkelaars en bestuurders.
Verantwoording via ENSIA
Gemeenten leggen jaarlijks verantwoording af over informatiebeveiliging via ENSIA. Dit proces combineert de zelfevaluatie voor de BIO met verantwoording over specifieke stelsels zoals DigiD, Suwinet, BAG, BGT en BRO. De resultaten gaan naar de gemeenteraad en naar de toezichthouders.
Een goede ENSIA-verantwoording begint niet in november als de deadline nadert, maar is het resultaat van het hele jaar doorwerken aan bovenstaande controls.
Conclusie
BIO-compliance is geen eenmalig project maar een doorlopend proces. De tien stappen in deze checklist dekken de meest voorkomende lacunes bij gemeenten. Begin met een nulmeting, prioriteer op basis van risico, en werk gefaseerd toe naar een volwassen informatiebeveiligingsniveau. Het college van B&W draagt de bestuurlijke verantwoordelijkheid — zorg dat zij dit weten en voelen.