Omgevingsdienst Noordzeekanaalgebied

Omgevingsdienst Noordzeekanaalgebied is BIO- en NIS2-compliant met HelloID

De Omgevingsdienst Noordzeekanaalgebied heeft als belangrijkste taak het leefbaar houden van het Noordzeekanaalgebied. De organisatie verleent vergunningen en ziet erop toe dat bedrijven zich aan de wettelijke regels houden op het gebied van bodem, bouw en milieu. Dat doen ze voor 8 gemeenten binnen 3 provincies. De Omgevingsdienst gebruikt hierbij veel verschillende IT-applicaties waarin gevoelige persoonsgegevens en bedrijfsinformatie worden verwerkt. De vertrouwelijke omgang met deze gegevens is een belangrijke verantwoordelijkheid van de IT-afdeling. Daarom startte de organisatie een omvangrijk programma om het digitale rechtenbeheer te automatiseren en compliant te worden met de BIO en NIS2. De uitrol van de HelloID Identity-as-a-Service oplossing speelt daarin een belangrijke rol.

De Omgevingsdienst heeft zo’n 800 medewerkers (intern en extern) en gebruikt tal van digitale systemen. Naast de reguliere kantoorapplicaties worden onder andere een zaaksysteem en andere bedrijfsapplicaties gebruikt bij de vergunningverlening en handhaving. Ook wordt voor inspecties intensief gebruik gemaakt van camera- en dronebeelden die veilig moeten worden opgeslagen. Harald Inen, ICT-adviseur bij de Omgevingsdienst vertelt hierover: “We verwerken voortdurend grote hoeveelheden gevoelige gegevens. Dan gaat het niet alleen om persoonsgegevens die we volgens de AVG-regels moeten verwerken. Bij onze vergunning- en handhavingstrajecten kan het ook om informatie gaan die onder de Wet politiegegevens valt, en vertrouwelijke bedrijfsgegevens en intellectueel eigendommen die niet op straat mogen komen. Dit betekent dat informatiebeveiliging voor ons een steeds kritischer onderwerp is geworden. Daarom hebben we een aantal jaar geleden in overleg met de CISO een programma gestart om de informatiebeveiliging te professionaliseren, en compliant te worden en blijven met zowel de Baseline Informatiebeveiliging Overheid (BIO) als de NIS2 (Network Information Security) richtlijnen. We hebben hiervoor een plan gemaakt dat door de directie is goedgekeurd en waarmee we aan de slag zijn gegaan. Kernpunt hierin is dat we op ieder moment weten welke toegangsrechten zijn verstrekt, aan wie en waarom.”

Harald vertelt over het belang van de BIO en NIS2: “Hiermee beschik je over een raamwerk om de informatiebeveiliging goed in te richten, inclusief een set bruikbare beheermaatregelen. We zijn eerst begonnen de grootste risico’s op te pakken en van daaruit verfijnen we nu onze beveiliging steeds verder. Essentieel is het goed organiseren en zoveel mogelijk automatiseren van je digitale rechtenbeheer. Een Identity en Access Management oplossing is daarvoor cruciaal en we hebben daarom een uitgebreide leveranciersselectie uitgevoerd. We hebben ons daarbij laten adviseren door ervaren IAM-specialisten. HelloID kwam als beste keuze uit dit evaluatietraject, onder andere door hun geschiktheid voor middelgrote organisaties zoals de onze.

Veel gangbare IAM-oplossingen zijn namelijk primair ontworpen voor grotere organisaties en multinationals met soms vele tienduizenden medewerkers. De implementatie van zo’n systeem is te ingrijpend voor onze organisatie, en sluit niet goed aan bij eisen en wensen. Daar tegenover heb je een aantal kleine systemen die feitelijk slechts een soort gebruiksvriendelijke ‘schil over je systemen’ leveren, maar je niet echt helpen het rechtenbeheer structureel te organiseren. In het relatief dunbevolkte middensegment daartussen had HelloID de beste oplossing. Het is een toegankelijke oplossing waarop wij als IT-beheerorganisatie grip kunnen houden en waarmee we al onze instroom-, doorstroom- en uitstroomprocessen kunnen regelen. Ook konden we direct van start, want alle connectoren naar de belangrijkste systemen – ons bronsysteem AFAS, Active Directory en TOPdesk – waren al beschikbaar.

Probleemloze uitrol

Harald is enthousiast over de uitrol: “Bijzonder is de manier waarop de implementatie is georganiseerd. Tools4ever heeft inmiddels talloze projecten uitgevoerd en daarmee hebben ze een draaiboek ontwikkeld waarin iedere stap nauwgezet is voorbereid. Je wilt als manager zekerheid, maar het overkomt je eigenlijk nooit dat je die ook krijgt van leveranciers. In dit geval echter wel en bleek het hele plan perfect overdacht. Wij hebben een team samengesteld met de functioneel beheerder van AFAS, twee beoogde HelloID beheerders en een Active Directory specialist. Begeleid door HelloID consultants hebben ze het stappenplan probleemloos uitgevoerd. Sinds de dag dat we live gingen, zijn direct de bulk van onze accounts en rechten automatisch beheerd. Dat omvat de provisioning als de medewerkers in dienst komen, rechtenwijzigingen bij een verandering van iemands rol, en de de-activatie van accounts als mensen de organisatie verlaten.”

Role mining sessie

“De role mining methode van Tools4ever was daarbij trouwens erg belangrijk, ” voegt hij toe: “We hadden geen vooraf uitgedachte rollen- en rechtenstructuur en maakten ons dus zorgen over hoe we dat moesten aanpakken. Met zo’n role mining sessie combineer je echter de gegevens uit AFAS en al bestaande instellingen in Active Directory. Daaruit kun je een eerste rollenmodel destilleren. Je ziet bijvoorbeeld snel welke groepen gebruikers soortgelijke rechten nodig hebben, en zo een eerste rechtenstructuur vormgeven met een hanteerbare set business rules. Hiermee hebben we al zo’n 70% van alle rechten geautomatiseerd en kunnen we dit gaandeweg verder uitbouwen. Dat is cruciaal voor onze compliance en als bijvangst besparen we ook serieus op handmatig werk. We hebben maandelijks zeker zo’n 20 accounts die moeten worden aangemaakt of verwijderd. Dat kostte handmatig zomaar 20 tot 30 minuten per account en gaat nu dus automatisch.”

Reconciliation

Role mining functionaliteit wordt nu ook ingebouwd binnen de HelloID governance module. De omgevingsdienst gebruikt deze module inmiddels actief en Harald vertelt hierover: “We gebruiken de reconciliation functie. Die geeft ons maandelijks een rapportage van mismatches tussen onze IAM-gegevens en aangesloten doelsystemen. Dat geeft inzicht in oude vervuiling die we nu kunnen opruimen, maar ook accounts die vandaag de dag nog handmatig worden aangemaakt. Soms is daar ook een goede reden voor maar we weten nu wat er in onze systemen gebeurt en kunnen maatregelen nemen als dat nodig is.”

Klaar voor de doorontwikkeling

Harald sluit af met zijn vervolgplannen: “We hebben zo het fundament uitgerold waarmee we compliant zijn met de BIO en NIS2. Ook hebben we heldere plannen om dit gaandeweg verder uit te bouwen. We hebben inmiddels TOPdesk gekoppeld zodat we straks ook de uitgifte én inname van IT-faciliteiten vanuit HelloID kunnen regisseren. We werken daarnaast aan nieuwe koppelingen, zoals ons nieuwe zaaksysteem PowerBrowser, en kijken of we ook de fysieke rechten op onze toegangspasjes met HelloID kunnen beheren. En omdat je nooit alle rechtenuitgifte kunt automatiseren aan de hand van HR-gegevens, kijken we nu ook hoe we Service Automation kunnen inzetten voor individuele rechtenverzoeken. Identity en access management is nooit volledig af, maar met HelloID gaan we het stapsgewijs steeds verder optimaliseren!”