Inwoners mogen verwachten dat de gemeente de informatiehuishouding en daarmee de informatieveiligheid op orde heeft. We zorgen ervoor dat alle organisatorische, procedurele en technische beveiligingsmaatregelen geborgd zijn, zodat de continuïteit van ICT informatie en informatievoorziening is gegarandeerd en eventuele gevolgen van beveiligingsincidenten beperkt zijn.
Informatieveiligheid richt zich op betrouwbaarheid en kwaliteit van informatie. Met ingang van 1 januari 2020 is het nieuwe normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO) van toepassing. Net als vele gemeenten bevinden wij ons in een transitie van de bestaande werkwijze naar de nieuwe controls en maatregelen.
In april 2020 is het informatieveiligheidsbeleid geactualiseerd. De BIO gaat uit van een risicogerichte benadering van informatieveiligheid. Op basis van een planmatige en risico gestuurde aanpak krijgen we grip op de invoering. Met de geprioriteerde verbeteracties 2020-2021 stijgen we in de score van 75% naar 94% van de BIO normen. We zitten op koers, hebben een goed beeld van de huidige en gewenste situatie en zijn in staat om uitvoering te geven aan de maatregelen en verantwoording (zoals ENSIA) die ons vanuit de wet- en regelgeving en landelijke afspraken worden opgelegd.
Het feit dat we actief bezig zijn met informatieveiligheid betekent niet dat we er al zijn. Integendeel, de bedreigingen en kwetsbaarheden zijn van alle dag. De problemen rond Citrix, de malwareaanval op de Universiteit Maastricht en de gemeente Hof van Twente geeft aan dat we alert moeten blijven. Het zal een uitdaging blijven om voor informatieveiligheid ´de baas te worden en te blijven´ en moeten we concluderen dat 100% veiligheid niet bestaat.
Als organisatie geven we uitvoering aan de Algemene Verordening Persoonsgegevens (AVG) waarbij de bescherming van persoonsgegevens centraal staat. Eind 2019 is gestart met de uitvoering van twee Data Protection Impact Assesments (DPIA). Het zaaksysteem Djuma en de processen Wmo, Jeugdwet en Participatie in het sociaal domein zijn onderworpen aan een DPIA. De resultaten waren positief. Persoonsgegevens worden organisatorisch en technisch gezien zorgvuldig verwerkt in onze organisatie. Uit de DPIA’s kwamen een aantal aanbevelingen naar voren om de persoonsgegevens nog beter te beschermen. De aanbevelingen zijn omgezet in concrete uitvoeringsmaatregelen en actieplannen.
Het bevorderen van het interne informatie- en privacybewustzijn is een continu proces. De medewerkers zijn een belangrijke schakel in het voorkomen van beveiligingsincidenten.
In 2020 is ingezet op kennisworkshops voor medewerkers om het privacybewustzijn duurzaam te vergroten. Dit doen we door maandelijks een thema onder de aandacht te brengen op de social intranetpagina. Onderwerpen die besproken zijn, zijn onder andere veilig thuiswerken, het goed omgaan met wachtwoorden, het alert zijn op phising-mails, veilig Wifi-gebruik en het bewust zijn op het melden van incidenten of datalekken.
In 2020 is, conform het protocol ‘Rechten van betrokken’, uitvoering gegeven aan 4 verzoeken van mensen om inzage in persoonsgegevens.
Tenslotte is het implementatieplan AVG afgerond en is gestart om gegevensbescherming en privacy te borgen in de organisatie. 2021 zal in het teken staan van het borgen van de AVG binnen de verschillende onderdelen.
In 2020 hebben zich 10 incidenten voor gedaan. 2 incidenten zijn als datalek gemeld bij de Autoriteit Persoonsgegevens (AP).
Incidenten | |||
---|---|---|---|
2018 | 2019 | 2020 | |
Datalekken gemeld bij AP | 5 | 0 | 2 |
Incidenten intern geregistreerd | 4 | 9 | 10 |
In het kader van de Eenduidig Normatiek Single Information Audit (ENSIA) legt het college jaarlijks verantwoording af middels een ´collegeverklaring´. Het college heeft bij besluit van 19 mei 2020 in een zgn. ´collegeverklaring´ verantwoording afgelegd over het jaar 2019 inzake DigiD en Suwinet.