Inwoners mogen verwachten dat de gemeente de informatiehuishouding en daarmee de informatieveiligheid op orde heeft. We zorgen ervoor dat alle organisatorische, procedurele en technische beveiligingsmaatregelen geborgd zijn, zodat de continuïteit van ICT informatie en informatievoorziening is gegarandeerd en eventuele gevolgen van beveiligingsincidenten beperkt zijn.
Informatieveiligheid
Informatieveiligheid richt zich op betrouwbaarheid en kwaliteit van informatie. De Baseline Informatiebeveiliging Overheid (BIO) is het landelijk normenkader.
De BIO gaat uit van een risicogerichte benadering van informatieveiligheid. Op basis van een planmatige en risico gestuurde aanpak krijgen we grip op de BIO-controls en maatregelen. We hebben een goed beeld van de huidige en gewenste situatie en zijn in staat om uitvoering te geven aan de maatregelen en verantwoording zoals ENSIA (Eenduidige Normatiek Single Information Audit) die ons vanuit de wet- en regelgeving en landelijke afspraken worden opgelegd. Jaarlijks legt het college verantwoording af met een ´collegeverklaring´. Het college heeft bij besluit van 18 april 2023 in een zgn. ´collegeverklaring´ verantwoording afgelegd over het jaar 2022 inzake DigiD en Suwinet.
De menselijke factor is belangrijk is het voorkomen van kwetsbaarheden en incidenten. We besteden continu aandacht aan het bevorderen van de bewustwording van informatieveiligheid en privacy, zoals interne phishingcampagnes en trainingen via ons e-learning platvorm.
Daarnaast hebben we onze informatie-architectuur verder geoptimaliseerd waarmee we nog meer inzicht hebben in de inrichting van applicaties, registraties en het uitwisselen van gegevens.
Op security gebied wordt ons gehele netwerk- en internetverkeer 24/7 gemonitord om zodoende "ongewenste" acties in een vroeg stadium tegen te houden.
We werken ook continue aan het verbeteren van de veiligheid van het mailverkeer. Het gaat hier dan om de beveiliging tegen onveilige bijlagen en tegen schadelijke links en onveilige websites.
De migratie naar nieuwe Firewalls en switches is afgerond. Dit zorgt voor een betere en soepele verkeersstroom in het IT netwerk en houdt het veiligheidsniveau van ons netwerk op een goed niveau.
Uitwijk in eigen beheer is technisch gereed. Begin 2024 zullen we een uitwijktest doen en gaan we testen of we de complete IT omgeving kunnen laten draaien op onze uitwijklocatie bij de gemeentewerf.
We hebben het backupsysteem uitgebreid met een extra beveiligde kopieslag.
Hierdoor wordt een kopie van de dagelijkse backup weggeschreven naar een systeem dat op geen enkele manier verbonden is met ons netwerk en dus ook niet met het internet en dus niet bereikbaar is voor kwaadwillenden.
Het feit dat we actief bezig zijn met informatieveiligheid, betekent niet dat we er al zijn. Integendeel, de bedreigingen en kwetsbaarheden zijn van alle dag. Het zal een uitdaging blijven om voor informatieveiligheid ´de baas te worden en te blijven´ en we moeten concluderen dat 100% veiligheid niet bestaat.
Privacy
Als organisatie houden we ons aan de Algemene Verordening Persoonsgegevens (AVG) en Wet politiegegevens (Wpg), waarbij de bescherming van persoonsgegevens centraal staat. Onze inwoners en onze medewerkers moeten erop kunnen vertrouwen dat wij veilig, bewust en vertrouwelijk met persoonsgegevens omgaan.
In 2023 hebben we ingezet op algemene (interactieve) trainingen en kennisoverdracht via de digitale leeromgeving over privacy, openbaarheid en informatieveiligheid voor de gehele organisatie. Vanuit de AVG en Wpg zijn er diverse verplichtingen voor de organisatie, die we actueel en accuraat moeten houden. Zo houden we het verwerkingsregister actueel, is de privacyverklaring geactualiseerd en uitgebreid met Wpg, cookieverklaring en responsible disclaimer, ook is het protocol datalekken is geactualiseerd en zijn er DPIA’s (Data Protection Impact Analyses) uitgevoerd op nieuwe systemen.
Het college heeft bij besluit van 30 mei 2023 de Jaarrapportage gegevensbescherming 2021-2022, opgesteld door de Functionaris Gegevensbescherming vastgesteld.
In 2023 is één verzoek om inzage en verwijdering van persoonsgegevens door een persoon ingediend. Deze is volgens het protocol behandeld.
In 2023 hebben zich 10 incidenten voor gedaan, waarvan twee datalekken die bij de Autoriteit Persoonsgegevens (AP) zijn gemeld.
Incidenten | |||||
|---|---|---|---|---|---|
2019 | 2020 | 2021 | 2022 | 2023 | |
Datalekken gemeld bij AP | 0 | 2 | 3 | 0 | 2 |
Incidenten intern geregistreerd | 9 | 10 | 11 | 7 | 10 |