Inwoners mogen verwachten dat de gemeente de informatiehuishouding en daarmee de informatieveiligheid op orde heeft. We zorgen ervoor dat alle organisatorische, procedurele en technische beveiligingsmaatregelen geborgd zijn, zodat de continuïteit van ICT informatie en informatievoorziening is gegarandeerd en eventuele gevolgen van beveiligingsincidenten beperkt zijn.
Informatieveiligheid
Informatieveiligheid richt zich op betrouwbaarheid en kwaliteit van informatie. De Baseline Informatiebeveiliging Overheid (BIO) is van toepassing. Net als vele gemeenten bevinden wij ons in een transitie van de bestaande werkwijze naar de nieuwe controls en maatregelen.
De BIO gaat uit van een risicogerichte benadering van informatieveiligheid. Op basis van een planmatige en risico gestuurde aanpak krijgen we grip op de invoering van de BIO normen. We zitten op koers, hebben een goed beeld van de huidige en gewenste situatie en zijn in staat om uitvoering te geven aan de maatregelen en verantwoording (zoals ENSIA) die ons vanuit de wet- en regelgeving en landelijke afspraken worden opgelegd.
Om de veiligheid van het mailverkeer te verbeteren en de systemen beter af te schermen is de Two-Factor-Authenticatie ingevoerd. Er wordt continu aandacht besteed aan het bevorderen van de bewustwording van informatieveiligheid en privacy. Hiermee geven we invulling aan het risicogestuurd actieplan dat is opgesteld naar aanleiding van de BIO. Ook aan één van de eisen uit de BIO, namelijk het inrichten van SIEM/SOC is voldaan. Wij hebben deze dienst onder eigen regie uitbesteed zodat ons gehele netwerk- en internetverkeer nu 24/7 gemonitord wordt om zodoende "ongewenste" acties in een vroeg stadium tegen te houden.
Er is een bedrijfscontinuïteitsplan vastgesteld, mocht er zich een grote calamiteit voordoen. Uitwijk in eigen beheer is technisch gereed. Begin 2022 gaan we het gehele proces testen, controleren en in productie nemen. Naast deze verbeteringen is op de achtergrond ook ons backupsysteem uitgebreid met een zgn. Air-Gap-Backup. Hiermee wordt een kopie van de dagelijkse backup weggeschreven naar een systeem dat op geen enkele manier verbonden is met ons netwerk en dus ook niet met het Internet en dus niet bereikbaar is voor kwaadwillenden.
Het feit dat we actief bezig zijn met informatieveiligheid, betekent niet dat we er al zijn. Integendeel, de bedreigingen en kwetsbaarheden zijn van alle dag. De problemen rond Citrix, de malwareaanval op de Universiteit Maastricht en de gemeente Hof van Twente en de recente problemen rond een veelgebruikt stukje software voor logging - de JAVA-tool Log4j geeft aan dat we alert moeten blijven. Het zal een uitdaging blijven om voor informatieveiligheid ´de baas te worden en te blijven´ en we moeten concluderen dat 100% veiligheid niet bestaat.
Privacy
Als organisatie geven we uitvoering aan de Algemene Verordening Persoonsgegevens (AVG), waarbij de bescherming van persoonsgegevens centraal staat. Het bevorderen van het interne informatie- en privacybewustzijn is een continu proces. De medewerkers zijn een belangrijke schakel in het voorkomen van beveiligingsincidenten.
Er wordt continu ingezet op kennisworkshops voor medewerkers om het privacybewustzijn en het veilig werken duurzaam te vergroten. Daarnaast brengen we maandelijks een thema onder de aandacht op de social intranetpagina. Onderwerpen die besproken zijn, zijn onder andere veilig thuiswerken, het goed omgaan met wachtwoorden, het alert zijn op phising-mails, veilig Wifi-gebruik en het bewust zijn op het melden van incidenten of datalekken.
Binnen het sociaal domein wordt gewerkt met veel persoonsgegevens van kwetsbare mensen naast de eerder uitgevoerde DPIA’s op deze processen, is in 2021 het gehele WMO-proces in beeld gebracht en privacy-proof ingericht. Ook zijn er extra cursussen gegeven aan de medewerkers binnen dit domein op het thema privacy en veilig werken en zal in 2022 gestart worden met een verdiepingscursus.
Verder vindt de gemeente het belangrijk dat gegevens niet met derden worden gedeeld, tenzij daar een grondslag voor is, zoals bijvoorbeeld voor zorginstellingen en veiligheidsdomein. Indien er gegevensuitwisseling plaats vindt dient dit zorgvuldig en beveiligd te gebeuren. De afspraken worden vastgelegd in convenanten en/of verwerkingsovereenkomsten. Tenslotte is het implementatieplan AVG afgerond en is gestart om gegevensbescherming en privacy te borgen in de organisatie. 2022 zal in het teken staan van het borgen van de AVG binnen de verschillende afdelingen. Hierbij zal het op regelmatige basis uitvoeren van DPIA’s ook een plek krijgen.
In 2021 zijn geen verzoeken van mensen om inzage in persoonsgegevens ingediend.
In 2021 hebben zich 11 incidenten voor gedaan. 3 incidenten zijn als datalek gemeld bij de Autoriteit Persoonsgegevens (AP).
Incidenten | |||
---|---|---|---|
2019 | 2020 | 2021 | |
Datalekken gemeld bij AP | 0 | 2 | 3 |
Incidenten intern geregistreerd | 9 | 10 | 11 |
In het kader van de Eenduidig Normatiek Single Information Audit (ENSIA) legt het college jaarlijks verantwoording af met een ´collegeverklaring´. Het college heeft bij besluit van 20 april 2021 in een zgn. ´collegeverklaring´ verantwoording afgelegd over het jaar 2020 inzake DigiD en Suwinet.