Inwoners mogen verwachten dat de gemeente de informatiehuishouding en daarmee de informatieveiligheid op orde heeft. We zorgen ervoor dat alle organisatorische, procedurele en technische beveiligingsmaatregelen geborgd zijn, zodat de continuïteit van ICT informatie en informatievoorziening is gegarandeerd en eventuele gevolgen van beveiligingsincidenten beperkt zijn.
Informatieveiligheid
Informatieveiligheid richt zich op betrouwbaarheid en kwaliteit van informatie. De Baseline Informatiebeveiliging Overheid (BIO) is van toepassing. Net als vele gemeenten bevinden wij ons in een transitie van de bestaande werkwijze naar de nieuwe controls en maatregelen.
De BIO gaat uit van een risicogerichte benadering van informatieveiligheid. Op basis van een planmatige en risico gestuurde aanpak krijgen we grip op de invoering van de BIO normen. We zitten op koers, hebben een goed beeld van de huidige en gewenste situatie en zijn in staat om uitvoering te geven aan de maatregelen en verantwoording zoals ENSIA (Eenduidige Normatiek Single Information Audit) die ons vanuit de wet- en regelgeving en landelijke afspraken worden opgelegd.
Er wordt continu aandacht besteed aan het bevorderen van de bewustwording van informatieveiligheid en privacy, zoals bijvoorbeeld een interne phishingcampagne.
We hebben onze security architectuur verder geoptimaliseerd waarmee we nog meer zicht hebben op ons gehele netwerk- en internetverkeer en 24/7 gemonitord worden om zodoende "ongewenste" acties in een vroeg stadium tegen te houden.
Daarnaast hebben we de veiligheid van het mailverkeer verbeterd. Het gaat hier dan om de beveiliging tegen onveilige bijlagen en tegen schadelijke links en onveilige websites.
Het wereldwijde chiptekort heeft ervoor gezorgd dat de migratie van de nieuwe Firewalls en switches vertraging opgelopen heeft. Inmiddels zijn we gestart met de implementatie. Dit zorgt voor een betere en soepele verkeersstroom in het IT netwerk en houdt het veiligheidsniveau van ons netwerk op een goed niveau.
Uitwijk in eigen beheer is technisch gereed. Begin 2023 zullen we een uitwijktest doen en gaan we testen of we de complete IT omgeving kunnen laten draaien op onze uitwijklocatie bij de gemeentewerf.
Naast deze verbeteringen is ons backup-ysteem uitgebreid. Hierdoor wordt een kopie van de dagelijkse backup weggeschreven naar een systeem dat op geen enkele manier verbonden is met ons netwerk en dus ook niet met het Internet en dus niet bereikbaar is voor kwaadwillenden.
Het feit dat we actief bezig zijn met informatieveiligheid, betekent niet dat we er al zijn. Integendeel, de bedreigingen en kwetsbaarheden zijn van alle dag. De problemen bij de gemeente Hof van Twente en de gemeenten Lochem/Buren en de recente problemen rond een aanval van hackers bij een softwareleverancier bij een aantal Limburgse gemeenten geeft aan dat we alert moeten blijven. Het zal een uitdaging blijven om voor informatieveiligheid ´de baas te worden en te blijven´ en we moeten concluderen dat 100% veiligheid niet bestaat.
Privacy
Als organisatie houden we ons aan de Algemene Verordening Persoonsgegevens (AVG), waarbij de bescherming van persoonsgegevens centraal staat. Onze inwoners en onze medewerkers moeten erop kunnen vertrouwen dat wij veilig, bewust en vertrouwelijk met persoonsgegevens omgaan. Daarom worden onze medewerkers erop getraind om bij onze dienstverlening ook aandacht te hebben voor de privacy van inwoners en personeel.
In 2022 hebben we verder ingezet op algemene trainingen privacy en informatieveiligheid voor de gehele organisatie. Aanvullend is in het sociaal domein een gerichte training gegeven door een externe trainer. Vanuit de AVG zijn er verplichtingen voor de organisatie, die we actueel en accuraat moeten houden. Voorbeelden voor 2022 zijn: het verwerkingsregister is geactualiseerd en verbeterd, de privacyverklaring is aangepast, er zijn nieuwe verwerkersovereenkomsten met verwerkers afgesloten, etc.
De functionaris gegevensbescherming zal in het eerste kwartaal 2023 de bevindingen over 2021 en 2022 op het gebied van privacy opnemen in de jaarrapportage gegevensbescherming.
In 2022 zijn twee verzoeken van mensen om inzage in persoonsgegevens ingediend.
In 2022 hebben zich 7 incidenten voor gedaan. Bij de Autoriteit Persoonsgegevens (AP) zijn geen meldingen gedaan van een datalek.
Incidenten | ||||
|---|---|---|---|---|
2019 | 2020 | 2021 | 2022 | |
Datalekken gemeld bij AP | 0 | 2 | 3 | 0 |
Incidenten intern geregistreerd | 9 | 10 | 11 | 7 |
In het kader van de Eenduidig Normatiek Single Information Audit (ENSIA) legt het college jaarlijks verantwoording af met een ´collegeverklaring´. Het college heeft bij besluit van 12 april 2022 in een zgn. ´collegeverklaring´ verantwoording afgelegd over het jaar 2021 inzake DigiD en Suwinet.