P5.7.1.2. We bevorderen de privacy door in te zetten op informatieveiligheid.
Omschrijving (toelichting)
Als gemeente beschikken we over veel data. Ook veel persoonsgebonden data. Dit vraag dat we zorgvuldig omgaan met de data die we hebben. Informatieveiligheid is de laatste jaren steeds belangrijker geworden. De informatie die we beheren over (en voor) onze inwoners en ondernemers willen en moeten we goed beveiligen en daar horen bepaalde afspraken en werkwijzen bij. Deze zijn in de Baseline Informatiebeveiliging Overheden (BIO) vastgelegd en in VNG verband hebben wij ons hieraan geconformeerd.
Wij verantwoorden ons elk jaar naar de raad over de kwaliteit van de informatieveiligheid van informatiesystemen en werkwijzen. Dit gebeurt via ENSIA: Eenduidige Normatiek Single Information Audit. Het Rijk is bezig met een ontwikkeling waarbij we niet alleen aan de achterkant zitten zoals bij ENSIA. De wens is er om meer op te schuiven naar toezicht aan de voorkant.
Om te blijven voldoen aan het kwaliteitsniveau van informatieveiligheid, is beveiliging, voortdurende aandacht, bewustwording, kennis en investering in techniek, mensen en processen noodzakelijk.
In de tweede helft van 2023 voerden we, samen met een gespecialiseerde externe partner, een onderzoek uit om te bepalen waar wij in de naleving van dit normenkader staan, waarbij is en wordt gekeken naar; wat we al geregeld hebben, wat we nog moeten doen, hoe we dat prioriteren en wat de kosten daarvan zijn. Op basis daarvan stelden we een programma en planning vast waarin aangeven is wat we wanneer gaan doen om als gemeente te voldoen aan deze BIO. En ons hiermee zoveel als mogelijk te beschermen tegen toenemende cybercriminaliteit. In 2024 voeren we dit programma uit en pakken we de geadviseerde technische- en organisatorische maatregelen op om onze systemen en daarmee ook onze data steeds veiliger te maken en veilig te houden.
Stand van zaken
Eind vorig jaar hebben we vastgesteld hoe ver de organisatie is met de implementatie van organisatiebrede BIO-maatregelen. Sindsdien vinden periodiek overleggen plaats om de voortgang van deze maatregelen te bespreken en vervolgacties te prioriteren en plannen.
Dit jaar onderzochten we de status van BIO-implementatie binnen de afdelingen. Maatregelen die nog niet zijn geïmplementeerd, zijn vertaald naar een risicoregister met bijbehorend actieplan.
In het kader van bedrijfscontinuïteitsbeheer (BCM) onderzochten we de 3 meest kritieke processen van onze organisatie en de governance rondom BCM.
We zijn begonnen met de voorbereiding op de ENSIA-verantwoording over 2024 (Eenduidige Normatiek Single Information Audit). Hierbij besteden we bijzondere aandacht aan de in 2024 uitgebreide verantwoording over onze DigiD-aansluitingen. Zo we blijven voldoen aan de geldende normen en herstelacties achteraf voorkomen.
Op gebied van bewustwording zijn stappen gezet met trainingen en bewustwordingsvideo’s rondom informatieveiligheid en de AVG. Reacties vanuit de organisatie zijn over het algemeen positief.
De technisch te nemen maatregelen zijn verzameld en geprioriteerd in de “roadmap ICT”. Hiervoor vinden doorlopend werkzaamheden plaats. Begin 2024 ging dit met name over het organisatiebreed afstemmen van de beveiliging van onze nieuwe werkplek.