Portefeuillehouder
Hanno Canters

Omschrijving (toelichting)

Als gemeente beschikken we over veel data. Ook veel persoonsgebonden data. Dit vraag dat we zorgvuldig omgaan met de data die we hebben. Informatieveiligheid is de laatste jaren steeds belangrijker geworden. De informatie die we beheren over (en voor) onze inwoners en ondernemers willen en moeten we goed beveiligen en daar horen bepaalde afspraken en werkwijzen bij. Deze zijn in de Baseline Informatiebeveiliging Overheden (BIO) vastgelegd en in VNG verband hebben wij ons hieraan geconformeerd.

Wij verantwoorden ons elk jaar naar de raad over de kwaliteit van de informatieveiligheid van informatiesystemen en werkwijzen. Dit gebeurt via ENSIA: Eenduidige Normatiek Single Information Audit. Het Rijk is bezig met een ontwikkeling waarbij we niet alleen aan de achterkant zitten zoals bij ENSIA. De wens is er om meer op te schuiven naar toezicht aan de voorkant.

Om te blijven voldoen aan het kwaliteitsniveau van informatieveiligheid, is beveiliging, voortdurende aandacht, bewustwording, kennis en investering in techniek, mensen en processen noodzakelijk.
In de tweede helft van 2023 voerden we, samen met een gespecialiseerde externe partner, een onderzoek uit om te bepalen waar wij in de naleving van dit normenkader staan, waarbij is en wordt gekeken naar; wat we al geregeld hebben, wat we nog moeten doen, hoe we dat prioriteren en wat de kosten daarvan zijn. Op basis daarvan stelden we een programma en planning vast waarin aangeven is wat we wanneer gaan doen om als gemeente te voldoen aan deze BIO. En ons hiermee zoveel als mogelijk te beschermen tegen toenemende cybercriminaliteit. In 2024 voeren we dit programma uit en pakken we de geadviseerde technische- en organisatorische maatregelen op om onze systemen en daarmee ook onze data steeds veiliger te maken en veilig te houden.

Stand van zaken

In 2024 kregen we meer grip op de status van BIO-implementatie binnen de afdelingen. Maatregelen die nog niet waren geïmplementeerd, vertaalden we naar risico's. Voor elk risico maakten we een SMART actieplan. Elk kwartaal bespraken we de voortgang met actiehouders, als input voor de bedrijfsvoeringgesprekken.

In het kader van bedrijfscontinuïteitsbeheer (BCM) onderzochten we de 3 meest kritieke processen van onze organisatie en de governance rondom BCM. Met deze input werd een bedrijfscontinuïteitsplan en -beleid opgesteld. Ook werd een BCM-coördinator aangewezen.

Bij de ENSIA-verantwoording over 2024 konden we voor één DigiD-aansluiting niet aantonen dat we aan alle nieuwe eisen voldoen, omdat niet alle te toetsen situaties zich hadden voorgedaan ("non-occurrence"). We volgen de adviezen van toezichthouder Logius en de auditor hoe we hiermee om moeten gaan, om zo snel mogelijk alsnog aan de geldende normen te voldoen.

Op gebied van bewustwording werden elk kwartaal stappen gezet met trainingen en bewustwordingsvideo’s rondom informatieveiligheid en privacy. Deelname aan de trainingen is voor iedereen verplicht en hier werd ook op gestuurd door leidinggevenden. Deelnamecijfers waren erg goed en reacties vanuit de organisatie over het algemeen zeer positief.

De technisch te nemen maatregelen zijn verzameld en geprioriteerd in de “roadmap ICT”. Hiervoor vonden doorlopend werkzaamheden plaats. Belangrijkste verandering voor 2024 was het beleid en de techniek rondom de beveiliging van onze digitale werkplek.

Geld (indicator)

G

Tijd (indicator)

G