De gemeente heeft een grote verantwoordelijkheid naar inwoners, ondernemers en instellingen als het gaat om het veilig houden van en privacy bewust omgaan met gegevens. De steeds verder gaande digitalisering brengt vele nieuwe dreigingen en risico’s met zich mee. Voorbeelden van hacks en ransomeware bij gemeenten in de afgelopen jaren maken duidelijk dat een dergelijke aanval een enorme impact kan hebben op de continuïteit van bedrijfsvoering en dienstverlening van een gemeente. Dit vraagt om een veilige en betrouwbare overheid die hoge standaarden hanteert op het gebied van informatieveiligheid en privacybescherming. Het is belangrijk om het ‘eigen huis’ op orde te hebben en te houden. En omdat de ontwikkelingen niet stil staan is het zeer belangrijk om blijvend te zorgen voor een goede digitale weerbaarheid. De Agenda Digitale Veiligheid 2022-2026 van de VNG biedt bestuurlijke handvatten. Ook als het gaat over het voorbereid zijn op digitale ontwrichting en incidenten en het, werken aan het versterken van de digitale weerbaarheid van inwoners en ondernemers.
Hoe waardevoller en privacygevoeliger de gegevens en informatie zijn, hoe meer maatregelen nodig zijn om te zorgen dat:
- de gegevens correct, volledig en controleerbaar zijn en blijven;
- iedereen over de benodigde gegevens op de juiste plaats en moment kan beschikken;
- gegevens alleen bij de juiste (daartoe geautoriseerde) personen terecht komen;
- gegevens onderweg niet onderschept, gelezen of gemanipuleerd kunnen worden.
We geven invulling aan beveiligingsmaatregelen op basis van de Baseline informatieveiligheid Overheid (BIO). We zetten hierbij meer in op monitoring en response. Vanzelfsprekend handelen we ook in lijn met de (u) AVG. De Functionaris Gegevensbescherming en privacy adviseur zien toe op correcte toepassing daarvan en adviseren in de organisatie waar nodig. Zij coördineren het proces van rechten van betrokkenen en onderzoeken indien nodig datalekken. We houden oog voor het effect van beveiligingsmaatregelen op het primaire proces en het “gebruiksgemak”.
Onze medewerkers werken dagelijks met (persoons)gegevens en moeten zich bewust zijn van de risico’s en de gevolgen van hun handelen. Met een bewustwordingsprogramma vragen we aandacht voor zorgvuldig en privacy bewust omgaan met gegevens. Nieuwe medewerkers worden bijgepraat op deze onderwerpen tijdens introductiedagen. Daarnaast moeten ze binnen drie maanden na indiensttreding een e-learningmodule informatieveiligheid hebben afgerond.
Het college legt verantwoording af aan de gemeenteraad en aan verschillende ministeries via de zogenoemde ENSIA-methodiek (Eenduidige Normatiek Single Information Audit) over informatieveiligheid en privacy. Die verantwoording gaat inmiddels over
- Basisregistratie Personen (BRP) en Reisdocumenten
- Digitale persoonsidentificatie (DigiD)
- Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet)
- Basisregistratie Adressen en Gebouwen (BAG)
- Basisregistratie Grootschalige Topografie (BGT)
- Basisregistratie Ondergrond (BRO)
- WOZ
Voor het gebruik van DigiD en Suwinet wordt hiervoor een audit uitgevoerd door een externe RE-auditor. Rode draad bij bovenstaande is een organisatiebrede zelfevaluatie informatieveiligheid. Het college stuurt in mei een collegeverklaring over informatieveiligheid aan de raad en diverse rijksoverheden. Dat zal ook in 2024 weer het geval zijn. Sinds 2019 valt de verwerking van persoonsgegevens door boa's onder de Wet politiegegevens (Wpg). Wij voeren hiervoor jaarlijks de wettelijk verplichte interne audit Wpg uit.
In de risicoparagraaf wordt ingegaan op toenemende risico's op het gebied van informatieveiligheid en cybercriminaliteit.