Inwoners mogen verwachten dat de gemeente de informatiehuishouding en de informatieveiligheid op orde heeft. We zorgen ervoor dat alle organisatorische, procedurele en technische beveiligingsmaatregelen geborgd zijn, zodat de continuïteit van ICT informatie en informatievoorziening is gegarandeerd en eventuele gevolgen van beveiligingsincidenten beperkt zijn.
Informatieveiligheid
Informatieveiligheid richt zich op betrouwbaarheid en kwaliteit van informatie. De Baseline Informatiebeveiliging Overheid (BIO) is het landelijk normenkader.
Toenemende digitalisering maakt het verbeteren van de cybersecurity bij de overheid steeds belangrijker. De nieuwe Europese wetgeving op cybersecurity (NIS2) wordt omgezet in nationale wetgeving en de BIO2.0 wordt eind 2025 van toepassing.
Deze ontwikkelingen vereisen een aanpassing van het informatieveiligheidsbeleid, uitvoeringsregels en procedures. Een risico gestuurd actieplan wordt opgesteld om grip te houden op de nieuwe BIO2, NIS2 en de AVG (Algemene Verordening Gegevensbescherming).
We zijn in staat om uitvoering te geven aan de maatregelen en verantwoording zoals ENSIA (Eenduidige Normatiek Single Information Audit) die ons vanuit de wet- en regelgeving en landelijke afspraken worden opgelegd. Jaarlijks legt het college verantwoording af met een ´collegeverklaring´. Het college heeft bij besluit van 16 april 2024 in een zgn. ´collegeverklaring´ verantwoording afgelegd over het jaar 2023 inzake DigiD en Suwinet.
De menselijke factor is belangrijk is het voorkomen van kwetsbaarheden en incidenten. We besteden continu aandacht aan het bevorderen van de bewustwording van informatieveiligheid en privacy, zoals interne phishingcampagnes, interne workshops en trainingen via ons e-learning platvorm.
Op security gebied wordt ons gehele netwerk- en internetverkeer 24/7 gemonitord om zodoende "ongewenste" acties in een vroeg stadium tegen te houden.
We werken ook continu aan het verbeteren van de veiligheid van het mailverkeer. Het gaat hier dan om de beveiliging tegen onveilige bijlagen en tegen schadelijke links en onveilige websites.
De migratie naar nieuwe Firewalls en switches is afgerond. Dit zorgt voor een betere en soepele verkeersstroom in het IT netwerk en houdt het veiligheidsniveau van ons netwerk op een goed niveau.
In 2024 is een uitwijktest gedaan of we de complete IT omgeving kunnen laten draaien op onze uitwijklocatie bij de gemeentewerf.
Een brede PEN-test is doorgevoerd waarbij ethische hackers zwakke plekken in de beveiliging van een computersysteem of netwerk identificeren. De bevindingen van de PEN test zijn intern besproken en de verbeterpunten worden doorgevoerd
De nieuwe digitale werkplek is voor de medewerkers succesvol ingevoerd met een veilige toegang voor gebruikers met goede beheerprocessen
Het feit dat we actief bezig zijn met informatieveiligheid, betekent niet dat we er al zijn. Integendeel, de bedreigingen en kwetsbaarheden zijn van alle dag. Het zal een uitdaging blijven om voor informatieveiligheid ´de baas te worden en te blijven´ en we moeten concluderen dat 100% veiligheid niet bestaat.
Privacy
Als organisatie houden we ons aan de Algemene Verordening Persoonsgegevens (AVG) en Wet politiegegevens (Wpg), waarbij de bescherming van persoonsgegevens centraal staat. Onze inwoners en onze medewerkers moeten erop kunnen vertrouwen dat wij veilig, bewust en vertrouwelijk met persoonsgegevens omgaan.
In 2024 is het privacybeleid geactualiseerd. Hierin is meer aandacht gekomen voor specifieke onderdelen van verwerking binnen de gemeente en is ook beleid rondom de Wet politie gegevens (Wpg) geïntegreerd. Daarnaast is het Protocol Datalekken en het proces Rechten van betrokken geactualiseerd. Ook het register van verwerkingen is door een externe partij up to date gebracht. In 2024 zijn DPIA's uitgevoerd op nieuwe systemen en applicaties.
Om de kennis bij de medewerkers actueel te houden, zijn zowel digitale als fysieke mogelijkheden beschikbaar.
In 2024 is één verzoek om inzage en verwijdering van persoonsgegevens door een persoon ingediend. Deze is volgens het protocol behandeld. Daarnaast is er ook een klacht ingediend bij de Autoriteit Persoonsgegevens.
In 2024 hebben zich 25 incidenten voor gedaan, waarvan drie datalekken die bij de Autoriteit Persoonsgegevens (AP) zijn gemeld door de gemeente en een door een externe partij.
Incidenten | |||||
|---|---|---|---|---|---|
2020 | 2021 | 2022 | 2023 | 2024 | |
Datalekken gemeld bij AP | 2 | 3 | 0 | 2 | 3 |
Incidenten intern geregistreerd | 10 | 11 | 7 | 10 | 25 |