Informatiebeveiliging en privacy zijn actuele thema’s, die steeds meer aandacht en investeringen van onze gemeente vragen. De onderwerpen zijn vrijwel wekelijks in het nieuws. Gemeenten zijn voor steeds meer beleidsterreinen verantwoordelijk. Er wordt veelvuldig gebruik gemaakt van de mogelijkheden van informatie-uitwisseling. Voor gemeenten is het dan ook noodzakelijk om de beveiliging van informatie professioneel te organiseren. Informatie moet immers beschikbaar en integer (betrouwbaar) zijn en mag alleen door bevoegden zijn in te zien (vertrouwelijk). Bij de uitwisseling van informatie moeten gemeenten voldoende rekening houden met beveiligings- en privacyaspecten.
Informatieveiligheid is veel meer dan ICT, het gaat in veel gevallen om de mens in de organisatie en de manier waarop deze met (informatieveiligheids)risico’s omgaat.
Als gemeente zijn we continu in beweging, waarbij processen veranderen en medewerkers andere taken en verantwoordelijkheden krijgen. Door deze veranderingen ontstaan nieuwe informatieveiligheidsrisico's. Daarom wordt privacy en informatiebeveiliging (P&IB) sinds 2018 al vroegtijdig in projecten meegenomen.
Ondanks of dankzij het vele thuiswerken zien we dat medewerkers aandacht blijven hebben voor P&IB. Er worden regelmatig vragen gesteld of bepaalde gegevensdelingen wel zijn toegestaan, of welke aanvullende maatregelen nodig zijn. Dit geldt niet alleen voor projecten, maar ook de gehele bewustwording bij medewerkers neemt toe.
Informatiebeveiliging
Naast de gemeentebrede aandacht voor informatieveiligheid is er in 2020 een aantal specifieke verbeterslagen doorgevoerd met betrekking tot P&IB. Dit betreft:
• Bewustwording
Privacy en informatiebeveiliging zijn structureel onderdeel van het nieuwe ‘onboarding’ proces, waarin nieuwe medewerkers de organisatie leren kennen. Hierdoor krijgen nieuwe medewerkers al bij de start informatie over onderwerpen als het veilig omgaan met gegevens, melden van datalekken, omgaan met wachtwoorden en veilig (thuis)werken. Dit wordt voor de hele organisatie opgevolgd door reguliere berichtgeving via het intranet.
• Autorisaties en Toegang
Er is een goede start gemaakt met het op een uniforme manier vastleggen hoe rollen en autorisaties in onze applicaties zijn ingeregeld. Door deze verbeterslag zien we dat er meer begrip ontstaat voor de noodzaak van het beperken van toegang tot gegevens.
De uniforme registratie helpt de organisatie bij het eenduidig toekennen van autorisaties en de controle hierop.
• Verhogen Digitale Weerbaarheid (GGI Veilig)
GGI-Veilig is het meerjarenplan van de VNG (en de Informatiebeveiligingsdienst) m.b.t. het verhogen van de digitale weerbaarheid. De eerste stap hierin is het aanpassen van de de onderliggende processen zoals wijzigingsbeheer, incidentmanagent en patchmanagement op het nieuwe normenkader (BIO). Deze processen hebben we afgelopen jaar aangepast en beter in de organisatie geborgd.
• Samenwerken en delen
Het verplichte thuiswerken heeft er voor gezorgd dat mensen steeds meer gebruik maken van samenwerk-omgevingen. Naast het inmiddels ingeburgerde digitaal vergaderen hebben de medewerkers ook toegang gekregen tot een omgeving waarmee ze op een veilige manier samen aan projecten kunnen werken en informatie kunnen uitwisselen.
Stand van zaken informatiebeveiligingsmaatregelen
Voor informatiebeveiliging wordt gebruik gemaakt van het voor gemeenten verplicht BIO-normenkader. De onderstaande grafiek laat zien dat er door het oppakken van bovenstaande speerpunten ook duidelijke verbeteringen te zien zijn op een groot aantal aandachtgebieden vanuit dit normenkader. De lagere score op informatiebeveiligingsbeleid wordt veroorzaakt omdat dit beleid elke 3 jaar opnieuw moet worden vastgesteld. Dit is voorzien voor begin 2021.
Verantwoording informatieveiligheid: ENSIA
Jaarlijks (vanaf 2017) verantwoorden wij ons middels ENSIA (Eenduidige Normatiek Single Information Audit) over informatieveiligheid in relatie tot de gemeentelijke domeinen en basisregistraties.
In 2017 waren alleen de domeinen BRP-Basisregistratie Personen, PNIK - Paspoorten Nederlandse Identiteitskaart (heet vanaf 2019 ‘Reisdocumenten’), Suwinet en DigiD onderdeel van de audit, maar afgelopen jaren zijn er andere domeinen bij aangesloten, te weten BAG - Basisregistratie Adressen en Gebouwen, BGT - Basisregistratie Grootschalige Topografie (vanaf 2018) en de BRO - Basisregistratie Ondergrond (vanaf 2019).
Bovenstaande grafiek laat voor de betreffende domeinen een vrij constant hoog resultaat zien. We zien dat we op de Basisregistratie Ondergrond een grote inhaalslag hebben gedaan. Alle resultaten zitten boven de vastgestelde normen.
Verantwoording privacy
In 2020 is een nieuw gemeentebreed privacyreglement opgesteld. Daarmee zijn de regels voor wat we als werkgever én als medewerker met persoonsgegevens mogen doen bekend en kan er op worden toegezien.
Voor privacy wordt gebruikt gemaakt van een door de VNG opgesteld borgings-instrument. In de onderstaande grafiek wordt voor de onderwerpen uit dit instrument aangegeven welk percentage van de maatregelen voldoende geborgd is.
Datalekken
Het afgelopen jaar zijn er 5 datalekken gemeld. Dat is een stijging t.o.v. 2019. We zien in de organisatie dat de bewustwording groeit en daarmee eerder een datalek gesignaleerd en gemeld wordt. We zijn meer zaken via e-mail af gaan handelen, waardoor het een aantal keren is voorgekomen dat een e-mail naar een verkeerde ontvanger werd verzonden. Een datalek dat risico’s heeft voor de betrokkenen moet gemeld worden bij de AP. Het melden aan de betrokken is expliciet gebeurd doordat de betrokkene al op de hoogte was, en niet omdat er grote risico's waren. De voorgekomen datalekken zijn niet gemeld bij de Autoriteit Persoonsgegevens omdat er geen groot risico op vervolgschade was.
