Het is een ‘open deur’: Privacy en informatiebeveiliging (P&IB) zijn belangrijk, je kunt niet tégen het beschermen van (persoons)gegevens zijn. Het nemen van de juiste maatregelen is een continu proces, waarin de risico’s goed worden beoordeeld. We zien dat in de kern de onderliggende processen goed gaan. Maar processen die goed gaan zijn vaak onzichtbaar in de organisatie. P&IB wordt vaak pas zichtbaar als het fout gaat. We zijn open en transparant over incidenten om ervan te leren. We zorgen mede daardoor voor meer bewustwording in de organisatie.
Speerpunten 2021
Naast de gemeentebrede aandacht voor informatieveiligheid is er in 2021 een aantal specifieke aandachtspunten benoemd met betrekking tot P&IB. Dit betreft:
- Bewustwording
Bewustwording over P&IB is een continu proces. We werken aan bewustwording door:
- Al tijdens het ‘onboarding’ proces waarin nieuwe medewerkers de organisatie leren kennen aandacht te besteden aan onderwerpen zoals het veilig omgaan met gegevens, melden van datalekken, omgaan met wachtwoorden en veilig (thuis)werken.
- Open en transparant te communiceren over (bijna) incidenten zodat we leren van onze fouten.
- Regelmatig (bijvoorbeeld tijdens week van de privacy en week van de informatieveiligheid) expliciet aandacht te besteden aan bewustwording. Dit jaar door 2 quizzen die enthousiast zijn ingevuld. - Autorisaties en Toegang
Bij de start van een nieuw project worden na een P&IB toets afspraken gemaakt wat er nodig is om te voldoen aan de P&IB wet- en regelgeving. Door hier in een vroeg stadium al over in gesprek te gaan met de betrokkenen ontstaat er meer begrip voor de noodzaak van het beperken van toegang tot gegevens. - Verhogen Digitale Weerbaarheid (GGI Veilig)
GGI-Veilig is het meerjarenplan van de VNG (Informatiebeveiligingsdienst) m.b.t. het verhogen van de digitale weerbaarheid. De eerste stap hierin is het aanpassen van de onderliggende processen zoals wijzigingsbeheer, incidentmanagement en patchmanagement. Deze processen hebben we afgelopen jaar aangepast en beter in de organisatie geborgd. - Samenwerken en delen
Door het implementeren van een veilige e-mail module is het nu mogelijk vertrouwelijke informatie met externen (bedrijven, ketenpartners en inwoners) te mailen. Daarnaast zien we dat er steeds meer gebruik gemaakt wordt van de mogelijkheden van O365.
Stand van zaken informatiebeveiligingsmaatregelen
Voor informatiebeveiliging wordt gebruik gemaakt van het voor gemeenten verplicht BIO-normenkader. Dit wordt gemeten via een standaardmethodiek van de VNG. De grootste verbetering afgelopen jaar is het vaststellen van het nieuwe Strategische en Tactische Informatiebeveiligingsbeleid. Dit zorgt ook voor een inhoudelijke verbetering op de overige onderwerpen maar is niet zichtbaar in de grafiek. Zo zijn bijvoorbeeld de processen m.b.t. de incidentafhandeling herzien.
Verantwoording informatieveiligheid: ENSIA
Jaarlijks (vanaf 2017) verantwoorden wij ons middels ENSIA (Eenduidige Normatiek Single Information Audit) over informatieveiligheid in relatie tot de gemeentelijke domeinen en basisregistraties.
In 2017 waren alleen de domeinen BRP(*1) , PNIK(*2) , Suwinet en DigiD onderdeel van de audit, maar afgelopen jaren zijn er andere domeinen bij aangesloten, te weten BAG(*3) , BGT(*4) (2018), BRO(*5) (2019) en dit jaar ook de WOZ(*6*7).
Bovenstaande grafiek laat voor de betreffende domeinen een vrij constant hoog resultaat zien. We zien dat we op de BRO een grote inhaalslag hebben gemaakt. De lagere score op de BAG is een gevolg van de implementatie van twee nieuwe applicaties. Dit heeft gevolgen gehad voor de actualiteit van de gegevens. De leverancier heeft een verantwoordingsdocument aangeleverd waarin wordt bevestigd dat de ontstane vermindering in de kwaliteit, aan hen te wijten was.
Alle resultaten zitten boven de vastgestelde normen.
De resultaten in bovenstaande grafiek over 2021 zijn onder voorbehoud omdat deze audit nog onderhanden is. De definitieve resultaten worden in Q2 2022 vastgesteld en gedetailleerd aan het college gerapporteerd en middels een “collegeverklaring” bevestigd.
Verantwoording privacy
Voor privacy wordt gebruikt gemaakt van een door de VNG opgesteld borgings-instrument.
In de onderstaande grafiek wordt voor de onderwerpen uit dit instrument aangegeven welk percentage van de maatregelen voldoende geborgd is.
We zien dat afgelopen jaar een grote vooruitgang op Samenwerking. Dit komt omdat er meer en tijdig aandacht is besteed aan het opstellen van convenanten en privacyprotocollen (o.a. op het gebied van veiligheid, ondermijning en gegevensdelen binnen het sociaal domein).
Datalekken
In 2021 is er aandacht besteed aan bewustwording onder de medewerker wanneer iets een datalek is. We zien dat daardoor de bewustwording groeit en eerder een datalek gesignaleerd en gemeld wordt. Zoals bijvoorbeeld interne mails met persoonsgegevens, of een e-mail aan een groep ontvangers die niet als ‘bcc’ zijn opgenomen. De voorgekomen datalekken zijn niet gemeld bij de Autoriteit Persoonsgegevens omdat er geen groot risico op vervolgschade was.
*1 Basisregistratie Personen
*2 Paspoorten Nederlandse Identiteitskaart (heet vanaf 2019 ‘Reisdocumenten’)
*3 Basisregistratie Adressen en Gebouwen
*4 Basisregistratie Grootschalige Topografie
*5 Basisregistratie Ondergrond
*6 Waardering Onroerende Zaken
*7 Voor de WOZ is nog geen norm vastgesteld