Informatiebeveiliging
Jaarlijks voert de gemeente de ENSIA (Eenduidige Normatiek Single Information Audit) zelfevaluatie uit. Hiermee wordt de stand van zaken met betrekking tot de invoering van de maatregelen van de Baseline Informatiebeveiliging Overheid (BIO) van de gemeente getoetst.
ENSIA structureert verantwoording over de Basisregistratie Personen (BRP) en Reisdocumenten, Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWI) richting de rijksoverheid . Vanaf dit jaar is de verantwoording van de WOZ (Waardering Onroerende Zaken) over informatiebeveiliging, informatiearchitectuur en systeembeheer ondergebracht in ENSIA. Deze verantwoording liep tot nu toe via de Waarderingskamer. De ENSIA resultaten zijn ten opzichte van vorig jaar op het zelfde niveau.
Een onafhankelijke externe IT-auditor heeft de landelijk verplichte audit betreffende Informatiebeveiliging van DigiD, Suwinet-inkijk en Suwinet onderzocht en goedgekeurd. Tezamen met de basisregistraties is verantwoording afgelegd aan de gemeenteraad (horizontale verantwoording), en richting de rijksoverheid (verticale verantwoording).
De bestuurlijke doelstelling voor onze informatiebeveiliging in 2021 is dat we voldoen aan de BIO. Dat komt erop neer dat we met Informatiebeveiliging de beschikbaarheid, integriteit en vertrouwelijkheid van de gemeentelijke informatie en de informatievoorziening willen waarborgen . De ingezette verbeteringen levert een positief resultaat op waarmee de beveiliging van persoonsgegevens en andere informatie binnen de gemeente is gewaarborgd.
In 2021 zijn er opnieuw grote stappen gezet om de bewustwording bij medewerkers en MT te verhogen en de informatievoorziening te waarborgen door diverse maatregelen door te voeren.
In het jaar 2021 zijn er dertien datalekken gemeld. Deze datalekken bleken geen hoog risico voor de betrokkenen te vormen, waardoor het niet nodig was om deze te melden aan de Autoriteit Persoonsgegeven (AP).
In december is er door de landelijke Informatiebeveiligingsdienst (IBD) melding gemaakt van een ernstige kwetsbaarheid die is aangetroffen in de softwarebouwsteen Apache Log4j. Apache Log4j is een programma dat gebruikt wordt voor logging. Ook Gemeente Gorinchem en haar software leveranciers hebben met die bouwsteen te maken. Dit maakte dat de gemeente een groter risico op een cyberaanval (bijvoorbeeld een ransomware-aanval) heeft gelopen. Op alle toepassingen met kwetsbaarheid zijn maatregelen toegepast en zijn scripts ontwikkeld waarmee gecontroleerd werd of de systemen misbruikt waren, dan wel misbruikt zouden kunnen worden. Verder werden monitoring tools ingezet welke de gehele dag en in het weekend afwijkende situaties, scherp in de gaten hielden. Preventief heeft de gemeente door de dreiging tijdelijk de dienstverlening aan de balies voor een dag stilgelegd.