Informatiebeveiliging

Jaarlijks voert de gemeente de Eenduidige Normatiek Single Information Audit (ENSIA) zelfevaluatie uit om de stand van zaken te toetsen met betrekking tot de invoering van de maatregelen van de Baseline Informatiebeveiliging Overheid (BIO). ENSIA structureert verantwoording over de basisregistraties (BRP, BAG, BGT en BRO), DigiD en SUWI. De ENSIA resultaten zijn ten opzichte van vorig jaar op hetzelfde niveau.

Een onafhankelijke IT-auditor heeft de verplichte audit over Informatiebeveiliging van DigiD en Suwinet onderzocht en goedgekeurd. Het college heeft verantwoording afgelegd over DigiD, Suwinet en de basisregistraties aan zowel de gemeenteraad als de Rijksoverheid.

In de BIO zijn gestandaardiseerde veiligheidsnormen vastgelegd voor het beschermen van informatie bij overheidsorganisaties. Het doel is aan deze normen te voldoen, dat betekent waarborgen van beschikbaarheid, integriteit, vertrouwelijkheid van informatie en de informatievoorziening binnen de overheid. Hierdoor wordt een veilige samenwerking en uitwisseling van gegevens binnen de overheid bevorderd.

We informeren en adviseren medewerkers over informatieveiligheid en geven hen handelingsperspectieven. Er loopt al enige tijd een bewustwordingsprogramma voor medewerkers.

Ook zijn er nieuwe procedures opgesteld ten behoeve van het uitvoeren van de rechten van betrokkene die vallen onder de wet Algemene verordening Gegevensbescherming (AVG) en de Wet politiegegevens (Wpg). Er zijn drie verzoeken geweest van betrokkenen die hun AVG-rechten wilden uitoefenen.

Er is een Security Incident Management en Response proces. Via dit proces worden gemelde incidenten beoordeeld en wordt actie ondernomen om eventuele schade als gevolg van een incident te voorkomen dan wel te beperken. Indien het incident grote impact kan hebben op de organisatie wordt de directie en/of de portefeuillehouder informatiebeveiliging geïnformeerd. In 2023 zijn er 19 datalekken geweest, hiervan zijn 2 datalekken als hoog risico bestempeld en om die reden ook binnen de wettelijke termijn van 72 uur gemeld bij de Autoriteit Persoonsgegevens (AP).

Daarnaast houden we zorgvuldig in de gaten welke dreigingspecifieke maatregelen en bijbehorend handelingsperspectief door het Nationaal Cyber Security Centrum (NCSC) worden gepubliceerd. De gemeente past de gangbare cybersecuritymaatregelen toe en controleert daarop.