Informatiebeveiliging
ENSIA zelfevaluatie
Ieder jaar voert de gemeente een ENSIA zelfevaluatie uit (Eenduidige Normatiek Single Information Audit). Met deze zelfevaluatie toetsen we welke maatregelen van de Baseline Informatiebeveiliging Overheid (BIO) zijn ingevoerd. Ook voert de gemeente ENSIA-zelfevaluaties uit voor de belangrijke basisregistraties zoals BAG (Basisregistratie Adressen en Gebouwen), BGT (Basisregistratie Grootschalige Topografie) en BRO (Basisregistratie Ondergrond). De ENSIA-resultaten blijven in 2024 gelijk aan die van 2023.
ENSIA audits
De ENSIA-auditor heeft de resultaten van DigiD en SUWI (Wet structuur uitvoeringsorganisatie werk en inkomen) beoordeeld en goedgekeurd. Samen met de basisregistraties is verantwoording afgelegd aan zowel de gemeenteraad als de Rijksoverheid.
Baseline informatiebeveiliging overheid (BIO)
De BIO is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen. Hierdoor kan binnen de overheid veilig worden samengewerkt en gegevens worden uitgewisseld. Het doel is om informatiebeveiliging bij de overheid een wettelijke basis te geven met als gevolg meer bescherming voor persoonsgegevens, betere naleving van wet- en regelgeving, en een efficiëntere reactie op cyberdreigingen.
Bewustwording
We geven medewerkers informatie en advies over informatieveiligheid en privacy en helpen ze met praktische oplossingen. Er is al een aantal jaren een programma om medewerkers bewust te maken over dit onderwerp.
Procedure ten behoeve van het uitvoeren van de rechten van betrokkene
Sinds 2023 zijn er procedures die vallen onder de wet Algemene verordening Gegevensbescherming (AVG) en de Wet politiegegevens (Wpg). In 2024 zijn er vier verzoeken geweest van betrokkenen om hun privacyrechten uit te voeren, deze verzoeken betroffen inzageverzoeken en zijn allen tijdig afgerond.
Security Incident Management en Response proces
Via dit proces worden meldingen van incidenten beoordeeld en wordt er actie ondernomen om schade door een incident te voorkomen of te beperken. Als een incident grote gevolgen kan hebben voor de organisatie wordt de directie en/of de portefeuillehouder informatiebeveiliging geïnformeerd. In 2024 hebben er zes datalekken plaatsgevonden. Geen van deze datalekken vereiste melding bij de Autoriteit Persoonsgegevens (AP).
Daarnaast houden we zorgvuldig in de gaten welke dreigingspecifieke maatregelen en bijbehorend praktische oplossingen het Nationaal Cyber Security Centrum (NCSC) publiceert. De gemeente past de gangbare cybersecuritymaatregelen toe en controleert deze regelmatig.