Informatiebeveiliging

ENSIA-zelfevaluatie
Jaarlijks voert de gemeente een ENSIA-zelfevaluatie (Eenduidige Normatiek Single Information Audit) uit. Tijdens deze evaluatie wordt vastgesteld in hoeverre de maatregelen uit de Baseline Informatiebeveiliging Overheid (BIO) zijn geïmplementeerd. Daarnaast verricht de gemeente ENSIA-zelfevaluaties voor de belangrijkste basisregistraties, waaronder BAG (Basisregistratie Adressen en Gebouwen), BGT (Basisregistratie Grootschalige Topografie) en BRO (Basisregistratie Ondergrond).

De resultaten van de ENSIA-evaluaties zijn ten opzichte van 2024 onveranderd gebleven.

ENSIA-audits
De ENSIA-auditor heeft de beoordelingen van DigiD en SUWI (Wet structuur uitvoeringsorganisatie werk en inkomen) uitgevoerd en positief beoordeeld. Samen met de basisregistraties is hierover verantwoording afgelegd aan zowel de gemeenteraad als de Rijksoverheid.

Baseline informatiebeveiliging overheid (BIO)
De Baseline Informatiebeveiliging Overheid (BIO) vormt het fundament voor informatiebeveiliging binnen alle lagen van de overheid. Hierdoor kan men binnen de overheidsinstanties veilig samenwerken en gegevens uitwisselen. Het primaire doel is het realiseren van een wettelijke basis voor informatiebeveiliging, waardoor persoonsgegevens beter worden beschermd, de naleving van wet- en regelgeving wordt versterkt, en de respons op cyberdreigingen efficiënter kan verlopen.

Bewustwording
We geven medewerkers informatie en advies over informatieveiligheid en privacy en bieden ondersteuning bij praktische vraagstukken. Al geruime tijd voeren wij een bewustwordingsprogramma om dit onderwerp extra onder de aandacht te brengen binnen onze gemeente.

Procedure ten behoeve van het uitvoeren van de rechten van betrokkene
De binnen de gemeente gehanteerde procedures voor de afhandeling van verzoeken met betrekking tot de rechten van betrokkenen zijn in 2025 wederom adequaat uitgevoerd. In totaal zijn er drie verzoeken ingediend door betrokkenen die hun rechten op grond van de Algemene verordening gegevensbescherming (AVG) hebben uitgeoefend, en twee verzoeken op basis van de Wet politiegegevens (Wpg). Alle verzoeken zijn binnen de gestelde wettelijke termijnen door de gemeente afgehandeld.

Security Incident Management en Response proces.
Incidentmeldingen worden via dit proces beoordeeld en er wordt actie ondernomen om de impact van incidenten te voorkomen of te beperken. Wanneer een incident grote gevolgen kan hebben voor de organisatie, worden de directie en/of de portefeuillehouder informatiebeveiliging geïnformeerd. In 2025 deden zich vijf datalekken voor. Als een datalek een verhoogd risico oplevert, moet dit gemeld worden aan de Autoriteit Persoonsgegevens (AP) en eventueel aan de betrokken personen. In 2025 was bij geen enkel datalek binnen de gemeente sprake van een hoog risico, waardoor er geen meldingen aan de AP zijn gedaan. Wel zijn drie datalekken gecommuniceerd met de betrokkenen.

Daarnaast monitoren wij nauwgezet de dreigingspecifieke maatregelen en het bijbehorende handelingsperspectief zoals gepubliceerd door het Nationaal Cyber Security Centrum (NCSC). De gemeente implementeert de gangbare cybersecuritymaatregelen en ziet streng toe op de naleving hiervan.