Informatiebeveiliging

We gebruiken een toetsmoment voor het bepalen van onze doelstellingen en gebruiken hiervoor de ENSIA-zelfevaluatie. ENSIA is een landelijke systematiek voor het afleggen van verantwoording over informatiebeveiliging, zowel de horizontale verantwoording aan de gemeenteraad, als de verticale verantwoording aan de rijksoverheid. Een onafhankelijke IT-auditor heeft de landelijk verplichte audit voor de informatiebeveiliging van DigiD, Suwinet-inkijk en Suwinet uitgevoerd. De uitkomst hiervan is dat de beheersingsmaatregelen voor deze drie onderdelen voldoen.

De bestuurlijke doelstelling voor onze informatiebeveiliging in 2020 is dat we voldoen aan de Baseline Informatiebeveiliging Overheid (BIO). Dat komt erop neer dat we met Informatiebeveiliging de beschikbaarheid, integriteit en vertrouwelijkheid van de gemeentelijke informatie en de informatievoorziening willen waarborgen. In 2020 zijn diverse maatregelen doorgevoerd, waaronder bewustwording bij medewerkers en MT.

In het jaar 2020 waren er zes datalekken, hiervan zijn er twee gemeld aan de Autoriteit Persoonsgegeven (AP). Dit betrof één keer een foutieve menselijke handeling, één keer zijn de toegangsrechten verkeerd geplaatst op een interne map, waardoor deze voor alle medewerkers zichtbaar was. Eén keer is een e-mailaccount van een medewerker gehackt. De beide incidenten zijn binnen de wettelijke termijn van 72 uur gemeld bij de AP. Daarnaast hebben er negen ICT-beveiligingsincidenten plaatsgevonden, welke geen consequenties hadden voor de dienstverlening aan onze klanten.