Als gemeente hebben we veel (persoons) gegevens van onze inwoners, ondernemers en instellingen. Zij moeten erop kunnen vertrouwen dat hun gegevens bij ons veilig zijn en dat al onze medewerkers privacy bewust omgaan met deze gegevens. De steeds verder gaande digitalisering brengt nieuwe dreigingen en risico’s met zich mee. Grootschalige uitval van systemen of het nu door hacks of ransomware of energiestoringen wordt veroorzaakt kunnen een enorme impact hebben op de continuïteit van bedrijfsvoering en dienstverlening van een gemeente. Dit vraagt om een veilige en betrouwbare overheid die hoge standaarden hanteert op het gebied van informatieveiligheid en privacybescherming. Het is belangrijk om het ‘eigen huis’ op orde te hebben en te houden. En omdat de ontwikkelingen niet stil staan is het heel belangrijk om blijvend te zorgen voor een goede digitale weerbaarheid. De Agenda Digitale Veiligheid 2024-2028 van de VNG biedt hiervoor bestuurlijke handvatten. Ook als het gaat over het voorbereid zijn op digitale ontwrichting en incidenten en het werken aan het versterken van de digitale weerbaarheid van inwoners en ondernemers.
Hoe waardevoller en privacygevoeliger gegevens en informatie zijn, hoe meer maatregelen nodig zijn om te zorgen dat:
- de gegevens correct, volledig en controleerbaar zijn en blijven;
- iedereen over de benodigde gegevens op de juiste plaats en moment kan beschikken;
- gegevens alleen bij de juiste (daartoe geautoriseerde) personen terecht komen;
- gegevens onderweg niet onderschept, gelezen of gemanipuleerd kunnen worden.
De Europese NIS2-richtlijn gaat in op de risico’s die netwerk- en informatiesystemen bedreigen, zoals cyberbeveiligingsrisico’s. Deze richtlijn en de Nederlandse cyberbeveiligingscentrum stelt strengere beveiligingsnormen en registratie- en meldingsvereisten voor incidenten. De Baseline Informatiebeveiliging Overheid (BIO) wordt op deze wetgeving aangepast en is voor ons als gemeente de baseline waaraan we moeten voldoen. Vanzelfsprekend handelen we ook in lijn met de (u) AVG. De Functionaris Gegevensbescherming en privacy adviseur zien toe op correcte toepassing daarvan en adviseren in de organisatie waar nodig. Zij coördineren het proces van rechten van betrokkenen en onderzoeken indien nodig datalekken. We houden oog voor het effect van beveiligingsmaatregelen op het primaire proces en het “gebruiksgemak”.
Onze medewerkers werken dagelijks met (persoons)gegevens en moeten zich bewust zijn van de risico’s en de gevolgen van hun handelen. Met een bewustwordingsprogramma vragen we aandacht voor zorgvuldig en privacy bewust omgaan met gegevens bij al onze medewerkers. Nieuwe medewerkers moeten binnen drie maanden na indiensttreding een e-learningmodule over informatieveiligheid en privacy hebben afgerond. Daarnaast wordt het onderwerp tijdens introductiedagen behandeld.
Het college legt verantwoording af aan de gemeenteraad en aan verschillende ministeries via de zogenoemde ENSIA-methodiek (Eenduidige Normatiek Single Information Audit) over informatieveiligheid en privacy.
Die verantwoording gaat inmiddels over:
- Basisregistratie Personen (BRP) en Reisdocumenten
- Digitale persoonsidentificatie (DigiD)
- Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet)
- Basisregistratie Adressen en Gebouwen (BAG)
- Basisregistratie Grootschalige Topografie (BGT)
- Basisregistratie Ondergrond (BRO)
Voor het gebruik van DigiD en Suwinet wordt een audit uitgevoerd door een externe RE-auditor. Rode draad bij bovenstaande is een organisatiebrede zelfevaluatie informatieveiligheid. Het college stuurt in april een collegeverklaring over informatieveiligheid aan de raad en diverse rijksoverheden. Dat zal ook in 2025 weer het geval zijn.
Sinds 2019 valt de verwerking van persoonsgegevens door boa's onder de Wet politiegegevens (Wpg). In 2025 moet hiervoor eveneens een externe audit uitgevoerd worden.
In de risicoparagraaf wordt ingegaan op toenemende risico's op het gebied van informatieveiligheid en cybercriminaliteit.