Digitale informatie en informatievoorzieningen zijn een zeer belangrijk onderdeel van onze hedendaagse bedrijfsvoering en dienstverlening. We kunnen niet meer zonder. Goede beschikbaarheid en toegankelijkheid van informatievoorzieningen en betrouwbaarheid van de gegevens zijn een vereiste. Daarnaast moet de veiligheid van deze gegevens en de privacy van betrokkenen gewaarborgd zijn. De digitale risico’s zijn niet te onderschatten of zoals het Cybersecurity Centrum Nederland het omschrijft: “digitale risico’s zijn onverminderd groot en vormen een permanente bedreiging”. Zorgen voor een goede digitale weerbaarheid is belangrijk. Hoe waardevoller en privacygevoeliger de gegevens en informatie zijn, hoe meer maatregelen nodig zijn om te zorgen dat:
- de gegevens correct, volledig en controleerbaar zijn;
- iedereen kan beschikken over de juiste gegevens op de juiste plaats en moment;
- gegevens alleen bij de juiste (daartoe geautoriseerde) personen terecht komen;
- gegevens onderweg niet onderschept, gelezen of gemanipuleerd kunnen worden.
Maatregelen zoals opgenomen zijn in de Baseline informatieveiligheid Overheden (BIO) zijn hierin leidend. Vanzelfsprekend handelen we ook in lijn met de ((u) AVG). We houden oog voor het effect van dergelijke maatregelen op het primaire proces en het “gebruiksgemak”. Een door het college aangestelde Coördinator Informatieveiligheid (CISO) en een Functionaris Gegevensbescherming (FG) zien hierop toe. Zij adviseren, samen met een privacy adviseur en adviseur informatiebeveiliging, de organisatie over informatieveiligheid, privacyvraagstukken, het doen van DPIA’s (privacy-assessments) en onderzoeken van informatieveiligheidsincidenten en datalekken. Voldoen aan normen en regels op gebied van Informatieveiligheid en privacy wordt meegenomen bij de aanschaf en inzet van nieuwe informatievoorzieningen en software.
Naast het treffen van allerlei technische en fysieke beveiligingsmaatregelen speelt de factor 'mens' een zeer belangrijke rol. Onze medewerkers werken dagelijks met (persoons)gegevens en met een bewustwordingsprogramma vragen we continue aandacht voor privacy bewust omgaan met gegevens. Nieuwe medewerkers moeten binnen twee maanden na indiensttreding een e-learningmodule hebben afgerond over dit onderwerp. Een werkgroep vraagt daarnaast periodiek aandacht voor informatieveiligheid, verstrekt informatie, attendeert op kwetsbaarheden en ‘testen’ periodiek het gedrag.
Het college legt verantwoording af aan de gemeenteraad en aan verschillende ministeries via de zogenoemde ENSIA-methodiek (Eenduidige Normatiek Single Information Audit) over informatieveiligheid en privacy. Die verantwoording gaat inmiddels over de Basisregistratie Personen (BRP) en Reisdocumenten, Digitale persoonsidentificatie (DigiD), Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Basisregistratie Ondergrond (BRO). Op basis van de Baseline informatieveiligheid Overheden (BIO) doen we jaarlijks een organisatie brede zelfevaluatie informatieveiligheid. Voor het gebruik van DigiD en Suwinet wordt daarnaast ook verplicht een audit uitgevoerd door een externe RE-auditor. Het college stuurt in mei een collegeverklaring over informatieveiligheid aan de raad en diverse rijksoverheden. Dat zal ook in 2022 weer het geval zijn. Het aantal verantwoordingsrapportages over informatieveiligheid richting de Rijksoverheid via ENSIA wordt in 2022 naar verwachting uitgebreid met de WOZ-vragenlijst over informatiebeveiliging, informatie-architectuur en systeembeheer.