Informatiebeveiliging en Privacy Als gemeente zijn we schatbewaarder van een breed scala van data, zowel van inwoners als van ondernemers en andere organisaties. Door het gebruik van deze data kunnen wij onze dienstverlening steeds verder verbeteren en optimaliseren. We leveren een bijdrage aan het realiseren van het raadsprogramma, het coalitie akkoord en de missie en visie van onze gemeente. Gemeenten moeten zich elk jaar verantwoorden over de kwaliteit van de informatieveiligheid van diverse informatiesystemen. Dit moet verplicht met de audit systematiek Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Overheid ( BIO ). Dit gebeurt door middel van een zelfevaluatie op de normen van de BIO aangevuld met zelfevaluaties op de Basisregistraties en een audit op de normen van het gebruik van DigiD en Suwinet. RID De kwaliteit van de informatieveiligheid en de diverse informatiesystemen worden geborgd in de samenwerking met de RID-ICT. Voor een groot deel worden de general en applicationcontrols ingericht en onderhouden door de RID. Bij de RID zit een belangrijke waarborg voor de betrouwbaarheid van de systemen. De kwaliteit van de RID en de afspraken met de RID zijn daarmee van fundamenteel belang. Vanwege dit belang heeft de accountant ook verschillende adviezen opgenomen in zijn rapporten over de relatie tussen de RID en de gemeente. Baseline Informatiebeveiliging Overheid Uit de zelfevaluatie op de BIO blijkt dat veel maatregelen al (gedeeltelijke) geïmplementeerd zijn. Wel zien we dat de uitvoer van een aantal maatregelen even als vorig jaar nog niet gerealiseerd is door structurele capaciteitsproblemen voornamelijk bij de RID. Ook uit de evaluatie van een aantal (landelijke) beveiligingsincidenten is gebleken hoe belangrijk het is processen en maatregelen op orde te hebben om de risico's beheersbaar te maken. De belangrijkste aanbevelingen voor het komende jaar liggen op het gebied van het op orde brengen van de basis processen binnen de IT omgeving, zoals bijvoorbeeld patchmanagement en configuratiemanagement. Evenals het verbeteren van (toegang)controles en autorisatiebeheer binnen applicaties en de doorontwikkeling van informatiebeveiliging met de Microsoft 365. DigiD en Suwinet In april 2022 is door het College van B&W een collegeverklaring DigiD en Suwinet afgegeven over de ENSIA verantwoording 2021. Met de ENSIA-collegeverklaring geeft het college aan in hoeverre de beheersingsmaatregelen voldoen aan de normen die gelden voor Suwinet en DigiD. Uit de zelfevaluatie blijkt dat de gemeente aan alle normen voor Suwinet en DigiD voldoet. De bevindingen uit de collegeverklaring zijn in het 1e kwartaal van 2021 nog apart getoetst door een IT-auditor en deze heeft de juistheid van de collegeverklaring bekrachtigd. Zelfevaluaties Basisregistraties Over de Basisregistratie Adressen en Gebouwen (BAG), de Basisregistratie Grootschalige Topografie (BGT) en de Basisregistratie Ondergrond (BRO), Basisregistratie Personen (BRP) en de Paspoortuitvoeringsregeling (PUN) en voor de Waardering Onroerende zaken (WOZ) moet de gemeente verantwoording afleggen door middel van een verantwoordingsrapportage. De verantwoordingsrapportages geven een oordeel over de borging van het proces en de tijdigheid, de volledigheid en de juistheid van de basisregistraties van de BAG, BGT, BRO en WOZ en de normen die behoren bij de BRP en PUN. De rapportages laten zien dat de gemeente Zevenaar voor de meeste basisregistraties aan haar verplichtingen voldoet, voor de WOZ zijn wel een aantal verbeteracties opgesteld. Acties voortvloeiend uit deze rapportage worden in 2022 verder uitgezet. Incidenten en datalekken In 2022 zijn 13 datalekken geregistreerd waarvan 4 datalekken ook gemeld bij de Autoriteit Persoonsgegevens. Geen van deze lekken was de oorzaak van een IT-incident, in alle gevallen was er sprake van menselijk handelen. Afgelopen jaar zijn er (landelijk) een aantal beveiligingsincidenten geweest, deze zijn tijdig gesignaleerd en hebben niet geleid tot ongeoorloofd verlies van beschikbaarheid, integriteit en betrouwbaarheid van de gegevens. Zowel de landelijke als eigen incidenten worden geëvalueerd en aandacht- en verbeterpunten worden doorgevoerd in de processen. De belangrijkste adviespunten liggen hier ook op het gebied van inzicht in en up-to-date houden van de soft- en hardware ( patchmanagement en configuratiemanagement ) Privacybescherming Privacy is een doorlopend proces dat zich steeds beter verankerd binnen de organisatie, maar ook complex is, gezien de diversiteit van taken binnen de gemeente. Het bewustzijn over het verwerken van persoonsgegevens neemt toe maar levert ook weer nieuwe vraagstukken op. We zien dat privacy maatregelen op onderdelen niet voldoende ingebed zijn binnen de processen van de gemeente en dit vraagt de komende jaren ook nog blijvend aandacht. Ook op het gebied van informatiebeheer, opslag en beschikbaarheid tot privacygevoelige informatie staan verbeteracties gepland. Essentieel hierin blijft gerichte aandacht voor het juiste gedrag en de bewuste omgang met informatie. Tot slot zien we een duidelijke ontwikkeling in de samenwerking bij de implementatie van nieuwe processen en wetgeving met de VNG. Hierdoor wordt optimaal gebruik gemaakt van de kennis en ervaring en is privacy ook een standaard onderdeel van het implementatietraject. In 2021 hebben diverse burgers gebruik gemaakt van het recht op inzage, verwijdering of informatie over de verwerking van persoonsgegevens bij de gemeente Zevenaar. Het hebben van een goede informatievoorziening en dossiervorming is dan van belang om aan de privacywetgeving te kunnen voldoen. Op deze onderdelen zijn nog een aantal verbeterslagen te maken. |