Informatieveiligheid | Programmarekening 2022 Gemeente Den Helder

Informatieveiligheid en bescherming van persoonsgegevens zijn van groot belang voor het werken met overheidsinformatie en persoonsgegevens. Op het gebied van informatiebeveiliging en bescherming van persoonsgegevens hadden we in 2022 de volgende doelen:

De gemeente opereert volgens de eisen van de Baseline Informatiebeveiliging Overheid (BIO). Risicomanagement wordt hierin het uitgangspunt en is bepalend voor de inzet van middelen (capaciteit van medewerkers, budget en tijd).
De volwassenheid van de organisatie op het gebied van gegevensbescherming en bescherming van de persoonsgegevens bevindt zich op het niveau 'beheerst'.
De gemeente verhoogt planmatig de informatiebeveiliging en bescherming van persoonsgegevens door het verhogen van de kennis van medewerkers, en zet in op het verbeteren van houding en het gedrag. De gemeente maakt dit meetbaar.
De gemeente Den Helder slaagt voor verplichte audits en inspecties.

De bovenstaande doelen werken we hierna uit.

1. De gemeente opereert volgens de eisen van de Baseline Informatiebeveiliging Overheid (BIO).

De BIO is het gezamenlijk normenkader voor de overheid, gebaseerd op ISO27001/2. Alle gemeenten in Nederland willen voldoen aan de BIO. De BIO omvat een pakket maatregelen die betrekking hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om te voldoen aan de BIO neemt de gemeente maatregelen om de veiligheid van informatie en persoonsgegevens te waarborgen. De maatregelen zijn zowel technisch als organisatorisch van aard.
Technische maatregelen: In 2022 is er een project gestart bij de gemeente om aanvullende technische maatregelen in te richten door middel van een SIEM/SOC omgeving die intern en extern dataverkeer monitort.
Organisatorische maatregelen : De organisatorische maatregelen omvatten dat de gemeente de verantwoording voor informatiebeveiliging breed in de organisatie breed belegt en binnen de afzonderlijke teams voldoende capaciteit voor beschikbaar maakt om decentraal aan de informatiebeveiligingseisen te voldoen. De organisatorische maatregelen vereisen een complete aanpak bij de inrichting en toewijzing van operationele taken. Het gaat hierbij om taken op gebied van Personeel & Organisatie, Inkoop, Facilitair, vastgoedbeheer en ICT en onder andere om taken binnen het domein Burgerzaken, Sociaal Domein en OOV specifiek de ambtenaren belast met opsporing. Met een integrale benadering en taakverdeling kan de gemeente weerbaar worden tegen cyberaanvallen, is de gemeente in staat om ten tijde van een cyberaanval adequaat te handelen en worden datalekken voorkomen.

2. De volwassenheid van de organisatie op het gebied van bescherming van informatie en persoonsgegevens bevindt zich op het niveau beheerst.

De Algemene Verordening Gegevensbescherming (AVG) en de Wet Politiegegevens (Wpg) zijn een richtlijn en wet welke richting geven aan de verplichtingen van de gemeente die persoonsgegevens verwerkt. De kaders van deze richtlijn en wet zijn vertaald naar het privacybeleid van de gemeente. In 2023 zal het privacybeleid aangevuld zijn met Wpg-beleid. In 2021 is een aanzet gemaakt in het actualiseren en het uitbreiden van het verwerkingsregister van de gemeente. De lancering van het nieuwe verwerkingsregister is in de zomer van 2021 gedaan. In 2022 is er begonnen met een traject om het register te onderhouden en verbeteren. In het verwerkingsregister staat informatie over de persoonsgegevens die door verwerkers voor de gemeente wordt verwerkt.
Het register is ook een vertrekpunt om te voldoen aan de eisen voor het uitvoeren van de verplichte Data Protection Impact Assessments (DPIA) en voor het uitvoeren van DPIA’s die, op basis van geconstateerd risico, voor de gemeente wenselijk zijn. Het verwerkingsregister is tevens het register waarin de verwerkingen van persoonsgegevens door derden wordt opgeslagen.
In 2022 zijn de CISO en de FG-AVG en FG-Wpg aangewezen door het college.

3. De gemeente verhoogt planmatig de informatiebeveiliging door het verhogen van de kennis van medewerkers en zet in op het verbeteren van de houding en het gedrag op gebied van iBewustzijn. De gemeente maakt dit meetbaar.

Sinds 2021 werkt de gemeente met een communicatieplan en in 2022 heeft de gemeente planmatig activiteiten uitgevoerd om kennis, houding en gedrag op gebied van informatiebeveiliging en bescherming van de persoonsgegevens te verhogen. De medewerkers worden met een i-bewustzijnscampagne (online trainingen en een wekelijkse vraag) getraind in het bewust veilig omgaan met informatie en persoonsgegevens. De resultaten van de activiteiten worden gemeten, waardoor inzichtelijk wordt op welke gebieden de medewerkers aanvullend training nodig hebben. Naast een generieke aanpak blijft de gemeente investeren in kennis van de individuele medewerker als voor de rol van de medewerker diepgaande kennis van informatieveiligheid en bescherming van de privacy vereist is.

4. De gemeente Den Helder slaagt voor verplichte audits en inspecties.

De gemeente verantwoordt zich jaarlijks over informatiebeveiliging en – kwaliteit middels ENSIA. Dat staat voor Eenduidige Normatiek Single Information Audit. De focus van ENSIA ligt op verantwoording naar de gemeenteraad. Daarnaast verantwoordt de gemeente zich volgens de Wet politiegegevens (Wpg).
De ENSIA omvat toezicht op gebied van de technische en organisatorische inrichting van de BIO waarbij het bereik is gericht op de domeinen die actief zijn binnen de gemeente.
Sinds 2019 is de gemeente verplicht om jaarlijks een interne audit te organiseren op het gebruik van politiegegevens door Boa’s. Naast deze jaarlijkse interne audit dient de gemeente, vanaf 2021 een externe IT-audit uit te voeren. In de gemeente Den Helder zijn boa’s actief in de domeinen Openbare Orde en Veiligheid, Onderwijs en Sociale Recherche. De gemeente heeft in 2021 de interne audit afgerond en heeft zich voor bereidt op de externe audit aan het eind van 2022. De rapportage van de externe audit is na 31 december 2022 verstrekt aan de Autoriteit Persoonsgegevens die op de rechtmatigheid van de verwerking van Wpg-gegevens door de Boa die in gemeente Den Helder toezicht houdt.