Privacy en Informatiebeveiliging (P&IB) is een verantwoordelijkheid van ons allemaal. Iedereen is het er mee eens dat we (persoons-)gegevens goed moeten beschermen.
Als gemeente moeten we de juiste maatregelen nemen, processen goed inrichten en de risico's goed beoordelen. In onze gemeente zijn al veel processen op orde. Maar er zijn natuurlijk altijd punten die beter kunnen. We zijn open en transparant over onze incidenten. Daar kunnen we van leren.
Het afgelopen jaar hadden we enkele specifieke speerpunten voor privacy en informatiebeveiliging benoemd:
- Bewustwording
Het afgelopen jaar hebben we binnen de organisatie hard gewerkt aan bewustzijn omtrent P&IB. Er zijn meerdere campagnes geweest, waaronder een zogenaamde ‘phishing test’. Hierdoor weten collega’s het team P&IB steeds beter te vinden en er worden veel meer vragen gesteld.
Door het team P&IB al in het begin te betrekken bij nieuwe processen of ideeën, worden belangrijke privacy- en informatiebeveiligingsaspecten meteen meegenomen.
- Rollen en verantwoordelijkheden
Er is in de teams aandacht gevraagd voor ieders verantwoordelijkheden. Welke gegevens zitten er in jouw applicaties? Wie is daar verantwoordelijk voor? Wie heeft er toegang tot die gegevens en waarom? Er zijn afspraken gemaakt hoe deze autorisaties worden vastgelegd en gecontroleerd.
- Digitale weerbaarheid
Door incidenten voor te zijn en daar waar ze optreden adequaat te reageren kunnen we de mogelijke schade zoveel mogelijk beperken. De juiste processen zijn hiervoor ingericht. We evalueren (mogelijke) incidenten om van te leren. Welke maatregelen kunnen en moeten we nemen om dergelijke incidenten te voorkomen en risico’s te beperken? Hiervoor wordt nauw samengewerkt met de collega’s van automatisering.
Daarnaast hebben we dit jaar een applicatie (ISMS) geïmplementeerd waarmee we vanuit informatiebeveiliging en privacy onze maatregelen monitoren, evalueren en bijsturen waar nodig.
- Veilig samenwerken en delen
Het digitaal samenwerken is niet meer weg te denken. De mogelijkheden om samen te werken en te delen groeien enorm. Binnen onze organisatie maken we afspraken over de manier waarop we gegevens veilig kunnen delen en hoe we veilig (met externen) kunnen samen werken.
Vanuit P&IB zijn we ook in gesprek met de teams over welke gegevens je wel of niet moet delen.
Verantwoording informatieveiligheid: ENSIA
Jaarlijks verantwoorden wij ons via ENSIA (Eenduidige Normatiek Single Information Audit) over informatieveiligheid in relatie tot de gemeentelijke domeinen en basisregistraties. Onderstaande grafiek laat voor de betreffende domeinen een vrij constant hoog resultaat zien. We zien dat we op de BRO nu dankzij de grote inhaalslag de maximale score behalen. De daling van het percentage bij de BAG is te verklaren door het in gebruik nemen van een nieuwe VTH-applicatie, waardoor de BAG te maken kreeg met te laat doorgevoerde omgevingsvergunningen. Alle resultaten zitten boven de vastgestelde normen. De resultaten zijn in onderstaande grafiek weergegeven. De definitieve resultaten zijn vastgesteld en gedetailleerd aan het college gerapporteerd en met een “collegeverklaring” bevestigd.
BAG = Basisregistratie Adressen en Gebouwen
BGT = Basisregistratie Grootschalige Topografie
BRO = Basisregistratie Ondergrond
BRP = Basisregistratie Personen
Reisdoc = Paspoorten en Nederlandse Identiteitskaart
WOZ = Waardering Onroerende Zaken, Voor de WOZ is nog geen norm vastgesteld