Informatieveiligheid en privacy

Informatieveiligheid
We hebben verder gewerkt aan het basisbeveiligingsniveau van onze informatievoorziening. Dit was gericht op de besturing van informatieveiligheid, de techniek en gedrag. Daarbij hebben we uitvoering gegeven aan het verantwoordingsprogramma Eenduidige Normatiek Single Information Audit (ENSIA). Doel van ENSIA is het professionaliseren van het verantwoordingsproces over informatieveiligheid bij gemeenten. Onderdeel was het uitvoeren van de zelfevaluatie op de informatiebeveiliging. De zelfevaluaties voor DigiD en Suwi-net (Structuur Uitvoeringsorganisatie Werk en Inkomen) moesten door een onafhankelijke auditor worden vastgesteld. Voor SUWI zijn geen tekortkomingen geconstateerd door de auditor, voor DigiD enkele. Die tekortkomingen hadden betrekking op administratieve verplichtingen. Het risico op incidenten is daardoor beperkt.  De auditor heeft daarbij vastgesteld dat de zelfevaluaties waarheidsgetrouw zijn uitgevoerd. Op 24 april jl. heeft het College de collegeverklaring over de zelfevaluaties van DigiD en SUWI, het verbeterprogramma en het oordeel van de auditor vastgesteld. De collegeverklaring wordt separaat verstrekt aan de Raad. De uitkomsten van de zelfevaluaties worden gebruikt voor het herijken van het informatieveiligheidsbeleid en het opstellen van jaarplannen.

Verder hebben we:

• Ons netwerk en de beveiligingsmonitoring op de meest kritische systemen heringericht;
• Nieuwe beveiligingsprojecten gestart: (verder) beveiligen van het netwerk tegen hackpogingen van binnenuit en de invoering van secure e-mail voor de gemeente;
• Bewustwording van het management en medewerkers vergroot via nieuwsberichten, het spelen van een “Crisisgame” en afdelingssessies over “Veilig werken met informatie”;
• Diverse Mystery Visits (onderzoek naar de menskant) uitgevoerd. In 2018 zullen we aan de hand van de resultaten ons beleid aanpassen;
• De vereisten voor informatieveiligheid geborgd in verband met de uitbesteding van ICT;
• Ook onze organisatie kreeg te maken met wereldwijde ransomware aanvallen. We hebben hierbij geen schade opgelopen.

Privacy

In 2017 is de nieuwe privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Met betrekking tot informatieveiligheid zorgen we dat we de beveiligingsafspraken met leveranciers op orde krijgen, de meldplicht datalekken borgen, zorgen voor een passend beveiligingsniveau en dat we zorgdragen voor het security-by-design principe. Uiterlijk 25 mei 2018 moeten we aan de vereisten voldoen.

Voor het borgen van de privacy hebben we een Functionaris Gegevensbescherming aangesteld. We zijn gestart met de voorbereidingen, zoals het opstellen van een privacybeleid. Daarin komen onderwerpen zoals het nemen van risico beperkende maatregelen, het maken van een digitaal register persoonsgegevens en de communicatie en transparantie  en de rechten van betrokkenen. In 2018 volgt bestuurlijke besluitvorming over dit beleid.

We hebben een meldplicht voor datalekken. Het aantal geregistreerde meldingen over mogelijke datalekken bedroeg in 2017 dertien. Eén melding is beoordeeld als meldplichtig en gemeld aan de Autoriteit Persoonsgegevens. We zien een toename van bewustwording rondom de meldplicht. In 2018 willen we de herkenning in de organisatie van een datalek nog meer verbeteren.

Prestatie indicatoren privacy

We verantwoorden in dit onderdeel de indicatoren. Als er geen gegevens beschikbaar zijn staat er een streepje.