Paragrafen

Informatieveiligheid

Informatieveiligheid

Algemeen
Het doel van Informatieveiligheid is de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel niveau te beperken.

Informatiebeveiliging
Informatieveiligheid wordt gerealiseerd door middel van Informatiebeveiliging: maatregelen, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen de gemeente garanderen.

BIO en ENSIA
Om gemeenten te ondersteunen bij het Informatiebeveiligingsbeleid is door de VNG een Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. Deze is vanaf 2020 vervangen door de Baseline Informatiebeveiliging Overheid (BIO).
De BIO bevat de minimale beveiligingsmaatregelen die nodig zijn voor een stabiele, veilige basis binnen de gemeente. Over de BIO en andere wet- en regelgeving dient jaarlijks verantwoording te worden afgelegd. De verantwoording gebundeld in de Eenduidige Normatiek Single Information Audit (ENSIA). Met ENSIA sluit de verantwoording aan op de reguliere planning- en controlcyclus van de gemeente. Wij leggen verantwoording af over de informatiebeveiliging door één geaudite collegeverklaring ENSIA inzake Informatiebeveiliging DigiD en Suwinet op te stellen.  

Wat hebben wij gedaan?
Voor het informatiebeveiligingsbeleid hebben wij het onderstaande uitgevoerd:

Verticale verantwoording
ENSIA structureert ook de verticale verantwoording richting de rijksoverheid (stelselhouders) over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet).
In 2023 hebben wij verantwoording afgelegd over de Informatiebeveiliging van het vorige jaar (2022) door één collegeverklaring (met verplichte bijlagen) inzake Informatiebeveiliging op te stellen. Over deze verklaring is medio 2023 na verplichte (her)audits een positieve verklaring door een RE-auditor afgegeven en zijn de stelselhouders, waaronder Binnenlandse Zaken/ Logius en Inspectie SoZaWe, hiervan in kennis gesteld.

Horizontale verantwoording
Via de reguliere planning- en control cyclus van de gemeente wordt verantwoording afgelegd aan de gemeenteraad:

  • er heeft er een organisatiebrede risico-inventarisatie en GAP-analyse plaatsgevonden met hieraan gekoppeld een concreet actieplan met verbeteracties;
  • het Gemeentebreed Informatiebeveiligingsbeleid Maassluis 2023 vastgesteld;
  • het Handboek Informatieveiligheid en privacy 2023, waarin de procedures op het gebied van personeel en organisatie, huisvesting en informatie en communicatietechnologie zijn opgenomen, is geactualiseerd.
  • ten aanzien van het vergroten van de bewustwording Informatieveiligheid en privacy is aangesloten op de online academie die vanaf september 2022 live is gegaan. Hiervoor is een separate leerlijn AVG en Informatieveiligheid ingericht die verplicht is voor alle interne medewerkers, behoudens (uitvoering) Stadsbedrijf. Onder externe medewerkers heeft deze gerouleerd.

De deelname van in totaal 211 (interne) medewerkers is als volgt:
- 117 (55%): voltooid
- 38 (18%): nog bezig
- 56 (27%): nog niet begonnen;

  • in 2022 is voor het verhogen van de digitale veiligheid (GGI) het contract met de KPN door de VNG beëindigd. In 2023 heeft de VNG een nieuwe aanbesteding uitgevoerd, waarbij de gemeente Maassluis heeft aangesloten. Hieruit zijn zes partijen geselecteerd.

Algemene Verordening Gegevensbescherming (AVG)
De Algemene Verordening Gegevensbescherming (AVG) heeft tot doel om de bescherming van natuurlijke personen - en dan met name de verwerking van persoonsgegevens - te waarborgen.

Privacydocumenten
In 2023 is het geactualiseerde Privacy Beleidskader Gemeente Maassluis 2023 en het bijbehorende Werkplan Privacy gemeente Maassluis 2023 vastgesteld.

Overzicht verwerkingen
Een van de onderdelen van de verantwoordingsplicht, die de gemeente in het kader van de AVG heeft, is het bijhouden van een register van verwerkingsactiviteiten, ook wel verwerkingsregister genoemd.
Het bestaande register is in 2023 geactualiseerd.  

Data protection impact assessment (DPIA)
Als een (beoogde) gegevensverwerking een hoog privacy-risico met zich meebrengt, dan dient er een zogeheten DPIA uitgevoerd te worden. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

Meldplicht datalekken
Datalekken en beveiligingsincidenten worden bij de gemeente Maassluis gemeld en geregistreerd in het meldingssysteem TOPdesk. Na aanmelding van een datalek draagt het Kernteam Informatiebeveiliging en Privacy - conform de betreffende procedure - zorg voor de afhandeling ervan. Indien noodzakelijk wordt er een melding gedaan bij de Autoriteit Persoonsgegevens (AP). Of een datalek gemeld moet worden bij de AP, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkene(n). Met andere woorden: een datalek moet gemeld worden bij de AP wanneer dit zou kunnen leiden tot een risico voor de rechten en vrijheden van betrokkene(n). Meldingen 2023: totaal zes datalekken, waarvan twee zijn aangemeld bij de AP.

Wet politiegegevens (Wpg)
In het kader van de wetswijziging van de Wet Politiegegevens uit 2019 zijn ook de gegevensverwerkingen van ambtenaren met een bijzondere opsporingsbevoegdheid (BOA’s), wanneer zij met hun opsporingstaak bezig zijn, onder de reikwijdte van de Wpg gebracht. Daarmee zijn de BOA’s ook auditplichtig, volgens de “Regeling periodieke audit politiegegevens”. Dit houdt in dat de gemeente wettelijk verplicht is om elk jaar een interne audit en elke vier jaar een externe audit door een externe register auditor uit te (laten) voeren. De uitkomsten van deze audit moeten worden gezonden aan de Autoriteit Persoonsgegevens.

Eind 2022 heeft de gemeente het (externe) Assurancerapport inzake Privacy- Audit Wet Politiegegevens  aan de AP (autoriteit persoonsgegevens) toegezonden, waarmee de gemeente aan zijn verplichtingen heeft voldaan. Naar aanleiding van de resultaten hiervan heeft de gemeente medio 2023 een (verplichte) hercontrole laten uitvoeren door externe RE-auditor. Daarnaast heeft de gemeente een (verplichte) interne Wpg- audit 2022 laten uitvoeren door een (externe) IT- auditor.

Deze pagina is gebouwd op 08/09/2024 16:15:16 met de export van 08/09/2024 16:11:40