Informatieveiligheid
Algemeen
Het doel van Informatieveiligheid is de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel niveau te beperken.
Informatiebeveiliging
Informatieveiligheid wordt gerealiseerd door middel van Informatiebeveiliging: maatregelen, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen de gemeente garanderen.
BIO en ENSIA
Om gemeenten te ondersteunen bij het Informatiebeveiligingsbeleid is door de VNG een Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. Deze is vanaf 2020 vervangen door de Baseline Informatiebeveiliging Overheid (BIO).
De BIO bevat de minimale beveiligingsmaatregelen die nodig zijn voor een stabiele, veilige basis binnen de gemeente. Over de BIO en andere wet- en regelgeving dient jaarlijks verantwoording te worden afgelegd. De verantwoording gebundeld in de Eenduidige Normatiek Single Information Audit (ENSIA). Met ENSIA sluit de verantwoording aan op de reguliere planning- en controlcyclus van de gemeente. Wij leggen verantwoording af over de informatiebeveiliging door één geaudite collegeverklaring ENSIA inzake Informatiebeveiliging DigiD en Suwinet op te stellen.
Wat hebben wij gedaan?
Voor het informatiebeveiligingsbeleid hebben wij het onderstaande uitgevoerd:
Verticale verantwoording
ENSIA structureert ook de verticale verantwoording richting de rijksoverheid (stelselhouders) over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet).
In 2022 hebben wij verantwoording afgelegd over de Informatiebeveiliging van het vorige jaar (2021) door één collegeverklaring (met verplichte bijlagen) inzake Informatiebeveiliging op te stellen. Over deze verklaring is medio 2022 na verplichte (her)audits een positieve verklaring door een RE-auditor afgegeven en zijn de stelselhouders, waaronder Binnenlandse Zaken/ Logius en Inspectie SoZaWe, hiervan in kennis gesteld.
Horizontale verantwoording
Via de reguliere planning- en control cyclus van de gemeente wordt verantwoording afgelegd aan de gemeenteraad;
In 2022 heeft er een organisatiebrede risico-inventarisatie en GAP-analyse plaatsgevonden met hieraan gekoppeld een concreet actieplan met verbeteracties.
In 2022 is het Handboek Informatieveiligheid en privacy 2022, waarin de procedures op het gebied van personeel en organisatie, huisvesting en informatie en communicatietechnologie zijn opgenomen, geactualiseerd.
- Ten aanzien van het vergroten van de bewustwording Informatieveiligheid en privacy is aangesloten op de online academie die vanaf september 2022 live is gegaan. Hiervoor is een separate leerlijn AVG en Informatieveiligheid ingericht die verplicht is voor alle interne medewerkers
- In 2022 is voor het verhogen van de digitale veiligheid (GGI) het contract met de KPN door de VNG beëindigd. In 2023 zal nader onderzocht worden hoe de digitale veiligheid verhoogd kan worden.
Algemene Verordening Gegevensbescherming (AVG)
De Algemene Verordening Gegevensbescherming (AVG) heeft tot doel om de bescherming van natuurlijke personen - en dan met name de verwerking van persoonsgegevens - te waarborgen.
Privacydocumenten
In 2022 is gestart met de uitrol van het Privacybeleidskader gemeente Maassluis 2021 en het Werkplan Privacy gemeente Maassluis 2021/ 2022
Overzicht verwerkingen
Een van de onderdelen van de verantwoordingsplicht, die de gemeente in het kader van de AVG heeft, is het bijhouden van een register van verwerkingsactiviteiten, ook wel verwerkingsregister genoemd.
Het bestaande register is in 2022 geactualiseerd.
Data protection impact assessment (DPIA)
Als een (beoogde) gegevensverwerking een hoog privacy-risico met zich meebrengt, dan dient er een zogeheten DPIA uitgevoerd te worden. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
Meldplicht datalekken
Datalekken en beveiligingsincidenten worden bij de gemeente Maassluis gemeld en geregistreerd in het meldingssysteem TOPdesk. Na aanmelding van een datalek draagt het Kernteam Informatiebeveiliging en Privacy - conform de betreffende procedure - zorg voor de afhandeling ervan. Indien noodzakelijk wordt er een melding gedaan bij de Autoriteit Persoonsgegevens (AP). Of een datalek gemeld moet worden bij de AP, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkene(n). Met andere woorden: een datalek moet gemeld worden bij de AP wanneer dit zou kunnen leiden tot een risico voor de rechten en vrijheden van betrokkene(n).
Meldingen 2022: totaal vier datalekken, waarvan geen één is aangemeld bij de AP.
Wet politiegegevens (Wpg)
In het kader van de wetswijziging van de Wet Politiegegevens uit 2019 zijn ook de gegevensverwerkingen van ambtenaren met een bijzondere opsporingsbevoegdheid (BOA’s), wanneer zij met hun opsporingstaak bezig zijn, onder de reikwijdte van de Wpg gebracht. Daarmee zijn de BOA’s ook auditplichtig, volgens de “Regeling periodieke audit politiegegevens”. Dit houdt in dat de gemeente wettelijk verplicht is om elk jaar een interne audit en elke vier jaar een externe audit door een externe register auditor uit te (laten) voeren. De uitkomsten van deze audit moeten worden gezonden aan de Autoriteit Persoonsgegevens.
In 2021 is het eerste jaar waarin deze externe audit verplicht is. Om gemeenten voldoende tijd te geven om dit zorgvuldig uit te voeren heeft de AP aangegeven dat eind 2022 de resultaten aangeleverd dienen te worden. De gemeente is hier begin vierde kwartaal 2021 mee gestart en heeft hiervoor een nulmeting door de FG laten uitvoeren. Ook is een externe audit opgestart, die in 2022 is afgerond. Het (externe) Assurancerapport inzake Privacy- Audit Wet Politiegegevens is voor eind december 2022 aan de AP toegezonden, waarmee de gemeente aan zijn verplichtingen heeft voldaan.