Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met informatie omgaat. Wij spelen hier als gemeente een belangrijke rol in. Het gaat om beschikbaarheid, integriteit en vertrouwelijkheid van informatie, in de meest brede zin van het woord. Het waarborgen van de betrouwbaarheid van informatie zorgt voor een goede kwaliteit en continuïteit van de bedrijfsvoerings- en dienstverleningsprocessen.
Hoe staan we ervoor?
Gemeente Medemblik zal samen met de regionale aangesloten partijen bij SSCdeSom komen tot de stip op de horizon voor informatiebeveiliging. Op basis van een volwassenheidsmodel zal er scheiding plaatsvinden om te groeien binnen dit model tot niveau IV, op dit moment bevindt de Gemeente Medemblik zich op niveau I. Nadat niveau IV is behaald kan je op een juiste wijze de PDCA-cyclus uitvoeren en ligt er een juist fundament om ook risicomanagement op een kordate wijze uit te voeren. Vanuit elke groei van niveau van niveau in het volwassenheidsmodel zal er een jaarplanning worden samengesteld. Medio 2022 is de eerste te verwachten.
Om het risicomanagement op een professionele wijze te kunnen uitvoeren en beheersen is er een GRC (Governance Risk & Control tool) aangeschaft. In 2020 is hier een pilot voor geweest en de basisgegevens geïmplementeerd. Voor het onderdeel Logische Toegangsbeveiliging is er een uitwerking gemaakt naar beleid, procedure en processen. Deze zijn geaccepteerd binnen de gemeente Medemblik van MT naar functioneel beheerders. Dit is de eerste aanzet tot verdere opzet van de BIO.
De aandachtsgebieden liggen bij:
- Bewustwording BIO/Informatiebeveiliging van Top>Down en andersom;
- Verantwoording;
- Risicomanagement;
- PDCA (Plan-Do-Check-Act);
- ISMS (Informatiesystematiek Management systeem);
- Continuïteit.
Binnen deze kenmerken zal ook de verantwoording richting het rijk plaatsvinden, dat betekent ten opzichte van de huidige werking op het gebied van informatiebeveiliging een volledige transitie naar de verplichtingen die door het rijk worden gesteld.
Om deze veranderingen gestaag en met draagvlak binnen de gemeente vorm te laten geven en krijgen is er voor spreiding gezorgd binnen deze overgang/transitie naar BIO.
Door verdere digitalisering vanuit de overheid zal in de komende periode de Gemeente Medemblik ook met nieuwe wetten te maken krijgen. WDO (Wet Digitale Overheid), dit heeft verregaande consequenties voor uitvoering, informatiebeveiliging en risicomanagement alsmede uitbreiding van de audits die verplicht zijn.
Voor welke uitdagingen wij dagelijks?
Er is een enorme groei op het gebied van dreigingen en beveiligingslekken, zoals Log4J en de hedendaagse dreiging vanuit de oorlog tussen Oekraïne en Rusland, deze laatste wordt ook op het gebied van cyberaanvallen geïntensiveerd. Dit geeft nogmaals aan dat informatiebeveiliging een belangrijk element is in het beschermen van de gegevens van onze burgers. Dat het de verantwoordelijkheid is van de gemeente om een adequaat beveiligingsniveau aan te brengen.
Rol uitvoering:
Op dit moment is de functie nog coördinator informatiebeveiliging, in de functie liggen twee taakgebieden ENSIA en Informatiebeveiliging. Om ook te voldoen aan de criteria van IBD zal deze worden omgezet naar CISO.
Voor de CISO is er nog geen continuïteit geborgd op de functie, deze wordt deels verhuurd binnen de KOM-samenwerking. Om de risico’s op een juiste wijze te beperken is er continuïteit nodig en ook uitbreiding middels ISO (een uitvoerende op gebied informatiebeveiliging). Hiervoor zal in 2022 een directienotitie worden opgesteld van wat er nodig is om informatiebeveiliging beheersbaar te maken en de data op orde te houden.
ENSIA (Eenduidige Normatiek Single Information Audit)
ENSIA heeft een nieuwe tool. Deze tool vergt meer inspanning dan de vorige tool en dient er per onderdeel specifiek verantwoording te worden afgedragen en ook separate aanlevering naar de overheid ter toetsing. Er is op het gebied van ENSIA verdere uitbreiding gekomen in verantwoording afleggen, namelijk via de BIO-rapportage (ENSIA-onderdeel), WOZ (Waarde Onroerende Zaken), VDW (Verhoogde Digitale Weerbaarheid).
We legden het afgelopen jaar de ENSIA verantwoording af en leverde dit tijdig in. Door middel van verschillende sessies met betrokken medewerkers hebben we de ENSIA zelfevaluatievragenlijsten ingevuld en verbeteracties geformuleerd. Wij leggen, op basis van ENSIA, met een collegeverklaring verantwoording af aan de raad over de geselecteerde informatiebeveiligingsnormen inzake SUWInet. Een externe IT-auditor heeft inmiddels tijdens een pre-audit verklaard dat de interne beheersingsmaatregelen in opzet en bestaan voldoen aan de geselecteerde normen inzake SUWInet. De daadwerkelijke audit zal in het eerste kwartaal van 2022 plaatsvinden.
Algemene Verordening gegevensbescherming
De Algemene Verordening gegevensbescherming (AVG) stelt eisen aan de omgang met en het verwerken van persoonsgegevens. Binnen de gemeente Medemblik wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners Deze persoonsgegevens worden voornamelijk gebruikt voor het goed uitvoeren van de gemeentelijke (wettelijke) taken.
Voorafgaand en na inwerkingtreding van de AVG in 2018 is hard gewerkt aan het implementeren van de AVG. Zo is er tijdig privacy beleid geïmplementeerd en zijn verantwoordelijkheden in de organisatie belegd. In 2021 heeft de gemeente Medemblik heel wat werk verzet om de AVG verder in de organisatie te implementeren. Hierbij is veel aandacht besteed aan de inrichting van digitale systemen en de verschillende werkprocessen. Een aantal maatregelen waren zeer effectief, zoals de implementatie van de AVG-tool en de positionering van privacy-medewerkers.
Er zijn ook aandachtspunten voor de organisatie om aantoonbaar te kunnen voldoen aan de AVG en aanverwante wetgeving. Zo is het van belang dat er in de eigen organisatie wordt geïnvesteerd in de vorm van een structurele privacy officer. Aanvullend dient de organisatie meer grip te krijgen op haar eigen ICT en de ontwikkelingen daarvan. ICT gerelateerde wijzigingen worden nog te vaak ad hoc doorgevoerd waardoor onvoldoende kwaliteitszorg kan worden geboden en het risico op menselijke fouten aanwezig blijft.
Tot slot, de Functionaris Gegevensbescherming (intern toezichthouder) constateert dat de gemeente ruimte tot verbetering heeft op de onderwerpen als fysieke en digitale toegang en het ‘privacy proof’ inrichten van digitale systemen. Ook de implementatie van de Wet politiegegevens verdient aanvullend prioriteit.