De overheid werkt steeds meer digitaal. Dat heeft onder andere als voordeel dat diensten deels geautomatiseerd afgehandeld kunnen worden, dat gegevens sneller uitgewisseld kunnen worden, dat de kwaliteit van gegevens sterk is verbeterd en dat de beschikbaarheid van informatie enorm is. Een betrouwbare overheid draagt zorg voor de veiligheid van zijn inwoners, zowel fysiek, als digitaal. Daarvoor worden maatregelen genomen, wetten en regels opgesteld en aandacht besteed aan bewustwordingscampagnes. In de fysieke leefomgeving zijn we daar aan gewend en bepalen de wetten en regels vaak onze norm. In de digitale omgeving is dat nog niet zo. Daar voelen we ons soms zelfs belemmerd door wetten, regels en maatregelen. Toch is het vanuit het oogpunt van een betrouwbare overheid belangrijk om ook te zorgen voor een veilige digitale omgeving.
Om die reden gelden er op Europees en landelijk niveau wetten en regels waar aan voldaan moet worden uit het oogpunt van informatieveiligheid en privacy. De gemeente Zwartewaterland voert die wetten uit en waar nodig worden ze vertaald in specifiek beleid. Vanaf 2020 geldt er een nieuw normenkader voor informatiebeveiliging, de baseline informatiebeveiliging overheid. Voor gegevensbescherming is de Algemene Verordening Gegevensbescherming het wettelijk geldende kader.
De belangrijkste activiteiten die voor 2021 tot 2024 staan gepland:
Gezamenlijk (Informatiebeveiliging & Privacy)
- Inrichten en in gebruik nemen van een Informatiebeveiligingsmanagement systeem ten behoeve van vastlegging beleid, planning werkzaamheden en verplichte verantwoording
- Herinrichting van de formatie van de informatieorganisatie (met name wat betreft informatieadviseurs, Privacy officer en CISO)
- Organisatie voorbereiden en begeleiden bij overgang naar SSC-ONS voor wat betreft informatiebeveiliging en privacy
- Verhogen bewustwording van (nieuwe) medewerkers zodat zij risico’s kunnen herkennen en voorkomen
- Uitvoering geven aan de verplichte en/of relevante onderwerpen afkomstig van de Agenda Digitale Veiligheid van de VNG
Informatiebeveiliging
- Invulling geven aan het vastgestelde strategische informatiebeveiligingsbeleid
- Vereenvoudigen en jaarlijks doorlopen van het ENSIA-proces
- Vanuit de samenwerking met SSC-ONS wordt er invulling gegeven aan borging van informatiebeveiligingsprocessen en controle op een adequate procesgang. In het bijzonder is aandacht voor veilig gebruik van mobiele apparatuur en toegang tot het gemeentelijke netwerk
Privacy
- Uitvoeren van impactanalyse op de meest risicovolle data verwerkende processen of nieuwe data verwerkingen met een hoog privacy risico. Hierbij hebben processen in het sociaal domein prioriteit
- Meer grip en inzicht op het verwerkingsregister en de verwerkersovereenkomsten
- Verder inrichten toezichthoudende rol vanuit Functionaris Gegevensbescherming
Maatregelen
De gemeente heeft een scala aan ICT beveiligingsmaatregelen getroffen om haar informatie- en automatiseringssystemen te beveiligen tegen aanvallen, storingen en calamiteiten. Denk hierbij aan noodvoorzieningen, back-upsystemen en informatiebeveiligingssystemen.
Daarnaast is vanuit de implementatie van het vastgestelde strategisch informatiebeveiligingsbeleid op basis van de landelijke ‘Baseline informatiebeveiliging overheden (BIO)’ een actielijst geformuleerd met daarin de verbeteracties voor de komende jaren. Belangrijkste onderdelen zijn vastlegging en publicatie van het beleid, bewustwording en naleving.
Tot slot heeft de gemeente meegedaan aan de landelijke aanbesteding informatiebeveiligingsmaatregelen vanuit VNG (GGI Veilig). De implementatie hiervan wordt in 2021 opgepakt in samenhang met de migratie naar het Shared Service Centrum ONS.
De uitvoering van een uitwijk- en penetratietest wordt in 2021 in overleg met het SSC ONS opgepakt. We zitten dan in de overgang van de technische infrastructuur.