Paragrafen

Informatieveiligheid

Informatieveiligheid

Algemeen
Het doel van Informatieveiligheid is de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel niveau te beperken.

Informatiebeveiliging
Informatieveiligheid wordt gerealiseerd door middel van Informatiebeveiliging: maatregelen, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen de gemeente garanderen.

BIO en ENSIA
Om gemeenten te ondersteunen bij het Informatiebeveiligingsbeleid is door de VNG een Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. Deze is vanaf 2020 vervangen door de Baseline Informatiebeveiliging Overheid (BIO).

De BIO bevat de minimale beveiligingsmaatregelen die nodig zijn voor een stabiele, veilige basis binnen de gemeente. Over de BIO en andere wet- en regelgeving dient jaarlijks verantwoording te worden afgelegd. De verantwoording gebundeld in de Eenduidige Normatiek Single Information Audit (ENSIA). Met ENSIA sluit de verantwoording aan op de reguliere planning- en controlcyclus van de gemeente. Wij leggen verantwoording af over de informatiebeveiliging door één geaudite collegeverklaring ENSIA inzake Informatiebeveiliging DigiD en Suwinet op te stellen.  

Wat hebben wij gedaan?
Voor het informatiebeveiligingsbeleid hebben wij het onderstaande uitgevoerd:

Verticale verantwoording
ENSIA structureert ook de verticale verantwoording richting de rijksoverheid (stelselhouders) over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet).
In 2021 hebben wij verantwoording afgelegd over de Informatiebeveiliging van het vorige jaar (2020) door één collegeverklaring (met verplichte bijlagen) inzake Informatiebeveiliging op te stellen. Over deze verklaring is medio 2021 na verplichte (her)audits een positieve verklaring door een RE-auditor afgegeven en zijn de stelselhouders, waaronder Binnenlandse Zaken/ Logius en Inspectie SoZaWe, hiervan in kennis gesteld.

Horizontale verantwoording
Via de reguliere planning- en control cyclus van de gemeente wordt verantwoording afgelegd aan de gemeenteraad;

  • In 2021 heeft er een organisatiebrede risico-inventarisatie en GAP-analyse plaatsgevonden met hieraan gekoppeld een concreet actieplan met verbeteracties.
  • Eveneens is in 2021 het Gemeentebreed Informatiebeveiligingsbeleid Maassluis vastgesteld en is het Handboek Informatieveiligheid en privacy, waarin de procedures op het gebied van personeel en organisatie, huisvesting en informatie en communicatietechnologie zijn opgenomen, geactualiseerd.
  • Ten aanzien van het vergroten van de bewustwording is in 2021 in verband met COVID- 19 door de CISO (chief information security officer) en de FG (functionaris gegevensbescherming) een beperkt aantal (digitale) bewustwordingssessies georganiseerd,  waarbij zowel aandacht is besteed aan informatiebeveiliging (met name thuiswerken) als privacy.
  • In 2021 is gestart met het verhogen van de digitale veiligheid (GGI- veilig) wat begin 2022 zal worden afgerond.

Algemene Verordening Gegevensbescherming (AVG)
De Algemene Verordening Gegevensbescherming (AVG) heeft tot doel om de bescherming van natuurlijke personen - en dan met name de verwerking van persoonsgegevens - te waarborgen.

Privacydocumenten
Begin oktober 2021 hebben wij voor de structurele borging van de Algemene Verordening Gegevensbescherming onderstaande documenten vastgesteld:

  • Het Privacybeleidskader gemeente Maassluis 2021
    In dit document wordt de privacy-governance beschreven; wie is waarvoor verantwoordelijk en op welke manier (beschrijven van processen en risico's)? En hoe alle eisen van de wet- en regelgeving (blijvend) kunnen worden nageleefd (naleving).
  • De Managementnotitie privacybeleid gemeente Maassluis 2021
    Dit is de toelichting op het Privacybeleidskader;
  • Het Werkplan Privacy gemeente Maassluis 2021/ 2022

Overzicht verwerkingen
Een van de onderdelen van de verantwoordingsplicht, die de gemeente in het kader van de AVG heeft, is het bijhouden van een register van verwerkingsactiviteiten, ook wel verwerkingsregister genoemd.
Het bestaande register is in 2021 geactualiseerd.  Nieuwe verwerkingen zijn toegevoegd en het register is uitgebreid met enkele items (convenant, DPIA en dataclassificatie).

Data protection impact assessment (DPIA)
Als een (beoogde) gegevensverwerking een hoog privacy-risico met zich meebrengt, dan dient er een zogeheten DPIA uitgevoerd te worden. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen om vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.

In 2021 is voor onderstaande verwerkingen een DPIA uitgevoerd:

  • Montr: applicatie voor internet rechercheren;
  • Proces Samenwerking Vrijwilligerswerk MVS.

Meldplicht datalekken
Datalekken en beveiligingsincidenten worden bij de gemeente Maassluis gemeld en geregistreerd in het meldingssysteem TOPdesk. Na aanmelding van een datalek draagt het Kernteam Informatiebeveiliging en Privacy - conform de betreffende procedure - zorg voor de afhandeling ervan. Indien noodzakelijk wordt er een melding gedaan bij de Autoriteit Persoonsgegevens (AP). Of een datalek gemeld moet worden bij de AP, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkene(n). Met andere woorden: een datalek moet gemeld worden bij de AP wanneer dit zou kunnen leiden tot een risico voor de rechten en vrijheden van betrokkene(n).

Meldingen 2021: totaal zes datalekken, waarvan vier zijn aangemeld bij de AP.

Wet politiegegevens (Wpg)
In het kader van de wetswijziging van de Wet Politiegegevens uit 2019 zijn ook de gegevensverwerkingen van ambtenaren met een bijzondere opsporingsbevoegdheid (BOA’s), wanneer zij met hun opsporingstaak bezig zijn, onder de reikwijdte van de Wpg gebracht. Daarmee zijn de BOA’s ook auditplichtig, volgens de “Regeling periodieke audit politiegegevens”. Dit houdt in dat de gemeente wettelijk verplicht is om elk jaar een interne audit en elke vier jaar een externe audit door een externe register auditor uit te (laten) voeren. De uitkomsten van deze audit moeten worden gezonden aan de Autoriteit Persoonsgegevens. In 2021 is het eerste jaar waarin deze externe audit verplicht is. Om gemeenten voldoende tijd te geven om dit zorgvuldig uit te voeren heeft de AP aangegeven dat eind 2022 de resultaten aangeleverd dienen te worden.
De gemeente is hier begin vierde kwartaal 2021 mee gestart en heeft hiervoor een nulmeting door de FG laten uitvoeren. Ook is een externe audit opgestart, die zal worden afgerond in 2022.

Deze pagina is gebouwd op 10/05/2022 17:05:57 met de export van 07/20/2022 11:59:52