Informatiebeveiliging en privacy (IB)
Gemeenten hebben te maken met verschillende dreigingen ten aanzien van de informatieveiligheid. Om de risico’s van deze dreigingen zo klein mogelijk te houden, hanteren we een informatiebeveiligingingsbeleid.
IB-beleid, doelstellingen en afspraken
Ons beleid richt zich op een continu verbeterende weerbaarheid tegen de hiervoor genoemde kwetsbaarheden. Een belangrijk doel is om de vitale informatie en de persoonsgegevens van onze burgers adequaat te beveiligen. Om dat te bereiken heeft het College van Burgemeester en Wethouders een op de BIO (Baseline Informatiebeveiliging Gemeenten) gebaseerd Informatiebeveiligingsbeleid vastgesteld, waarin de organisatie van informatiebeveiliging, het beleid, de uitgangspunten en de te nemen beheersmaatregelen zijn beschreven.
Algemeen beeld en resultaten 2020
Het aantal BIO-beheersmaatregelen is ook dit jaar weer als voldoende beoordeeld. Ook in 2020 is de Eenduidige Normatiek Single Information Audit (ENSIA) uitgevoerd, waarbij we met zelfevaluaties zowel intern als extern aantonen onze informatiebeveiliging op orde te hebben.
Collegeverklaring ENSIA inzake informatiebeveiliging DigiD en SUWInet
Onder de gemeentelijke doelstellingen vallen ook de afspraken die zijn gemaakt met het Ministerie van Sociale Zaken en Werkgelegenheid en Logius voor de ENSIA-verantwoording informatiebeveiliging (‘verticale verantwoording’). Deze afspraken gaan over respectievelijk het gebruik van SUWInet en de op DigiD aangesloten webapplicaties van de gemeente. De externe IT-auditor heeft vastgesteld dat we aan alle door SZW (Suwinet) en Logius (DigiD) gestelde normen voldoen. Dit heeft geresulteerd in een Assurance rapport, waarin de auditor aangeeft dat we per 31 december 2020 in opzet en bestaan voldoen aan deze geselecteerde normen.
Incidenten
Ondanks de getroffen maatregelen zijn er in het afgelopen jaar een aantal incidenten op het gebied van informatiebeveiliging geweest. Dankzij de getroffen maatregelen is de schade beperkt gebleven en zijn er geen nadelige gevolgen geweest voor de betrokkenen. Het gegeven dat er dit jaar twee gemeenten gehackt zijn, geeft aan dat we moeten blijven investeren op dit gebied. Het aantal datalekken was twaalf. De incidenten zijn afgehandeld via de procedure datalekken en er is in drie gevallen melding gemaakt bij de AP (Autoriteit Persoonsgegevens).