Paragraaf informatieveiligheid
Inleiding
De Gemeente Reimerswaal is een informatie-intensieve organisatie, primair gefocust op dienstverlening. De
medewerkers van de gemeente moeten kunnen beschikken over betrouwbare informatie om de klanten zo
optimaal mogelijk te kunnen helpen en adviseren. Burgers en bedrijven moeten erop kunnen vertrouwen dat
hun gegevens bij de gemeente in goede handen zijn.
Naast het nemen van beveiligingsmaatregelen is bescherming van privacy een belangrijk aspect. Hoewel dit
gezien kan worden als een afzonderlijk onderwerp met andere regelgeving, zijn beiden in de praktijk
onlosmakelijk verbonden. Om die reden is er gekozen voor een gecombineerde benadering onder de
noemer informatieveiligheid.
Informatieveiligheid is dus veel meer dan ICT. Het gaat in veel gevallen om de mens in de organisatie en de
manier waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn bestuurders
zich bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk gedrag) speelt in
de praktijk een steeds grotere, veelal zelfs een doorslaggevende, rol in het daadwerkelijk realiseren van
informatieveiligheid in de praktijk.
Privacy
De wettelijke basis van de bescherming van privacy valt af te leiden uit Europese richtlijnen en landelijke
wet- en regelgeving. De belangrijkste is de Algemene Verordening Gegevensbescherming (AVG). Deze is
op 25 mei 2018 van toepassing geworden. De Verordening is rechtstreeks van toepassing in alle EU-
lidstaten.
Er
geldt
vanaf
die
datum
dus
nog
maar
één
privacywet in
de
hele
EU, in
plaats
van
27
verschillende nationale wetten.
Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris
gegevensbescherming (FG). De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens
(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.
De AVG brengt een aantal belangrijke verplichtingen met zich mee, zoals:
� Een register van verwerkingen opstellen en actueel houden. In dit register zijn de gemeentelijke
verwerkingen
van
persoonsgegevens
opgenomen.
Tevens
wordt
vermeld
met
welk
doel
de
�
persoonsgegevens worden verwerkt en aan wie deze persoonsgegevens beschikbaar zijn gesteld.
Het afsluiten van verwerkersovereenkomsten met externe partijen die namens de gemeente
�
persoonsgegevens verwerken.
Duidelijke communicatie over
de
rechten
van
betrokkenen,
zoals
het
recht
op
inzage
of
�
dataportabiliteit, dient vindbaar te zijn.
De verwerkingen die er zijn, maar ook
nieuwe
procedures/werkprocessen/applicaties,
waarbij
persoonsgegevens worden verwerkt, dienen geanalyseerd te worden op de privacy-impact van de
verwerkingen en op privacy by design en privacy by default.
De gemeente Reimerswaal werkt volgens de voorwaarden en verplichtingen van de Algemene Verordening
Gegevensbescherming
(AVG).
Vanwege
de
verwevenheid
van
onze
organisatie
met
de
Gemeenschappelijke regeling Samenwerking De Bevelanden (GR De Bevelanden) wordt hierbij intensief
samengewerkt met de deelnemende gemeenten en GR De Bevelanden in het Deelnemersoverleg Privacy.
Op de Privacypagina op de website van de gemeente Reimerswaal is weergegeven op welke wijze de
gemeente Reimerswaal omgaat met de privacy van haar inwoners en andere betrokkenen.
Informatiebeveiliging
Vanaf 1 januari 2020 is de
Baseline Informatiebeveiliging Overheid (BIO) van kracht.
Deze dient als
vervanging van de BIR (Baseline Informatiebeveiliging Rijksdienst), de BIG (Baseline Informatiebeveiliging
BIO
alle
gemeentelijke
informatieprocessen.
Hieronder
vallen
zowel
de
ambtelijke
als
bestuurlijke
informatieprocessen. De gemeente Reimerswaal hanteert een ambitieniveau waarbij wordt voldaan aan
voorgeschreven wet- en regelgeving en conformeert zich daarbij aan landelijke regelgeving. De BIO legt
meer nadruk op risicomanagement dan de BIG, die meer ging over specifieke maatregelen. De rol van de
proceseigenaar en lijnmanager is ten aanzien van risicomanagement explicieter dan de BIG aangaf.
Verantwoordelijkheid
De gemeente heeft in de praktijk te maken met een aanzienlijk aantal samenwerkings- en ketenpartners,
dienstverleners en leveranciers etc. De vraag wie er actie moet ondernemen en/of wie er verantwoordelijk is
in het geval er zich een beveiligingsincident en/of datalek voordoet is niet in alle gevallen even duidelijk.
Hierover zijn afspraken gemaakt en deze zijn vastgelegd in (verwerkers)overeenkomsten.
Verantwoording
De gemeente moet jaarlijks verantwoording afleggen over de kwaliteit van de informatieveiligheid van
diverse informatiesystemen via ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA gaat uit van
het
normenkader
van
de
BIO
en
vervangt
de
afzonderlijke
verantwoordingsprocedures
voor
de
Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD),
Basisregistratie
Adressen
en
Gebouwen
(BAG),
Basisregistratie
Grootschalige
Topografie
(BGT),
Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).
Met ENSIA verantwoordt de gemeente zich ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de
gemeentelijke planning en control-cyclus. Het gemeentebestuur krijgt hierdoor meer inzicht in de stand van
zaken van de informatieveiligheid van de gemeente.
De wettelijke verantwoordingsplicht is niet in alle gevallen ook direct van toepassing voor organisaties die
activiteiten voor, of namens de gemeente uitvoeren. Indirect mag de gemeente echter wel verlangen dat er
door deze organisaties op dezelfde basis met informatieveiligheid en privacy omgegaan wordt als binnen de
eigen organisatie. Hierover zullen met deze organisaties afspraken worden gemaakt.
Implementaties en beheer
Hoewel er overlap is met de AVG, betreft informatiebeveiliging ook totaal verschillende aspecten die een
bepaald
kennisniveau
en
expertise
vereisen.
Op
advies
van
de
Informatie
Beveiligingsdienst
voor
Nederlandse Gemeenten (IBD) zijn er functionarissen aangesteld die op dit gebied een rol hebben en voor
alle aspecten die met informatieveiligheid te maken hebben kunnen adviseren en in samenwerking met de
Functionaris Gegevensbescherming (FG) het complete spectrum aan informatieveiligheid kunnen overzien
en coördineren. Dit zijn de Chief Information Security Officer (CISO) en de coördinator ENSIA.
Bijzondere
aandachtspunten
bij
de
implementatie
van
de
BIO,
zijn
de
rol
en
positie
van
de
Gemeenschappelijke Regeling samenwerking De Bevelanden (GR De Bevelanden). Enerzijds zal de GR
voor
haar
eigen
organisatie
zelf
de
vereiste
maatregelen
moeten
implementeren,
anderzijds
zijn
de
deelnemende gemeenten voor zowel de BIO, ENSIA als AVG voor een deel afhankelijk van de invulling van
bepaalde
maatregelen
(ICT,
P&O)
door
de
GR.
Om
dit
vorm
te
geven
is
binnen
het
team
informatievoorziening van ICT-GR een projectleider informatieveiligheid benoemd.
Overleg
Voor het implementeren van de BIO, ENSIA en AVG en het bewerkstelligen van bewustwording in onze
eigen organisatie is er een interne werkgroep operationeel, de werkgroep Informatieveiligheid Reimerswaal.
Overleg over de onderdelen die samen met de andere Bevelandse gemeenten en/of GR De Bevelanden
opgepakt worden vindt plaats in het Deelnemersoverleg Informatiebeveiliging en het Deelnemers Overleg
Privacy. Dit is een regionale werkgroep die de regiegroep van de GR op dit gebied informeert en adviseert.
Verder is er een Zeeuws overleg waarin kennis en ervaringen op het gebied van informatiebeveiliging en
privacy gedeeld worden.
Ervaringen en ontwikkelingen
De implementaties (en daarna het beheer) van de AVG, beveiligingsmaatregelen in het algemeen (BIO) en
ENSIA hebben de nodige impact op de organisatie.
Voor wat betreft ENSIA is de verwachting dat de verantwoordingslast hierdoor zou dalen vooralsnog niet
waargemaakt. Ervaren wordt dat deze ondanks de bundeling en het weghalen van dubbele vragen (aantal
vragen) alleen maar is toegenomen en dat het leveren van alle documenten die een auditor als bewijslast
opvraagt bijzonder fors is. Verder is er nog steeds geen sprake van een ‘alles in 1’- systeem. Voor bepaalde
onderdelen moeten, naast de vragen van de ENSIA-systematiek, nog aparte lijsten worden geleverd.
Gemeenten kunnen vanaf het volgende verantwoordingsjaar gebruik van een nieuwe ENSIA-tool. Hopelijk
levert dit de toegezegde verbetering op.
Incidenten
Er zijn in 2020 vanuit de organisatie enkele beveiligingsincidenten zoals (mogelijke) datalekken gemeld.
Deze
meldingen
zijn
door
de
FG
en/of
CISO
beoordeeld,
geregistreerd
en
afgestemd
met
de
gemeentesecretaris.
Bij
1
incident
heeft
er
in
2020
een
melding
plaats
gevonden
bij
de
Autoriteit
Persoonsgegevens (AP), maar de AP heeft hier verder geen vervolgacties voor ingezet of geadviseerd.
Collegeverklaring ENSIA inzake informatiebeveiliging DigiD en SUWInet
Met deze verklaring geeft het college van B&W aan in hoeverre de beheersmaatregelen bij de gemeente
voldoen aan de voor de ENSIA-verantwoording geselecteerde normen en – indien aan de orde – welke
onderdelen daarvan zijn uitgezonderd. Ook wordt melding gemaakt van eventuele verbetermaatregelen die
de gemeente gaat treffen. De collegeverklaring wordt gezamenlijk met een door de EDP-auditor opgestelde
verklaring (Assurancerapport) separaat van het jaarverslag aangeboden aan de gemeenteraad.
Disclaimer
100% veiligheid bestaat niet. Doel is dat iedereen in de organisatie het voor hen relevante beleid op het
gebied van informatieveiligheid kent en zich bewust is waar hij of zij een rol kan spelen bij het verkleinen van
de risico’s in relatie tot informatieveiligheid. Vanaf februari 2020 wordt dit mede ondersteund door een e-
learning omgeving die beschikbaar gesteld is aan alle medewerk(st)ers en bestuurders van de Bevelandse
gemeenten en GR De Bevelanden.