Paragraaf informatieveiligheid

Inleiding

De gemeente Reimerswaal is een informatie-intensieve organisatie, primair gefocust op dienstverlening. De

medewerkers van de gemeente moeten kunnen beschikken over betrouwbare informatie om de klanten zo

optimaal mogelijk te kunnen helpen en adviseren. Burgers en bedrijven moeten erop kunnen vertrouwen dat

hun gegevens bij de gemeente in goede handen zijn.

Naast het nemen van beveiligingsmaatregelen, is bescherming van privacy een belangrijk aspect. Hoewel dit

gezien kan worden als een afzonderlijk onderwerp ten opzichte van andere regelgeving, zijn beiden in de

praktijk onlosmakelijk verbonden. Om die reden is er in deze begroting gekozen voor een gecombineerde

benadering onder de noemer informatieveiligheid.

Informatieveiligheid is dus veel meer dan ICT. Het gaat in veel gevallen om de mens in de organisatie en de

manier waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn bestuurders

zich bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk gedrag) speelt in

de praktijk een steeds grotere, veelal zelfs een doorslaggevende, rol in het daadwerkelijk realiseren van

informatieveiligheid.

Privacy

De wettelijke basis van de bescherming van privacy is af te leiden uit Europese richtlijnen en landelijke wet-

en regelgeving. De meest recente is de Algemene Verordening Gegevensbescherming (AVG). Deze is op

25 mei 2018 van toepassing geworden. Deze Verordening is - anders dan de richtlijn uit 1995 - rechtstreeks

van toepassing in alle EU-lidstaten. Er geldt vanaf die datum dus nog maar één privacywet in de hele EU, in

plaats van 28 verschillende nationale wetten. Onderdeel van de verordening is ook de plicht om datalekken

te melden. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding

moeten doen bij de Autoriteit Persoonsgegevens, zodra zij een ernstig datalek hebben. Ook moeten zij het

datalek melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris

gegevensbescherming. De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens

(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.

De AVG brengt een aantal belangrijke verplichtingen met zich mee, zoals:

Een register van verwerkingen opstellen en actueel houden. In dit register zijn de gemeentelijke

verwerkingen

van

persoonsgegevens

opgenomen.

Ook

wordt

vermeld

met

welk

doel

de

persoonsgegevens worden verwerkt en aan wie deze persoonsgegevens beschikbaar zijn gesteld.

Het

afsluiten

van

verwerkersovereenkomsten

met

externe

partijen

die

namens

de

gemeente

persoonsgegevens verwerken.

Duidelijke communicatie over de rechten van betrokkenen, zoals het recht op inzage of klachtrecht,

dient vindbaar te zijn.

De

verwerkingen

die

er

zijn,

maar

ook

nieuwe

procedures/werkprocessen/applicaties,

waarbij

persoonsgegevens worden verwerkt, dienen geanalyseerd te worden op de privacy impact van de

verwerkingen en op privacy by design en privacy by default.

De gemeente Reimerswaal heeft op basis van een stappenplan de voorwaarden en verplichtingen van de

Algemene Verordening Gegevensbescherming (AVG)

ingevoerd. Vanwege de verwevenheid van onze

organisatie met GR De Bevelanden wordt hierbij intensief samengewerkt met de deelnemende gemeenten

en de GR in het Deelnemersoverleg Privacy.

Op de Privacypagina op de website van de gemeente Reimerswaal is weergegeven op welke wijze de

gemeente Reimerswaal omgaat met de privacy van haar inwoners en andere betrokkenen en worden de

rechten die betrokkenen hebben nader toegelicht.

Informatiebeveiliging

De organisatie van de informatiebeveiliging is vanaf 2020 gebaseerd op de Baseline Informatiebeveiliging

Overheid (BIO). Dit normenkader is van toepassing voor de gehele Nederlandse overheid.

De belangrijkste kenmerken van de BIO zijn:

Binnen de BIO wordt, op basis van generieke schade en bedreigingen, een onderscheid gemaakt in

drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit

een aantal controls (maatregelen) en een verantwoordings- en toezichtregime. Hoe hoger het

niveau, hoe hoger de potentiële impact.

Risicomanagement – Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem het

BBN.

Een deel van de controls is uitgewerkt in verplichte maatregelen, omdat deze voortvloeien uit wet- en

regelgeving.

Toewijzing

van

maatregelen

op

eindverantwoordelijke

–

De

maatregelen

moeten

worden

toegewezen aan een eindverantwoordelijke.

De gemeente Reimerswaal hanteert een ambitieniveau waarbij wordt voldaan aan voorgeschreven wet- en

regelgeving.

Het

college

van

burgemeester

en

wethouders

kan

besluiten

om

bepaalde

(beveiligings-)maatregelen niet in te vullen en het risico dat daaruit voortvloeit als ‘geaccepteerd risico’ te

beschouwen.

Zo

nodig

worden

aanvullende

maatregelen

en/of

procedures

opgesteld

om

de

(beveiligings-)maatregelen te kunnen realiseren en/of de uitvoering daarvan te kunnen aantonen.

Verantwoordelijkheid

De gemeente heeft in de praktijk te maken met een aanzienlijk aantal samenwerkings- en ketenpartners,

dienstverleners

en

leveranciers

et

cetera.

De

vraag

wie

er

actie

moet

ondernemen

en/of

wie

er

verantwoordelijk is in het geval er zich een beveiligingsincident en/of datalek voordoet is niet in alle gevallen

even

duidelijk.

Hierover

dienen

goede

afspraken

gemaakt

en

ook

vastgelegd

te

worden

in

(verwerkers-)overeenkomsten. Inmiddels heeft de VNG een standaard verwerkersovereenkomst vastgesteld

en is er ook bepaald dat vanaf 2020 deze verwerkersovereenkomst door alle gemeenten in alle gevallen

wordt toegepast, tenzij gemotiveerd hiervan af wordt geweken.

Verantwoording

De gemeente moet jaarlijks verantwoording afleggen over de kwaliteit van de informatieveiligheid van

diverse informatiesystemen via ENSIA (Eenduidige Normatiek Single Information Audit). Deze omvat de

Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD),

Basisregistratie

Adressen

en

Gebouwen

(BAG),

Basisregistratie

Grootschalige

Topografie

(BGT),

de

Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).

Met ENSIA verantwoordt de gemeente zich ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de

gemeentelijke planning en control-cyclus. Het gemeentebestuur krijgt hierdoor meer inzicht in de stand van

zaken van de informatieveiligheid van de gemeente.

De wettelijke verantwoordingsplicht is niet in alle gevallen ook direct van toepassing voor organisaties die

activiteiten voor, of namens, de gemeente uitvoeren. Indirect mag de gemeente echter wel verlangen dat er

door deze organisaties op dezelfde basis met informatieveiligheid en privacy omgegaan wordt als binnen de

eigen organisatie. Hierover worden met deze organisaties afspraken gemaakt.

Implementaties en beheer

Hoewel er overlap is met de AVG, betreft informatiebeveiliging ook totaal verschillende aspecten die een

bepaald

kennisniveau

en

expertise

vereisen.

Op

advies

van

de

Informatie

Beveiligingsdienst

voor

Nederlandse Gemeenten (IBD) zijn er functionarissen aangesteld die op dit gebied een rol hebben en over

alle aspecten die met informatieveiligheid te maken hebben kunnen adviseren en het complete spectrum

aan informatieveiligheid kunnen overzien en coördineren. Dit zijn de CISO (Chief Information Security

Officer) en de coördinator ENSIA.

Bijzondere

aandachtspunten

bij

de

implementatie

van

de

BIO

zijn

de

rol

en

positie

van

de

GR

De

Bevelanden. Enerzijds zal deze GR voor haar eigen organisatie zelf de vereiste maatregelen moeten

implementeren, anderzijds zijn de deelnemende gemeenten voor zowel de BIO, ENSIA en AVG voor een

deel afhankelijk van de invulling van bepaalde maatregelen (ICT, P&O) door GR De Bevelanden. Om deze

vorm te geven, is binnen het team informatievoorziening van ICT-GR een projectleider informatieveiligheid

benoemd.

Overleg

Voor het implementeren van de BIO, ENSIA en AVG en het bewerkstelligen van bewustwording in onze

eigen organisatie is er een interne werkgroep operationeel, de werkgroep Informatieveiligheid Reimerswaal.

Overleg, over de onderdelen die samen met de andere Bevelandse gemeenten en/of GR De Bevelanden

opgepakt worden, vindt plaats in het Deelnemersoverleg Informatiebeveiliging en het Deelnemers Overleg

Privacy. Dit zijn regionale werkgroepen die de regiegroep van GR De Bevelanden op dit gebied informeert

en adviseert.

Ervaringen en ontwikkelingen

De implementaties en het beheer) van de AVG, beveiligingsmaatregelen in het algemeen (BIO) en ENSIA

hebben de nodige impact op de organisatie.

Voor wat betreft ENSIA is de verwachting dat de verantwoordingslast hierdoor zou dalen vooralsnog niet

waargemaakt. Ervaren wordt dat deze, ondanks de bundeling en het weghalen van dubbele vragen (aantal

vragen), alleen maar is toegenomen en dat het leveren van alle documenten die een auditor als bewijslast

opvraagt bijzonder fors is. Verder is er nog steeds geen sprake van een ‘alles in 1’- systeem. Voor bepaalde

onderdelen moeten, naast de vragen van de ENSIA-systematiek, nog aparte lijsten worden geleverd. Met

ingang van 1 juli 2021 kan er gebruik gemaakt worden van een nieuw hulpprogramma. Of dit de gewenste

vereenvoudiging oplevert zal de ervaring moeten leren.

In mei 2020 heeft de VNG de Agenda Digitale Veiligheid 2020-2024 gepubliceerd. Deze agenda biedt via

10 actielijnen

een

handelingsperspectief

voor

de

bestuurlijke

praktijk.

De

VNG

ondersteunt

hiermee

gemeenten bij de beveiliging van hun informatiesystemen en de gegevens over inwoners en ondernemers.

De hoofdonderwerpen zijn: bewustwording, governance, risicogericht handelen en werken als één overheid.