Paragraaf informatieveiligheid
Inleiding
De Gemeente Reimerswaal is een informatie-intensieve organisatie, primair gefocust op dienstverlening. De
medewerkers van de gemeente moeten kunnen beschikken over betrouwbare informatie om de klanten zo
optimaal mogelijk te kunnen helpen en adviseren. Burgers en bedrijven moeten erop kunnen vertrouwen dat
hun gegevens bij de gemeente in goede handen zijn.
Naast het nemen van beveiligingsmaatregelen is bescherming van privacy een belangrijk aspect. Hoewel dit
gezien kan worden als een afzonderlijk onderwerp met andere regelgeving, zijn beiden in de praktijk
onlosmakelijk verbonden. Om die reden is er gekozen voor een gecombineerde benadering onder de
noemer informatieveiligheid.
Informatieveiligheid is dus veel meer dan ICT. Het gaat in veel gevallen om de mens in de organisatie en de
manier waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn bestuurders
zich bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk gedrag) speelt in
de praktijk een steeds grotere, veelal zelfs een doorslaggevende, rol in het daadwerkelijk realiseren van
informatieveiligheid in de praktijk.
Privacy
De wettelijke basis van de bescherming van privacy valt af te leiden uit Europese richtlijnen en landelijke
wet- en regelgeving. De meest recente is de Algemene Verordening Gegevensbescherming (AVG). Deze is
op 25 mei 2018 van toepassing geworden. De Verordening is - anders dan de richtlijn uit 1995 - rechtstreeks
van toepassing in alle EU-lidstaten. Er geldt vanaf die datum dus nog maar één privacywet in de hele EU, in
plaats van 28 verschillende nationale wetten. Onderdeel van de Verordening is ook de plicht om datalekken
te melden. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding
moeten doen bij de Autoriteit Persoonsgegevens, zodra zij een ernstig datalek hebben. Ook moeten zij het
datalek melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris
gegevensbescherming (FG). De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens
(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.
De AVG brengt een aantal belangrijke verplichtingen met zich mee, zoals:
�
Een register van verwerkingen opstellen en actueel houden. In dit register zijn de gemeentelijke
verwerkingen
van
persoonsgegevens
opgenomen.
Ook
wordt
vermeld
met
welk
doel
de
persoonsgegevens worden verwerkt en aan wie deze persoonsgegevens beschikbaar zijn gesteld.
�
Het
afsluiten
van
verwerkersovereenkomsten
met
externe
partijen
die
namens
de
gemeente
persoonsgegevens verwerken.
�
Duidelijke communicatie over de rechten van betrokkenen, zoals het recht op inzage of klachtrecht,
dient vindbaar te zijn.
�
De
verwerkingen
die
er
zijn,
maar
ook
nieuwe
procedures/werkprocessen/applicaties,
waarbij
persoonsgegevens worden verwerkt, dienen geanalyseerd te worden op de privacy impact van de
verwerkingen en op ‘privacy by design’ en ‘privacy by default’.
De gemeente Reimerswaal heeft op basis van een stappenplan de voorwaarden en verplichtingen van de
Algemene Verordening Gegevensbescherming (AVG) inmiddels ingevoerd. Vanwege de verwevenheid van
onze organisatie met de Gemeenschappelijke regeling Samenwerking De Bevelanden (GR De Bevelanden)
wordt hierbij intensief samengewerkt met de deelnemende gemeenten en GR De Bevelanden in het
Deelnemersoverleg Privacy.
Op de Privacypagina op de website van de gemeente Reimerswaal is weergegeven op welke wijze de
gemeente Reimerswaal omgaat met de privacy van haar inwoners en andere betrokkenen en worden de
rechten die betrokkenen hebben nader toegelicht
Informatiebeveiliging
De organisatie van de informatiebeveiliging is vanaf 2020 gebaseerd op de Baseline Informatiebeveiliging
Overheid (BIO). Dit normenkader is van toepassing voor de gehele Nederlandse overheid.
De BIO
verschilt
in een
aantal opzichten van
zijn
voorganger,
de BIG
(Baseline Informatiebeveiliging
Nederlandse Gemeenten). De belangrijkste, in de praktijk meest merkbare, verschillen zijn:
�
Binnen de BIO wordt, op basis van generieke schade en bedreigingen, een onderscheid gemaakt in
drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit
een aantal controls (maatregelen) en een verantwoordings- en toezichtregime. Hoe hoger het
niveau, hoe hoger de potentiële impact.
�
Meer risicomanagement – Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem
het BBN.
�
�
Minder maatregelen – Er zijn bijna 60% minder maatregelen dan binnen de BIG het geval was.
Verplichte maatregelen – Een deel van de controls is uitgewerkt in verplichte maatregelen, omdat
deze voortvloeien uit wet- en regelgeving.
�
Toewijzing
van
maatregelen
op
eindverantwoordelijke
–
De
maatregelen
moeten
worden
toegewezen aan een eindverantwoordelijke.
�
Nieuwe inrichting ENSIA – Met de komst van de BIO is ook de wens om het aantal toetsen te
reduceren en om te zetten naar een Single Audit vervuld. Hier wordt bij gemeenten al invulling
aangegeven vanuit ENSIA.
De gemeente Reimerswaal heeft in 2021 het informatiebeveiligingsbeleid voor de jaren 2021 t/m 2024
vastgesteld op basis van de BIO. De gemeente hanteert een ambitieniveau waarbij wordt voldaan aan
voorgeschreven wet- en regelgeving. Het college van burgemeester en wethouders kan besluiten om
bepaalde (beveiligings)-maatregelen niet in te vullen en het risico dat daaruit voortvloeit als ‘geaccepteerd
risico’ te beschouwen. Zo nodig worden aanvullende maatregelen en/of procedures opgesteld om de
(beveiligings-)maatregelen te kunnen realiseren en/of de uitvoering daarvan te kunnen aantonen.
Verantwoordelijkheid
De gemeente heeft in de praktijk te maken met een aanzienlijk aantal samenwerkings- en ketenpartners,
dienstverleners en leveranciers etc. De vraag wie er actie moet ondernemen en/of wie er verantwoordelijk is
in het geval er zich een beveiligingsincident en/of datalek voordoet is niet in alle gevallen even duidelijk.
Hierover dienen goede afspraken gemaakt en ook vastgelegd te worden in (verwerkers-)overeenkomsten.
Inmiddels heeft de VNG een standaard verwerkersovereenkomst vastgesteld en is er ook bepaald dat vanaf
2020
deze
verwerkersovereenkomst
door
alle
gemeenten
in
alle
gevallen
wordt
toegepast,
tenzij
gemotiveerd hiervan af wordt geweken.
Verantwoording
De gemeente moet jaarlijks verantwoording afleggen over de kwaliteit van de informatieveiligheid van
diverse informatiesystemen via ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA gaat vanaf
2020 uit van het normenkader van de BIO en vervangt de afzonderlijke verantwoordingsprocedures voor de
Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD),
Basisregistratie
Adressen
en
Gebouwen
(BAG),
Basisregistratie
Grootschalige
Topografie
(BGT),
de
Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).
Met ENSIA verantwoordt de gemeente zich ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de
gemeentelijke planning en control-cyclus. Het gemeentebestuur krijgt hierdoor meer inzicht in de stand van
zaken van de informatieveiligheid van de gemeente.
De wettelijke verantwoordingsplicht is niet in alle gevallen ook direct van toepassing voor organisaties die
activiteiten voor, of namens, de gemeente uitvoeren. Indirect mag de gemeente echter wel verlangen dat er
door deze organisaties op dezelfde basis met informatieveiligheid en privacy omgegaan wordt als binnen de
eigen organisatie. Hierover zullen met deze organisaties afspraken worden gemaakt.
Implementaties en beheer
Hoewel er overlap is met de AVG, betreft informatiebeveiliging ook totaal verschillende aspecten die een
bepaald
kennisniveau
en
expertise
vereisen.
Op
advies
van
de
Informatie
Beveiligingsdienst
voor
Nederlandse Gemeenten (IBD) zijn er functionarissen aangesteld die op dit gebied een rol hebben en over
alle aspecten die met informatieveiligheid te maken hebben kunnen adviseren en het complete spectrum
aan informatieveiligheid kunnen overzien en coördineren. Dit zijn de CISO (Chief Information Security
Officer) en de coördinator ENSIA.
Bijzondere
aandachtspunten
bij
de
implementatie
van
de
BIO
zijn
de
rol
en
positie
van
de
Gemeenschappelijke Regeling samenwerking De Bevelanden (GR De Bevelanden). Enerzijds zal de GR
voor
haar
eigen
organisatie
zelf
de
vereiste
maatregelen
moeten
implementeren,
anderzijds
zijn
de
deelnemende gemeenten voor zowel de BIO, ENSIA en AVG voor een deel afhankelijk van de invulling van
bepaalde
maatregelen
(ICT,
P&O)
door
de
GR.
Om
deze
vorm
te
geven
is
binnen
het
team
informatievoorziening van ICT-GR een projectleider informatieveiligheid benoemd.
Overleg
Voor het implementeren van de BIO, ENSIA en AVG en het bewerkstelligen van bewustwording in onze
eigen organisatie is er een interne werkgroep operationeel, de werkgroep Informatieveiligheid Reimerswaal.
Overleg, over de onderdelen die samen met de andere Bevelandse gemeenten en/of GR De Bevelanden
opgepakt worden, vindt plaats in het Deelnemersoverleg Informatiebeveiliging en het Deelnemers Overleg
Privacy. Dit is een regionale werkgroep die de regiegroep van de GR op dit gebied informeert en adviseert.
Ervaringen en ontwikkelingen
De implementaties (en daarna het beheer) van de AVG, beveiligingsmaatregelen in het algemeen (BIO) en
ENSIA hebben de nodige impact op de organisatie.
Voor wat betreft ENSIA is de verwachting dat de verantwoordingslast hierdoor zou dalen vooralsnog niet
waargemaakt. Ervaren wordt dat deze, ondanks de bundeling en het weghalen van dubbele vragen (aantal
vragen), alleen maar is toegenomen en dat het leveren van alle documenten die een auditor als bewijslast
opvraagt bijzonder fors is. Verder is er nog steeds geen sprake van een ‘alles in 1’-systeem. Voor bepaalde
onderdelen moeten, naast de vragen van de ENSIA-systematiek, nog aparte lijsten worden geleverd. De in
2018 op basis van een evaluatie doorgevoerde wijzigingen in de vragenlijsten hebben hier vooralsnog geen
verbetering in gebracht.
Agenda Digitale Veiligheid 2020-2024
In mei 2020 heeft de VNG de Agenda Digitale Veiligheid 2020-2024 gepubliceerd. Deze agenda biedt via
10 actielijnen handelingsperspectief voor de bestuurlijke praktijk. De VNG ondersteunt hiermee gemeenten
bij
de
beveiliging
van
hun
informatiesystemen
en
de
gegevens
over
inwoners
en
ondernemers.
De
hoofdonderwerpen zijn: bewustwording, governance, risicogericht handelen en werken als één overheid. De
actielijnen
zijn
onder
deze
onderwerpen
verder
uitgewerkt. De
Agenda
biedt
ook
handvatten
bij
het
voorkomen en oplossen van cyberincidenten. Dit proces is continu in beweging.
Incidenten
Er zijn in 2021 vanuit de organisatie enkele beveiligingsincidenten zoals (mogelijke) datalekken gemeld.
Deze
meldingen
zijn
door
de
FG
en/of
CISO
beoordeeld,
geregistreerd
en
afgestemd
met
de
gemeentesecretaris. In totaal zijn er bij de FG in 2021 13 datalekken gemeld. Bij 3 incidenten heeft er in
2021 een melding plaats gevonden bij de Autoriteit Persoonsgegevens (AP), maar de AP heeft hier verder
geen vervolgacties voor ingezet of geadviseerd.
Eind 2021 werd een ernstige kwetsbaarheid ontdekt in apache log4j. Dit is software die veel gebruikt wordt
in webapplicaties en allerlei andere systemen. Dit leverde een wereldwijde dreiging op misbruik op. In
overleg met de IBD hebben ICT-GR en de CISO’s van de Bevelandse gemeenten de ontwikkelingen
gevolgd en waar nodig en waar mogelijk actie ondernomen om de kwetsbaarheid in beeld te brengen en
ongedaan te maken. Voor zover bekend heeft deze situatie binnen de Bevelanden tot op heden niet geleid
tot misbruik.
Collegeverklaring ENSIA inzake informatiebeveiliging DigiD en SUWInet
Met deze verklaring geeft het college van B&W aan in hoeverre de beheersmaatregelen bij de gemeente
voldoen aan de voor de ENSIA-verantwoording geselecteerde normen en – indien aan de orde – welke
onderdelen daarvan zijn uitgezonderd. Ook wordt melding gemaakt van eventuele verbetermaatregelen die
de gemeente gaat treffen. De collegeverklaring wordt gezamenlijk met een door de EDP-auditor opgestelde
verklaring (Assurancerapport) separaat van het jaarverslag aangeboden aan de gemeenteraad.
Audit Wet Politiegegevens
De verwerking
van
persoonsgegevens
door
BOA’s
viel
tot
25 mei 2018
onder
de Wet bescherming
persoonsgegevens (Wbp). Door de komst van de AVG valt de verwerking van persoonsgegevens rondom
strafbare feiten onder een andere Europese wet, namelijk EU-Richtlijn 2016/680. Deze richtlijn is omgezet in
de Wet politiegegevens (Wpg), aangevuld met het Bpg (Besluit politiegegevens), en is sinds 1 januari 2019
van kracht.
Bepaald is dat eens per vier jaar een externe IT-audit plaats moet vinden, te beginnen twee jaar na
inwerkingtreding van de wet (2019). Daarnaast moet er tenminste jaarlijks een interne IT-audit uitgevoerd
worden. De wet geeft aan dat we één of meerdere interne auditors moeten opleiden.
De externe audit moest volgens de Wet politiegegevens (Wpg) vóór 1-1-2022 door onze gemeente worden
verricht en diende gebaseerd te zijn op een uitgevoerde interne audit. De Autoriteit Persoonsgegevens (AP)
heeft echter als toezichthouder aangegeven dat, gelet op de aanzienlijke implementatie en uitvoering bij alle
gemeenten in Nederland, de deadline voor het aanleveren van het eerste auditrapport is verschoven naar
31 december 2022. Hier speelt ook mee dat het aanbod van externe auditors op dit moment zeer beperkt is
vanwege capaciteitsgebrek.
De communicatie richting gemeenten over de verplichting tot het uitvoeren van de interne en externe audits
heeft relatief laat in 2021 plaatsgevonden. Mede daardoor is pas eind 2021 gestart met het opstellen van
een implementatieplan. Er is een werkgroep gevormd die de audits verder moet voorbereiden en laten
uitvoeren.
Disclaimer
100% veiligheid bestaat niet. Doel is dat iedereen in de organisatie het voor hen relevante beleid op het
gebied van informatieveiligheid kent en zich bewust is waar hij of zij een rol kan spelen bij het verkleinen van
de risico’s in relatie tot informatieveiligheid. Vanaf februari 2020 wordt dit mede ondersteund door een e-
learning omgeving die beschikbaar gesteld is aan alle medewerk(st)ers en bestuurders van de Bevelandse
gemeenten en GR De Bevelanden. Vanaf het 1e kwartaal 2022 is het volgen van een aantal modules
verplicht gesteld en wordt de communicatie over informatieveiligheid geïntensiveerd.