Paragraaf informatieveiligheid
Inleiding
De gemeente Reimerswaal is een informatie-intensieve organisatie, primair gefocust op dienstverlening. De
medewerkers van de gemeente moeten kunnen beschikken over betrouwbare informatie om de klanten zo
optimaal mogelijk te kunnen helpen en adviseren. Inwoners en bedrijven moeten erop kunnen vertrouwen
dat hun gegevens bij de gemeente in goede handen zijn.
Naast het nemen van beveiligingsmaatregelen, is bescherming van privacy een belangrijk aspect. Hoewel dit
gezien kan worden als een afzonderlijk onderwerp vanwege andere regelgeving, zijn beiden in de praktijk
onlosmakelijk
verbonden.
Om
die
reden
is
er
in
deze
begroting
gekozen
voor
een
gecombineerde
benadering onder de noemer informatieveiligheid.
Informatieveiligheid is dus veel meer dan ICT. Het gaat in veel gevallen om de mens in de organisatie en de
manier waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn bestuurders
zich bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk gedrag) speelt in
de praktijk een steeds grotere, veelal zelfs een doorslaggevende, rol in het daadwerkelijk realiseren van
informatieveiligheid.
Privacy
De wettelijke basis van de bescherming van privacy is af te leiden uit Europese richtlijnen en landelijke wet-
en regelgeving.
Het meest bekend is
de
Algemene Verordening
Gegevensbescherming (AVG). Deze
Verordening is rechtstreeks van toepassing in alle EU-lidstaten. Onderdeel van de verordening is ook de
plicht om datalekken te melden. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden)
direct een melding moeten doen bij de Autoriteit Persoonsgegevens, zodra zij een ernstig datalek hebben.
Ook moeten zij het datalek melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn
gelekt).
Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris
gegevensbescherming. De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens
(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.
De AVG brengt een aantal belangrijke verplichtingen met zich mee, zoals:
�
Een register van verwerkingen opstellen en actueel houden. In dit register zijn de gemeentelijke
verwerkingen
van
persoonsgegevens
opgenomen.
Ook
wordt
vermeld
met
welk
doel
de
persoonsgegevens worden verwerkt en aan wie deze persoonsgegevens beschikbaar zijn gesteld.
�
Het
afsluiten
van
verwerkersovereenkomsten
met
externe
partijen
die
namens
de
gemeente
persoonsgegevens verwerken.
�
Duidelijke communicatie over de rechten van betrokkenen, zoals het recht op inzage of klachtrecht,
dient vindbaar te zijn.
�
De
verwerkingen
die
er
zijn,
maar
ook
nieuwe
procedures/werkprocessen/applicaties,
waarbij
persoonsgegevens worden verwerkt, dienen geanalyseerd te worden op de privacy impact van de
verwerkingen en op privacy by design en privacy by default.
De gemeente Reimerswaal heeft op basis van een stappenplan de voorwaarden en verplichtingen van de
Algemene Verordening Gegevensbescherming (AVG)
ingevoerd. Vanwege de verwevenheid van onze
organisatie met GR De Bevelanden wordt hierbij intensief samengewerkt met de deelnemende gemeenten
en de GR in het Deelnemersoverleg Privacy.
Op de Privacypagina op de website van de gemeente Reimerswaal is weergegeven op welke wijze de
gemeente Reimerswaal omgaat met de privacy van haar inwoners en andere betrokkenen en worden de
rechten die betrokkenen hebben nader toegelicht.
Bij gemeenten worden politiegegevens gebruikt door BOA’s ten behoeve van de verschillende gemeentelijke
toezichtstaken. Vanaf 2019 moet hierover jaarlijks een interne privacy-audit plaatsvinden op grond van de
Wet
Politiegegevens
(WPG).
Over
2021
moet
daarnaast
voor
het
eerst
een
externe
privacy-audit
plaatsvinden. Deze is uitgevoerd in 2022.
Informatiebeveiliging
De organisatie van de informatiebeveiliging is vanaf 2020 gebaseerd op de Baseline Informatiebeveiliging
Overheid (BIO). Dit normenkader is van toepassing voor de gehele Nederlandse overheid.
De belangrijkste kenmerken van de BIO zijn:
�
Binnen de BIO wordt, op basis van generieke schade en bedreigingen, een onderscheid gemaakt in
drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit
een aantal controls (maatregelen) en een verantwoordings- en toezichtregime. Hoe hoger het
niveau, hoe hoger de potentiële impact.
�
Risicomanagement – Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem het
BBN.
�
Een deel van de controls is uitgewerkt in verplichte maatregelen, omdat deze voortvloeien uit wet- en
regelgeving.
�
Toewijzing van maatregelen op eindverantwoordelijke – De maatregelen moeten worden
toegewezen aan een eindverantwoordelijke.
De gemeente Reimerswaal hanteert een ambitieniveau waarbij wordt voldaan aan voorgeschreven wet- en
regelgeving. Het college van burgemeester en wethouders kan besluiten om bepaalde
(beveiligings-)maatregelen niet in te vullen en het risico dat daaruit voortvloeit als ‘geaccepteerd risico’ te
beschouwen. Hiervan is tot op heden nog geen gebruik gemaakt. Zo nodig worden aanvullende maatregelen
en/of procedures opgesteld om de (beveiligings-)maatregelen te kunnen realiseren en/of de uitvoering
daarvan te kunnen aantonen.
Verantwoordelijkheid
De gemeente heeft in de praktijk te maken met een aanzienlijk aantal samenwerkings- en ketenpartners,
dienstverleners
en
leveranciers
et
cetera.
De
vraag
wie
er
actie
moet
ondernemen
en/of
wie
er
verantwoordelijk is in het geval er zich een beveiligingsincident en/of datalek voordoet is niet in alle gevallen
even
duidelijk.
Hierover
dienen
goede
afspraken
gemaakt
en
ook
vastgelegd
te
worden
in
(verwerkers-)overeenkomsten. Inmiddels heeft de VNG een standaard verwerkersovereenkomst vastgesteld
en is er ook bepaald dat vanaf 2020 deze verwerkersovereenkomst door alle gemeenten in alle gevallen
wordt toegepast, tenzij gemotiveerd hiervan af wordt geweken.
Verantwoording
De gemeente moet jaarlijks verantwoording afleggen over de kwaliteit van de informatieveiligheid van
diverse informatiesystemen via ENSIA (Eenduidige Normatiek Single Information Audit). Deze omvat de
Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD),
Basisregistratie
Adressen
en
Gebouwen
(BAG),
Basisregistratie
Grootschalige
Topografie
(BGT),
de
Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).
Met ENSIA verantwoordt de gemeente zich ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de
gemeentelijke planning en control-cyclus. Het gemeentebestuur krijgt hierdoor meer inzicht in de stand van
zaken van de informatieveiligheid van de gemeente.
De wettelijke verantwoordingsplicht is niet in alle gevallen ook direct van toepassing voor organisaties die
activiteiten voor, of namens, de gemeente uitvoeren. Indirect mag de gemeente echter wel verlangen dat er
door deze organisaties op dezelfde basis met informatieveiligheid en privacy omgegaan wordt als binnen de
eigen organisatie. Hierover worden met deze organisaties afspraken gemaakt.
Bijzondere aandachtspunten zijn de rol en positie van de GR De Bevelanden. Enerzijds zal deze GR voor
haar eigen organisatie zelf de vereiste maatregelen moeten implementeren, anderzijds zijn de deelnemende
gemeenten voor zowel de BIO, ENSIA en AVG voor een deel afhankelijk van de invulling van bepaalde
maatregelen
(ICT,
P&O)
door
GR
De
Bevelanden.
Om
deze
vorm
te
geven,
is
binnen
het
team
informatievoorziening van ICT-GR een projectleider informatieveiligheid benoemd.
Relevante ontwikkelingen en gebeurtenissen (Hacks Hof van Twente en gemeente Buren, LOG4J, etc.)
vragen om meer bewustwording, actie en daadkracht ter verkrijging van meer zekerheid. In overleg met de
overige deelnemers en GR De Bevelanden is onderzocht of deze verkregen kan worden door het jaarlijks
laten uitvoeren van een IT-audit (ISAE 3402). Het MT van de GR heeft een positief standpunt hierover
ingenomen.
Implementaties en beheer
Hoewel er overlap is met de AVG, betreft informatiebeveiliging ook totaal verschillende aspecten die een
bepaald
kennisniveau
en
expertise
vereisen.
Op
advies
van
de
Informatie
Beveiligingsdienst
voor
Nederlandse Gemeenten (IBD) zijn er functionarissen aangesteld die op dit gebied een rol hebben en over
alle aspecten die met informatieveiligheid te maken hebben kunnen adviseren en het complete spectrum
aan informatieveiligheid kunnen overzien en coördineren. Dit zijn de CISO (Chief Information Security
Officer) en de coördinator ENSIA.
Overleg
Voor het implementeren van de BIO, ENSIA en AVG en het bewerkstelligen van bewustwording in onze
eigen organisatie is er een interne werkgroep operationeel, de werkgroep Informatieveiligheid Reimerswaal.
Overleg, over de onderdelen die samen met de andere Bevelandse gemeenten en/of GR De Bevelanden
opgepakt worden, vindt plaats in het Deelnemersoverleg Informatiebeveiliging en het Deelnemers Overleg
Privacy. Dit zijn regionale werkgroepen die de regiegroep van GR De Bevelanden op dit gebied informeert
en adviseert. In het rapport over een in 2021 door een extern bureau uitgevoerd ‘Onderzoek Governance
GR De Bevelanden is geadviseerd om deze beide groepen ‘samen te voegen met het Deelnemersoverleg
Informatievoorziening. De status van de adviezen die het rapport genoemd worden is op dit moment nog
onbekend.
Ervaringen en ontwikkelingen
De implementaties en het beheer van de AVG, beveiligingsmaatregelen in het algemeen (BIO) en ENSIA
hebben de nodige impact op de organisatie.
In mei 2020 heeft de VNG de Agenda Digitale Veiligheid 2020-2024 gepubliceerd. Deze agenda biedt via
10 actielijnen
een
handelingsperspectief
voor
de
bestuurlijke
praktijk.
De
VNG
ondersteunt
hiermee
gemeenten bij de beveiliging van hun informatiesystemen en de gegevens over inwoners en ondernemers.
De hoofdonderwerpen zijn: bewustwording, governance, risicogericht handelen en werken als één overheid.
De actielijnen zijn onder deze onderwerpen verder uitgewerkt. De Agenda biedt ook handvatten bij het
voorkomen en oplossen van cyberincidenten. Dit proces is continu in beweging.
De IBD informeert daarnaast de gemeenten in de vorm van het “Dreigingsbeeld Informatiebeveiliging
Nederlandse Gemeenten” regelmatig over bedreigingen en risico’s die zich (kunnen) voordoen voor de
ambtelijke organisatie, het bestuur, de politiek, de inwoners en de ondernemers.
De
toenemende
bedreiging
van
de
cybersecurity
heeft
er
onder
andere
toe
geleid
dat
de
Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) jaarlijks een “Cybersecuritybeeld’ opstelt.
De focus ligt hierin op de nationale veiligheid.
De eerdergenoemde interne werkgroep Informatieveiligheid Reimerswaal heeft onderwerpen die raken aan
de hierboven genoemde ontwikkelingen en ervaringen (voor wat betreft cybersecurity) permanent op haar
agenda staan. Daarnaast is er door deze groep een bewustwordingscampagne gestart met o.a. de inbreng
van een extern communicatiebureau.