Paragraaf informatieveiligheid

Naast het nemen van beveiligingsmaatregelen is bescherming van privacy een belangrijk aspect. Hoewel dit

gezien kan worden als een afzonderlijk onderwerp met andere regelgeving, zijn beiden in de praktijk

onlosmakelijk verbonden. Om die reden is er gekozen voor een gecombineerde benadering onder de

noemer informatieveiligheid.

Informatieveiligheid is veel meer dan alleen ICT. Het gaat in veel gevallen om de mens in de organisatie en

de manier waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn bestuurders

zich bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk gedrag) speelt in

de praktijk een steeds grotere, veelal zelfs een doorslaggevende, rol in het daadwerkelijk realiseren van

informatieveiligheid in de praktijk en verdient continue aandacht. In het eerste halfjaar van 2022 heeft er een

meting plaatsgevonden om een beeld te krijgen van de mate van bewustwording en is daarnaast een

bewustwordingscampagne gestart met de o.a. de inbreng van communicatiebureau ‘De wilde Zeeuw

De organisatie van de informatiebeveiliging is vanaf 2020 gebaseerd op de Baseline Informatiebeveiliging

Overheid (BIO). Dit normenkader is van toepassing voor de gehele Nederlandse overheid.

Bijzondere

aandachtspunten

bij

de

implementatie

van

de

BIO

zijn

de

rol

en

positie

van

de

Gemeenschappelijke Regeling samenwerking De Bevelanden (GR De Bevelanden). Enerzijds zal de GR

voor

haar

eigen

organisatie

zelf

de

vereiste

maatregelen

moeten

implementeren,

anderzijds

zijn

de

deelnemende gemeenten voor zowel de BIO, ENSIA en AVG voor een deel afhankelijk van de invulling van

bepaalde maatregelen (ICT, P&O) door de GR. In de praktijk verloopt de informatieverstrekking nog niet

optimaal. Geprobeerd wordt om hier verandering in aan te brengen.

Uit

bevindingen

van

de

controlerend

accountant

van

zowel

de

gemeente

Reimerswaal

als

van

de

GR de Bevelanden komt naar voren dat de IT-omgeving waar bovengenoemde organisaties gebruik van

maken

een

aantal

risico’s

en

kwetsbaarheden

bevat.

Een

uitgebreid

verslag

van

de

bevindingen

en

aanbevelingen is opgenomen in de managementletter 2020 (en 2019) van de GR de Bevelanden. Naast de

bevindingen van de controlerend accountants is er een aantal relevante ontwikkelingen en gebeurtenissen

die vragen om meer bewustwording, actie en daadkracht ter verkrijging van meer zekerheid. In overleg met

de overige deelnemers en GR De Bevelanden is onderzocht of deze verkregen kan worden door het jaarlijks

laten uitvoeren van een IT-audit (ISAE 3402). Het MT van de GR heeft een positief standpunt hierover

ingenomen.

Jaarlijks moet er verantwoording afgelegd worden over de kwaliteit van de informatieveiligheid van diverse

informatiesystemen via ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA gaat uit van het

normenkader van de BIG en vervangt de afzonderlijke verantwoordingsprocedures voor de Basisregistratie

Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie

Adressen

en

Gebouwen

(BAG),

Basisregistratie

Grootschalige

Topografie

(BGT),

Basisregistratie

Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).

Voor wat betreft Suwinet zijn er de afgelopen jaren enkele zogenaamde verbeterpunten aangegeven. Deze

zijn inmiddels doorgevoerd.

De wettelijke basis van de bescherming van privacy valt af te leiden uit Europese richtlijnen en landelijke

wet- en regelgeving. De meest recente is de Algemene Verordening Gegevensbescherming (AVG). Deze is

op 25 mei 2018 van toepassing geworden. De gemeente Reimerswaal is middels een stappenplan aan de

slag gegaan met de invoering.

In 2020 is gestart met het opdoen van ervaring met het uitvoeren van zogenaamde ‘data protection impact

assessments’ (DPIA’s). Dit is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in

kaart te brengen, om maatregelen te kunnen nemen om de eventuele risico’s te verkleinen. Mede als gevolg

alle maatregelen rond Covid-19 is dit nog niet echt van de grond gekomen. Medio 2021 is dit opnieuw

opgepakt.

Bij gemeenten worden politiegegevens gebruikt door BOA’s ten behoeve van de verschillende gemeentelijke

toezichtstaken. Vanaf 2019 moet hierover jaarlijks een interne privacy-audit plaatsvinden op grond van de

Wet

Politiegegevens

(WPG).

Over

2021

moet

daarnaast

voor

het

eerst

een

externe

privacy-audit

plaatsvinden. Aan zowel de interne als de externe audits worden in de Wet de nodige eisen gesteld, maar er

zijn er ook de nodige onduidelijkheden voor wat betreft de uitvoering bij gemeenten. De mogelijkheid bestaat

om zowel ook de interne audit door een externe auditor uit te laten voeren. Deze optie is meegenomen bij

het

aanbestedingstraject

voor

het

uitvoeren

van

de

auditwerkzaamheden

met

betrekking

tot

de

eerdergenoemde auditwerkzaamheden voor ENSIA. Inmiddels is duidelijk dat aan een aantal voorwaarden

nog niet voldaan wordt. Op basis van een verbeterplan zal dit opgepakt worden.