Paragraaf informatieveiligheid

Inleiding

De Gemeente Reimerswaal is een informatie-intensieve organisatie, primair gefocust op dienstverlening. De

medewerkers van de gemeente moeten kunnen beschikken over betrouwbare informatie om de klanten zo

optimaal mogelijk te kunnen helpen en adviseren. Burgers en bedrijven moeten erop kunnen vertrouwen dat

hun gegevens bij de gemeente in goede handen zijn en dat de integriteit en vertrouwelijkheid gewaarborgd

is.

Naast het nemen van beveiligingsmaatregelen voor de beschikbaarheid, integriteit en vertrouwelijkheid is

bescherming

van

privacy

een

belangrijk

aspect.

Hoewel

dit

gezien

kan

worden

als

een

afzonderlijk

onderwerp met andere regelgeving, zijn beiden in de praktijk onlosmakelijk verbonden. Om die reden is er

gekozen voor een gecombineerde benadering onder de noemer informatieveiligheid.

Informatieveiligheid is dus veel meer dan techniek. Het gaat ook om de mens in de organisatie en de manier

waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn bestuurders zich

bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk gedrag) speelt in de

praktijk een steeds grotere, veelal zelfs een doorslaggevende, rol in het daadwerkelijk realiseren van

informatieveiligheid.

Privacy

De wettelijke basis van de bescherming van privacy valt af te leiden uit Europese verordeningen, richtlijnen

en

landelijke

wet-

en

regelgeving

zoals

de

Wet

politiegegevens.

De

Algemene

Verordening

Gegevensbescherming is op 25 mei 2018 van toepassing geworden. De Verordening is - anders dan de

richtlijn uit 1995 - rechtstreeks van toepassing in alle EU-lidstaten. Er geldt vanaf die datum dus nog maar

één privacywet in de hele EU, in plaats van 28 verschillende nationale wetten. De wet geeft meer rechten

aan betrokkenen en organisaties meer verantwoordelijkheid om zorgvuldig met (digitale) persoonsgegevens

om te gaan en hierover goed te informeren.

Onderdeel van de Verordening is ook de plicht om datalekken te melden. Deze meldplicht houdt in dat

organisaties

(zowel

bedrijven

als

overheden)

direct

een

melding

moeten

doen

bij

de

Autoriteit

Persoonsgegevens, zodra zij een ernstig datalek hebben. Ook moeten zij het datalek melden aan de

betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris

gegevensbescherming (FG). De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens

(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.

De AVG brengt een aantal belangrijke verplichtingen met zich mee, zoals:

Een register van verwerkingen opstellen en actueel houden. In dit register zijn de gemeentelijke

verwerkingen

van

persoonsgegevens

opgenomen.

Ook

wordt

vermeld

met

welk

doel

de

persoonsgegevens worden verwerkt en aan wie deze persoonsgegevens beschikbaar zijn gesteld.

Het

afsluiten

van

verwerkersovereenkomsten

met

externe

partijen

die

namens

de

gemeente

persoonsgegevens verwerken.

Duidelijke communicatie over de rechten van betrokkenen, zoals het recht op inzage of klachtrecht,

dient vindbaar te zijn.

De

verwerkingen

die

er

zijn,

maar

ook

nieuwe

procedures/werkprocessen/applicaties,

waarbij

persoonsgegevens worden verwerkt, dienen geanalyseerd te worden op de privacy impact van de

verwerkingen en op ‘privacy by design’ en ‘privacy by default’.

De gemeente Reimerswaal heeft op basis van een stappenplan de voorwaarden en verplichtingen van de

Algemene Verordening Gegevensbescherming (AVG) inmiddels ingevoerd. Het blijft een basistaak om aan

de voorwaarden van de AVG te blijven voldoen. Vanwege de verwevenheid van onze organisatie met de

Gemeenschappelijke regeling Samenwerking De Bevelanden (GR De Bevelanden) wordt hierbij intensief

samengewerkt met de deelnemende gemeenten en GR De Bevelanden in het Deelnemersoverleg Privacy.

Op de Privacypagina op de website van de gemeente Reimerswaal is weergegeven op welke wijze de

gemeente Reimerswaal omgaat met de privacy van haar inwoners en andere betrokkenen en worden de

rechten die betrokkenen hebben nader toegelicht

Informatiebeveiliging

De organisatie van de informatiebeveiliging is vanaf 2020 gebaseerd op de Baseline Informatiebeveiliging

Overheid (BIO). Dit normenkader is van toepassing voor de gehele Nederlandse overheid.

De belangrijkste kenmerken zijn:

Binnen de BIO wordt, op basis van generieke schade en bedreigingen, een onderscheid gemaakt in drie

basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit een

aantal controls (maatregelen) en een verantwoordings- en toezichtregime. Hoe hoger het niveau, hoe

hoger de potentiële impact.

Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem het BBN.

Verplichte maatregelen – Een deel van de controls is uitgewerkt in verplichte maatregelen, omdat deze

voortvloeien uit wet- en regelgeving.

Toewijzing van maatregelen op eindverantwoordelijke – De maatregelen moeten worden toegewezen

aan een eindverantwoordelijke.

De gemeente Reimerswaal heeft in 2021 het informatiebeveiligingsbeleid voor de jaren 2021 t/m 2024

vastgesteld op basis van de BIO. De gemeente hanteert een ambitieniveau waarbij wordt voldaan aan

voorgeschreven wet- en regelgeving. Het college van burgemeester en wethouders kan besluiten om

bepaalde beveiligingsmaatregelen niet in te vullen en het risico dat daaruit voortvloeit als ‘geaccepteerd

risico’ te beschouwen. Tot nu toe is van deze bevoegdheid geen gebruik gemaakt. Het college laat juist zien

dat informatiebeveiliging hoog op de agenda staat. De coördinatie vindt o.a. plaats via de regiegroep

informatieveiligheid.

Zo

nodig

worden

aanvullende

maatregelen

en/of

procedures

opgesteld

om

de

beveiligingsmaatregelen te kunnen realiseren en/of de uitvoering daarvan te kunnen aantonen.

Verantwoordelijkheid

De gemeente heeft in de praktijk te maken met een aanzienlijk aantal samenwerkings- en ketenpartners,

dienstverleners en leveranciers etc. De vraag wie er actie moet ondernemen en/of wie er verantwoordelijk is

in het geval er zich een beveiligingsincident en/of datalek voordoet is niet in alle gevallen even duidelijk.

Hierover dienen goede afspraken gemaakt en ook vastgelegd te worden in (verwerkers-)overeenkomsten.

Inmiddels heeft de VNG een standaard verwerkersovereenkomst vastgesteld en is er ook bepaald dat vanaf

2020

deze

verwerkersovereenkomst

door

alle

gemeenten

in

alle

gevallen

wordt

toegepast,

tenzij

gemotiveerd hiervan af wordt geweken.

Verantwoording

De gemeente legt jaarlijks verantwoording af over de kwaliteit van de informatieveiligheid van diverse

informatiesystemen via ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA gaat vanaf 2020 uit

van

het

normenkader

van

de

BIO

en

vervangt

de

afzonderlijke

verantwoordingsprocedures

voor

de

Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD),

Basisregistratie

Adressen

en

Gebouwen

(BAG),

Basisregistratie

Grootschalige

Topografie

(BGT),

de

Basisregistratie

Ondergrond

(BRO),

de

Waardering

Onroerende

Zaken

(WOZ)

en

de

Structuur

uitvoeringsorganisatie Werk en Inkomen (Suwinet).

Met ENSIA verantwoordt de gemeente zich ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de

gemeentelijke planning en control-cyclus. Het gemeentebestuur krijgt hierdoor meer inzicht in de stand van

zaken van de informatieveiligheid van de gemeente.

De wettelijke verantwoordingsplicht is niet in alle gevallen ook direct van toepassing voor organisaties die

activiteiten voor, of namens, de gemeente uitvoeren. Indirect mag de gemeente echter wel verlangen dat er

door deze organisaties op dezelfde basis met informatieveiligheid en privacy omgegaan wordt als binnen de

eigen organisatie. Hierover worden met deze organisaties afspraken gemaakt.

Implementaties en beheer

Hoewel er overlap is met de AVG, betreft informatiebeveiliging ook totaal verschillende aspecten die een

bepaald

kennisniveau

en

expertise

vereisen.

Op

advies

van

de

Informatie

Beveiligingsdienst

voor

Nederlandse Gemeenten (IBD) zijn er functionarissen aangesteld die op dit gebied een rol hebben en over

alle aspecten die met informatieveiligheid te maken hebben kunnen adviseren en het complete spectrum

aan informatieveiligheid kunnen overzien en coördineren. Dit zijn de CISO (Chief Information Security

Officer) en de coördinator ENSIA.

Bijzondere

aandachtspunten

bij

de

implementatie

van

de

BIO

zijn

de

rol

en

positie

van

de

Gemeenschappelijke Regeling samenwerking De Bevelanden (GR De Bevelanden). Enerzijds zal de GR

voor

haar

eigen

organisatie

zelf

de

vereiste

maatregelen

moeten

implementeren,

anderzijds

zijn

de

deelnemende gemeenten voor zowel de BIO, ENSIA en AVG voor een deel afhankelijk van de invulling van

bepaalde maatregelen (ICT, P&O)

door

de

GR.

In

2022

is

door

het algemeen

bestuur

van GR

De

Bevelanden

de

zogenaamde

I-visie

vastgesteld.

Onderdelen

hiervan

hebben

ook

betrekking

op

informatieveiligheid. Het dagelijks bestuur van GR De Bevelanden heeft op dit gebied aangegeven dat de

volgende onderwerpen prioriteit moeten krijgen bij de implementatie hiervan:

Uitwijk

Draaiboek bij Hacking

Aan beide onderwerpen wordt vanaf eind 2023 gewerkt en verwacht wordt dat dit in de loop van 2024 is

gerealiseerd.

Overleg

Voor het implementeren van de BIO, ENSIA en AVG en het bewerkstelligen van bewustwording in onze

eigen organisatie is er een interne werkgroep operationeel, de regiegroep Informatieveiligheid. Overleg, over

de onderdelen die samen met de andere Bevelandse gemeenten en/of GR De Bevelanden opgepakt

worden, vindt plaats in het Deelnemersoverleg Informatiebeveiliging en het Deelnemers Overleg Privacy. Dit

is een regionale werkgroep die de regiegroep van de GR op dit gebied informeert en adviseert.

De regiegroep behandelt

ook

de

onderwerpen

die

binnen

de

Zeeuwse

norm

weerbare

overheid

zijn

benoemd. Het doel is om samen de weerbaarheid en de integriteit van de Zeeuwse overheid te versterken.

Daarmee werpen partijen ook drempels op tegen ondermijnende criminaliteit.

Ervaringen en ontwikkelingen

De implementaties (en daarna het beheer) van de AVG, beveiligingsmaatregelen in het algemeen (BIO) en

ENSIA hebben de nodige impact op de organisatie.

Voor wat betreft ENSIA is de verwachting dat de verantwoordingslast hierdoor zou dalen vooralsnog niet

waargemaakt. Ervaren wordt dat deze, ondanks de bundeling en het weghalen van dubbele vragen (aantal

vragen), alleen maar is toegenomen en dat het leveren van alle documenten die een auditor als bewijslast

opvraagt bijzonder fors is.

Agenda Digitale Veiligheid 2020-2024

In mei 2020 heeft de VNG de Agenda Digitale Veiligheid 2020-2024 gepubliceerd. Deze agenda biedt via

10 actielijnen handelingsperspectief voor de bestuurlijke praktijk. De VNG ondersteunt hiermee gemeenten

bij

de

beveiliging

van

hun

informatiesystemen

en

de

gegevens

over

inwoners

en

ondernemers.

De

hoofdonderwerpen zijn: bewustwording, governance, risicogericht handelen en werken als één overheid. De

actielijnen

zijn

onder

deze

onderwerpen

verder

uitgewerkt. De

Agenda

biedt

ook

handvatten

bij

het

voorkomen en oplossen van cyberincidenten. Dit proces is continu in beweging.

Incidenten

Er zijn in 2023 vanuit de organisatie enkele beveiligingsincidenten zoals (mogelijke) datalekken gemeld.

Deze

meldingen

zijn

door

de

FG,

PO

en/of

CISO

beoordeeld,

geregistreerd

en

afgestemd

met

de

gemeentesecretaris. In totaal zijn er bij de FG/PO in 2023 in totaal 4 datalekken gemeld. Er hebben geen

meldingen van datalekken bij de Autoriteit Persoonsgegevens (AP) in 2023 plaatsgevonden.

Collegeverklaring ENSIA inzake informatiebeveiliging DigiD en SUWInet

Met deze verklaring geeft het college van B&W aan in hoeverre de beheersmaatregelen bij de gemeente

voldoen aan de voor de ENSIA-verantwoording geselecteerde normen en – indien aan de orde – welke

onderdelen daarvan zijn uitgezonderd. Ook wordt melding gemaakt van eventuele verbetermaatregelen die

de gemeente gaat treffen. De collegeverklaring wordt gezamenlijk met een door de EDP-auditor opgestelde

verklaring (Assurancerapport) separaat van het jaarverslag aangeboden aan de gemeenteraad.

Audit Wet Politiegegevens

De verwerking

van

persoonsgegevens

door

BOA’s

viel

tot

25 mei 2018

onder

de Wet bescherming

persoonsgegevens (Wbp). Door de komst van de AVG valt de verwerking van persoonsgegevens rondom

strafbare feiten onder een andere Europese wet, namelijk EU-Richtlijn 2016/680. Deze richtlijn is omgezet in

de Wet politiegegevens (de Wpg), aangevuld met het Besluit politiegegevens (het Bpg), en is sinds 1 januari

2019 van kracht.

Bepaald is dat iedere vier jaar een externe IT-audit plaats moet vinden. Daarnaast moet er tenminste

jaarlijks een interne IT-audit uitgevoerd worden. De wet geeft aan dat we één of meerdere interne auditors

moeten opleiden.

In 2022 hebben wij een externe IT-audit laten uitvoeren door Accoris. De resultaten van deze audit hebben

wij tijdig bij de Autoriteit Persoonsgegevens aangeleverd. De audit in 2022 diende gebaseerd te zijn op een

uitgevoerde interne IT-audit. Accoris heeft getoetst of binnen de organisatie de bepalingen van de Wpg en

het Bpg op een correcte manier zijn toegepast en heeft zijn bevindingen in een rapport vastgelegd. Accoris

heeft een afkeurend oordeel gegeven over de bevindingen van deze 0-meting en heeft daarom praktische

en concrete aanbevelingen gedaan om de werkwijze te verbeteren en te voldoen aan de Wpg. Vanwege een

onvoldoende resultaat waren wij verplicht om in 2023 een verbeterplan op te stellen en een hercontrole door

een externe partij te laten uitvoeren. Accoris heeft deze hercontrole inmiddels in 2024 uitgevoerd. Hiervan

heeft Accoris een rapport opgesteld en ingeleverd bij de Autoriteit Persoonsgegevens. Uit het rapport blijkt

dat het resultaat nog steeds niet op alle onderdelen voldoende is, maar dat bepaalde onderdelen wel zijn

verbeterd.

De interne IT-audit over het jaar 2021 is ook op tijd verricht. De uitvoering heeft plaatsgevonden door de FG

en PO van de gemeente Reimerswaal. Aangezien het de eerste keer is dat deze audit moest worden

uitgevoerd en de materie voor veel medewerkers van gemeenten nieuw was, was het toegestaan om een

nulmeting uit te voeren. Dit is dan ook gebeurd. De eerste interne IT-audit moet daarom worden gezien als

een nulmeting. Een nieuwe interne IT-audit zal in 2025 worden uitgevoerd.

Disclaimer

100% veiligheid bestaat niet. Doel is dat iedereen in de organisatie het voor hen relevante beleid op het

gebied van informatieveiligheid kent en zich bewust is waar hij of zij een rol kan spelen bij het verkleinen van

de risico’s in relatie tot informatieveiligheid. Vanaf februari 2020 wordt dit mede ondersteund door een e-

learning omgeving die beschikbaar gesteld is aan alle medewerkers en bestuurders van de Bevelandse

gemeenten en GR De Bevelanden. Vanaf het 1e kwartaal 2022 is het volgen van een aantal modules

verplicht gesteld en wordt de communicatie over informatieveiligheid geïntensiveerd.