Paragraaf informatieveiligheid

Naast het nemen van beveiligingsmaatregelen is bescherming van privacy een belangrijk aspect. Hoewel dit

gezien kan worden als een afzonderlijk onderwerp met andere regelgeving, zijn beiden in de praktijk

onlosmakelijk verbonden. Om die reden is er gekozen voor een gecombineerde benadering onder de

noemer informatieveiligheid.

Informatieveiligheid is veel meer dan alleen ICT. Het gaat in veel gevallen om de mens in de organisatie en

de manier waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn bestuurders

zich bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk gedrag) speelt in

de praktijk een steeds grotere, veelal zelfs een doorslaggevende, rol in het daadwerkelijk realiseren van

informatieveiligheid

verdient

continue

aandacht.

In

het

eerste

halfjaar

van

2022

heeft

er

een

meting

plaatsgevonden

om

een

beeld

te

krijgen

van

de

mate

van

bewustwording

en

is

daarnaast

een

bewustwordingscampagne gestart met de o.a. de inbreng van communicatiebureau ‘De wilde Zeeuw. Dit is

in 2024 verder gecontinueerd.

De organisatie van de informatiebeveiliging is vanaf 2020 gebaseerd op de Baseline Informatiebeveiliging

Overheid (BIO). Dit normenkader is van toepassing voor de gehele Nederlandse overheid.

Bijzondere

aandachtspunten

bij

de

implementatie

van

de

BIO

zijn

de

rol

en

positie

van

de

Gemeenschappelijke Regeling samenwerking De Bevelanden (GR De Bevelanden). Enerzijds zal de GR

voor

haar

eigen

organisatie

zelf

de

vereiste

maatregelen

moeten

implementeren,

anderzijds

zijn

de

deelnemende gemeenten voor zowel de BIO, ENSIA en AVG voor een deel afhankelijk van de invulling van

bepaalde maatregelen (ICT, P&O) door de GR.

Jaarlijks moet er verantwoording afgelegd worden over de kwaliteit van de informatieveiligheid van diverse

informatiesystemen via ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA gaat uit van het

normenkader van de BIO en vervangt de afzonderlijke verantwoordingsprocedures voor de Basisregistratie

Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie

Adressen

en

Gebouwen

(BAG),

Basisregistratie

Grootschalige

Topografie

(BGT),

Basisregistratie

Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).

Voor wat betreft Supine zijn er de afgelopen jaren enkele zogenaamde verbeterpunten aangegeven. Deze

zijn inmiddels doorgevoerd.

De wettelijke basis van de bescherming van privacy valt af te leiden uit Europese richtlijnen en landelijke

wet- en regelgeving. De meest recente is de Algemene Verordening Gegevensbescherming (AVG). Deze is

op 25 mei 2018 van toepassing geworden. De gemeente Reimerswaal is middels een stappenplan aan de

slag gegaan met de invoering.

Bij gemeenten worden politiegegevens gebruikt door BOA’s ten behoeve van de verschillende gemeentelijke

toezichtstaken. Vanaf 2019 moet hierover jaarlijks een interne privacy-audit plaatsvinden op grond van de

Wet Politiegegevens (WPG). Aan zowel de interne als de externe audits worden in de Wet de nodige eisen

gesteld, maar er zijn ook de nodige onduidelijkheden voor wat betreft de uitvoering bij gemeenten. De

mogelijkheid bestaat om ook de interne audit door een externe auditor uit te laten voeren. Deze optie is

meegenomen bij het aanbestedingstraject voor het uitvoeren van de auditwerkzaamheden met betrekking tot

de

eerdergenoemde

auditwerkzaamheden

voor

ENSIA.

Inmiddels

is

duidelijk

dat

aan

een

aantal

voorwaarden nog niet voldaan wordt. Op basis van een verbeterplan is dit opgepakt en een her-audit is

uitgevoerd.