Paragraaf informatieveiligheid
Inleiding
De gemeente Reimerswaal is een informatie-intensieve organisatie, primair gefocust op dienstverlening. De
medewerkers van de gemeente moeten kunnen beschikken over betrouwbare informatie om de klanten zo
optimaal mogelijk te kunnen helpen en adviseren. Inwoners en bedrijven moeten erop kunnen vertrouwen
dat hun gegevens bij de gemeente in goede handen zijn.
Naast het nemen van beveiligingsmaatregelen, is bescherming van privacy een belangrijk aspect. Hoewel dit
gezien kan worden als een afzonderlijk onderwerp vanwege andere regelgeving, zijn beiden in de praktijk
onlosmakelijk
verbonden.
Om
die
reden
is
er
in
deze
begroting
gekozen
voor
een
gecombineerde
benadering onder de noemer informatieveiligheid.
Informatieveiligheid gaat over risicomanagement. Naast techniek gaat het ook om de mens in de organisatie
en de manier waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn
bestuurders zich bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk
gedrag) bepaalt de mate van informatieveiligheid.
Privacy
De wettelijke basis van de bescherming van privacy is af te leiden uit Europese richtlijnen en landelijke wet-
en regelgeving.
Het meest bekend is
de
Algemene Verordening
Gegevensbescherming (AVG). Deze
Verordening is rechtstreeks van toepassing in alle EU-lidstaten. Onderdeel van de verordening is ook de
plicht om datalekken te melden. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden)
direct een melding moeten doen bij de Autoriteit Persoonsgegevens, zodra zij een ernstig datalek hebben.
Ook moeten zij het datalek melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn
gelekt).
Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris
gegevensbescherming. De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens
(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.
De AVG brengt een aantal belangrijke verplichtingen met zich mee, zoals:
Een register van verwerkingen opstellen en actueel houden. In dit register zijn de gemeentelijke
verwerkingen
van
persoonsgegevens
opgenomen.
Ook
wordt
vermeld
met
welk
doel
de
persoonsgegevens worden verwerkt en aan wie deze persoonsgegevens beschikbaar zijn gesteld.
Het
afsluiten
van
verwerkersovereenkomsten
met
externe
partijen
die
namens
de
gemeente
persoonsgegevens verwerken.
Duidelijke communicatie over de rechten van betrokkenen, zoals het recht op inzage of klachtrecht,
dient vindbaar te zijn.
De
verwerkingen
die
er
zijn,
maar
ook
nieuwe
procedures/werkprocessen/applicaties,
waarbij
persoonsgegevens worden verwerkt, dienen geanalyseerd te worden op de privacy impact van de
verwerkingen en op privacy by design en privacy by default.
De gemeente Reimerswaal heeft op basis van een stappenplan de voorwaarden en verplichtingen van de
Algemene Verordening Gegevensbescherming (AVG)
ingevoerd. Vanwege de verwevenheid van onze
organisatie met GR De Bevelanden wordt hierbij intensief samengewerkt met de deelnemende gemeenten
en de GR in het Deelnemersoverleg Privacy.
Op de Privacypagina op de website van de gemeente Reimerswaal is weergegeven op welke wijze de
gemeente Reimerswaal omgaat met de privacy van haar inwoners en andere betrokkenen en worden de
rechten die betrokkenen hebben nader toegelicht.
Gevolgen privacywetgeving
Onder invloed van de thema’s informatieveiligheid en privacy is na een bestuurlijk traject met college en
gemeenteraad besloten om in Reimerswaal de rol/functie van CISO (Chief Information Security Officer) te
introduceren. Een functionaris die een brede kijk op de organisatie, ICT en beveiliging heeft. Daarnaast is
ook de rol/functie van Functionaris Gegevensbescherming (FG) geïntroduceerd (start: 0,2 fte). Per 25 mei
2018 geldt namelijk de Algemene verordening gegevensbescherming (AVG). Vanaf dat moment is de
gemeente verplicht om een functionaris voor de gegevensbescherming (FG) aan te stellen. Dit is iemand die
binnen de organisatie toezicht houdt op de toepassing en naleving van de AVG. Tenslotte kennen we nog de
rol/functie van Privacy Officer (PO). Op 19 juli 2022 stelde de gemeenteraad het Privacybeleid 2022 vast. In
artikel 4 van het Privacybeleid 2022 staat opgenomen dat het college een Privacy Officer aanwijst voor de
gemeente Reimerswaal. In de praktijk is er al langere tijd een medewerker werkzaam als Privacy Officer
(eveneens 0,2 fte).
De rollen FG en PO zijn toebedeeld aan een adviseur openbare veiligheid en een juridisch
beleidsmedewerker. Door toenemende aandacht voor en werkzaamheden op het gebied van privacy en
informatieveiligheid komt een goede uitvoering van de rollen sterk onder druk te staan. Onlangs heeft ook de
audit AVG 2021 en 2022 dit aangetoond; “bij nieuwe technologische ideeën (zoals smart cities of verdere
digitalisering van de dienstverlening) en nieuwe verwerkingen zal steeds moeten worden meegewogen hoe
het zit met de informatieveiligheid en hoe verzamelde persoonsgegevens voldoende worden beschermd.
Met de huidige omvang van de formatie van 0,2 fte voor zowel de adviserende als de controlerende taak ten
aanzien van gegevensbescherming, kan niet volledig worden geborgd dat de gegevensbescherming binnen
de gemeente Reimerswaal op orde is. Het verdient dan ook aanbeveling dat de gemeente Reimerswaal naar
mogelijkheden
zoekt
om
de
formatie
voor
de
adviserende
en
controlerende
taken
ten
aanzien
van
gegevensbescherming uit te breiden, als de wens bestaat een hogere graad van borging te bereiken.”
Onderzocht zal worden of beide rollen omgezet kunnen worden naar volwaardige functies voor 0,8 fte en
niet langer onder te brengen bij bestaande functies in samenwerking met een andere gemeente. Uitgaande
van passende schaalindeling moet rekeninggehouden worden met € 75.000 per functie. In de kadernota is
gerekend met een personele invulling van 50% ten laste van de exploitatie en kosten gedeeld worden met
een andere gemeente.
Bij gemeenten worden politiegegevens gebruikt door BOA’s ten behoeve van de verschillende gemeentelijke
toezichtstaken. Vanaf 2019 moet hierover jaarlijks een interne privacy-audit plaatsvinden op grond van de
Wet
Politiegegevens
(WPG).
Over
2021
moet
daarnaast
voor
het
eerst
een
externe
privacy-audit
plaatsvinden. Deze is uitgevoerd in 2022.
Informatiebeveiliging
De organisatie van de informatiebeveiliging is gebaseerd op de Baseline Informatiebeveiliging Overheid
(BIO) en de NIS2 richtlijn.
BIO
De belangrijkste kenmerken van de BIO zijn:
Binnen de BIO wordt, op basis van generieke schade en bedreigingen, een onderscheid gemaakt in
drie basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit
een aantal controls (maatregelen) en een verantwoordings- en toezichtregime. Hoe hoger het
niveau, hoe hoger de potentiële impact.
Risicomanagement – Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem het
BBN.
Een deel van de controls is uitgewerkt in verplichte maatregelen, omdat deze voortvloeien uit wet- en
regelgeving.
Toewijzing van maatregelen op eindverantwoordelijke – De maatregelen moeten worden
toegewezen aan een eindverantwoordelijke.
NIS2
Om de digitale weerbaarheid van organisaties in de Europese Unie te versterken heeft de Europese Unie
eind 2022 de Network and Information Security Directive (NIS2-richtlijn) aangenomen als opvolger van de
NIS1. Deze richtlijn focust zich op risico’s die een bedreiging kunnen zijn voor netwerk- en
informatiesystemen die worden gebruikt voor het leveren van diensten. Voor gemeenten betekent dit een
aanscherping bij het voldoen aan de BIO en meer verantwoordelijkheid van het management. Ook zal een
ISMS worden geïmplementeerd voor een betere PDCA-cyclus op de beheersmaatregelen voor
informatiebeveiliging.
Ambitieniveau
De gemeente Reimerswaal hanteert een ambitieniveau waarbij wordt voldaan aan voorgeschreven wet- en
regelgeving. Het college van burgemeester en wethouders kan besluiten om bepaalde
(beveiligings)maatregelen niet in te vullen en het risico dat daaruit voortvloeit als ‘geaccepteerd risico’ te
beschouwen. Hiervan is tot op heden nog geen gebruik gemaakt. Zo nodig worden aanvullende maatregelen
en/of procedures opgesteld om de (beveiligings-)maatregelen te kunnen realiseren en/of de uitvoering
daarvan te kunnen aantonen.
Verantwoordelijkheid
De gemeente heeft in de praktijk te maken met een aanzienlijk aantal samenwerkings- en ketenpartners,
dienstverleners
en
leveranciers
et
cetera.
De
vraag
wie
er
actie
moet
ondernemen
en/of
wie
er
verantwoordelijk is in het geval er zich een beveiligingsincident en/of datalek voordoet is niet in alle gevallen
even
duidelijk.
Hierover
dienen
goede
afspraken
gemaakt
en
ook
vastgelegd
te
worden
in
(verwerkers-)overeenkomsten. De VNG heeft een standaard verwerkersovereenkomst vastgesteld en is er
ook bepaald dat vanaf 2020 deze verwerkersovereenkomst door alle gemeenten in alle gevallen wordt
toegepast, tenzij gemotiveerd hiervan af wordt geweken.
Verantwoording
De gemeente moet jaarlijks verantwoording afleggen over de kwaliteit van de informatieveiligheid van
diverse informatiesystemen via ENSIA (Eenduidige Normatiek Single Information Audit). Deze omvat de
Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD),
Basisregistratie
Adressen
en
Gebouwen
(BAG),
Basisregistratie
Grootschalige
Topografie
(BGT),
de
Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet).
Met ENSIA verantwoordt de gemeente zich ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de
gemeentelijke planning en control-cyclus. Het gemeentebestuur krijgt hierdoor meer inzicht in de stand van
zaken van de informatieveiligheid van de gemeente.
De wettelijke verantwoordingsplicht is niet in alle gevallen ook direct van toepassing voor organisaties die
activiteiten voor, of namens, de gemeente uitvoeren. Indirect mag de gemeente echter wel verlangen dat er
door deze organisaties op dezelfde basis met informatieveiligheid en privacy omgegaan wordt als binnen de
eigen organisatie. Hierover worden met deze organisaties afspraken gemaakt.
Bijzondere aandachtspunten zijn de rol en positie van de GR De Bevelanden. Enerzijds zal deze GR voor
haar eigen organisatie zelf de vereiste maatregelen moeten implementeren, anderzijds zijn de deelnemende
gemeenten voor zowel de BIO, ENSIA en AVG voor een deel afhankelijk van de invulling van bepaalde
maatregelen
(ICT,
P&O)
door
GR
De
Bevelanden.
Om
deze
vorm
te
geven,
is
binnen
het
team
informatievoorziening van ICT-GR een projectleider informatieveiligheid benoemd.
Relevante
ontwikkelingen
en
gebeurtenissen
(Hacks
Hof
van
Twente,
gemeente
Buren,
gemeente
Antwerpen (BE), LOG4J, etc.) vragen om meer bewustwording, actie en daadkracht ter verkrijging van meer
zekerheid. In overleg met de overige deelnemers en GR De Bevelanden is onderzocht of deze verkregen
kan worden door het jaarlijks laten uitvoeren van een IT-audit (ISAE 3402). Het MT van de GR heeft een
positief standpunt hierover ingenomen. Implementatie moet nog verder zijn beslag krijgen.
Implementaties en beheer
Hoewel er overlap is met de AVG, betreft informatiebeveiliging ook totaal verschillende aspecten die een
bepaald
kennisniveau
en
expertise
vereisen.
Op
advies
van
de
Informatie
Beveiligingsdienst
voor
Nederlandse Gemeenten (IBD) zijn er functionarissen aangesteld die op dit gebied een rol hebben en over
alle aspecten die met informatieveiligheid te maken hebben kunnen adviseren en het complete spectrum
aan informatieveiligheid kunnen overzien en coördineren. Dit zijn de CISO (Chief Information Security
Officer) en de coördinator ENSIA.
Overleg
Voor het implementeren van de BIO, ENSIA en AVG en het bewerkstelligen van bewustwording in onze
eigen organisatie is er een interne werkgroep operationeel: de werkgroep Informatieveiligheid Reimerswaal.
Overleg, over de onderdelen die samen met de andere Bevelandse gemeenten en/of GR De Bevelanden
opgepakt worden, vindt plaats in het Deelnemersoverleg Informatiebeveiliging en het Deelnemers Overleg
Privacy. Dit zijn regionale werkgroepen die de regiegroep van GR De Bevelanden op dit gebied informeert
en adviseert.
Ervaringen en ontwikkelingen
De implementaties en het beheer van de AVG, beveiligingsmaatregelen in het algemeen (BIO) en ENSIA
hebben de nodige impact op de organisatie.
De VNG heeft de doelen van de Agenda Digitale Veiligheid 2020-2024 herijkt en omgezet naar een praktisch
programma 2022-2026. In het programmaplan staat duidelijk beschreven wat de VNG, IBD, ENSIA en de
verschillende
stakeholders
aan
activiteiten
ontplooien
om
de
digitale
veiligheid
binnen
gemeenten
te
verhogen. De Agenda Digitale Veiligheid 2022-2026 biedt bestuurlijke handvatten en geeft inzicht in de
gezamenlijke standpunten van gemeenten. Het laat daarnaast zien wat gemeenten doen om het vertrouwen
van inwoners en ondernemers op het gebied van digitale veiligheid te vergroten. In het programmaplan
wordt beschreven welke activiteiten de verschillende partijen ondernemen en welke resultaten dit moet
opleveren.
De IBD informeert daarnaast de gemeenten in de vorm van het “Dreigingsbeeld Informatiebeveiliging
Nederlandse Gemeenten” regelmatig over bedreigingen en risico’s die zich (kunnen) voordoen voor de
ambtelijke organisatie, het bestuur, de politiek, de inwoners en de ondernemers.
De
toenemende
bedreiging
van
de
cybersecurity
heeft
er
onder
andere
toe
geleid
dat
de
Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) jaarlijks een “Cybersecuritybeeld’ opstelt.
De focus ligt hierin op de nationale veiligheid.
De eerdergenoemde interne werkgroep Informatieveiligheid Reimerswaal heeft onderwerpen die raken aan
de hierboven genoemde ontwikkelingen en ervaringen (voor wat betreft cybersecurity) permanent op haar
agenda staan. Daarnaast is er door deze groep een bewustwordingscampagne gestart met o.a. de inbreng
van een extern communicatiebureau.
Zoals eerder gemeld hebben de 15 Zeeuwse gemeenten in maart 2022 de handen ineengeslagen en een
intentieverklaring Zeeuwse norm weerbare overheid opgesteld. Eén van de thema’s is informatiebeveiliging
waarbij Zeeuws breed op dit gebied verder wordt samengewerkt.