Paragraaf informatieveiligheid
Inleiding
De Gemeente Reimerswaal is een informatie-intensieve organisatie, primair gefocust op dienstverlening. De
medewerkers van de gemeente moeten kunnen beschikken over betrouwbare informatie om de klanten zo
optimaal mogelijk te kunnen helpen en adviseren. Burgers en bedrijven moeten erop kunnen vertrouwen dat
hun gegevens bij de gemeente in goede handen zijn en dat de integriteit en vertrouwelijkheid gewaarborgd
is.
Naast het nemen van beveiligingsmaatregelen voor de beschikbaarheid, integriteit en vertrouwelijkheid is
bescherming
van
privacy
een
belangrijk
aspect.
Hoewel
dit
gezien
kan
worden
als
een
afzonderlijk
onderwerp met andere regelgeving, zijn beiden in de praktijk onlosmakelijk verbonden. Om die reden is er
gekozen voor een gecombineerde benadering onder de noemer informatieveiligheid.
Informatieveiligheid is dus veel meer dan techniek. Het gaat ook om de mens in de organisatie en de manier
waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn bestuurders zich
bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk gedrag) speelt in de
praktijk een steeds grotere, veelal zelfs een doorslaggevende, rol in het daadwerkelijk realiseren van
informatieveiligheid.
Privacy
De wettelijke basis van de bescherming van privacy valt af te leiden uit Europese verordeningen, richtlijnen
en
landelijke
wet-
en
regelgeving
zoals
de
Wet
politiegegevens.
De
Algemene
Verordening
Gegevensbescherming is op 25 mei 2018 in werking getreden. van toepassing geworden. De Verordening is
- anders dan de richtlijn uit 1995 - rechtstreeks van toepassing in alle EU-lidstaten. Er geldt vanaf die datum
dus nog maar één privacywet in de hele EU. De Verordening geeft meer rechten aan betrokkenen en
organisaties meer verantwoordelijkheid om zorgvuldig met (digitale) persoonsgegevens om te gaan en
hierover goed te informeren.
Onderdeel van de Verordening is ook de plicht om datalekken te melden. Organisaties (zowel bedrijven als
overheden) moeten een melding moeten doen bij de Autoriteit Persoonsgegevens, indien het datalek een
risico oplevert voor de rechten en vrijheden van betrokkenen (de mensen van wie de persoonsgegevens zijn
gelekt. Als het datalek een hoog risico met zich meebrengt, dan moeten organisaties – naast de AP – ook de
betrokkenen informeren. Van een hoog risico is sprake, wanneer het datalek kan leiden tot lichamelijke,
materiële of immateriële schade voor betrokkenen.
Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris
gegevensbescherming (FG). De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens
(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.
Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris
gegevensbescherming (FG). De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens
(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.
De AVG brengt een aantal belangrijke verplichtingen met zich mee, zoals:
�
Een register van verwerkingen opstellen en actueel houden. In dit register zijn de gemeentelijke
verwerkingen
van
persoonsgegevens
opgenomen.
Ook
wordt
vermeld
met
welk
doel
de
persoonsgegevens worden verwerkt en aan wie deze persoonsgegevens beschikbaar zijn gesteld.
�
Het
afsluiten
van
verwerkersovereenkomsten
met
externe
partijen
die
namens
de
gemeente
persoonsgegevens verwerken.
�
Duidelijke communicatie over de rechten van betrokkenen, zoals het recht op inzage of klachtrecht,
dient vindbaar te zijn.
�
De
verwerkingen
die
er
zijn,
maar
ook
nieuwe
procedures/werkprocessen/applicaties,
waarbij
persoonsgegevens worden verwerkt, dienen geanalyseerd te worden op de privacy impact van de
verwerkingen en op ‘privacy by design’ en ‘privacy by default’.
De gemeente Reimerswaal heeft op basis van een stappenplan de voorwaarden en verplichtingen van de
Algemene Verordening Gegevensbescherming (AVG) inmiddels ingevoerd. Het blijft een basistaak om aan
de voorwaarden van de AVG te blijven voldoen. Vanwege de verwevenheid van onze organisatie met de
Gemeenschappelijke regeling Samenwerking De Bevelanden (GR De Bevelanden) wordt hierbij intensief
samengewerkt met de deelnemende gemeenten en GR De Bevelanden in het Deelnemersoverleg Privacy.
Op de Privacypagina op de website van de gemeente Reimerswaal is weergegeven op welke wijze de
gemeente Reimerswaal omgaat met de privacy van haar inwoners en andere betrokkenen en worden de
rechten die betrokkenen hebben nader toegelicht.
Informatiebeveiliging
De organisatie van de informatiebeveiliging is vanaf 2020 gebaseerd op de Baseline Informatiebeveiliging
Overheid (BIO). Dit normenkader is van toepassing voor de gehele Nederlandse overheid.
De belangrijkste kenmerken zijn:
�
Binnen de BIO wordt, op basis van generieke schade en bedreigingen, een onderscheid gemaakt in drie
basisbeveiligingsniveaus (BBN’s) met bijbehorende beveiligingseisen. Elk BBN bestaat weer uit een
aantal controls (maatregelen) en een verantwoordings- en toezichtregime. Hoe hoger het niveau, hoe
hoger de potentiële impact.
�
�
Het lijnmanagement (de proceseigenaar) bepaalt per informatiesysteem het BBN.
Verplichte maatregelen – Een deel van de controls is uitgewerkt in verplichte maatregelen, omdat deze
voortvloeien uit wet- en regelgeving.
�
Toewijzing van maatregelen op eindverantwoordelijke – De maatregelen moeten worden toegewezen
aan een eindverantwoordelijke.
De gemeente Reimerswaal heeft in 2021 het informatiebeveiligingsbeleid voor de jaren 2021 t/m 2024
vastgesteld op basis van de BIO. De gemeente hanteert een ambitieniveau waarbij wordt voldaan aan
voorgeschreven wet- en regelgeving. Het college van burgemeester en wethouders kan besluiten om
bepaalde beveiligingsmaatregelen niet in te vullen en het risico dat daaruit voortvloeit als ‘geaccepteerd
risico’ te beschouwen. Tot nu toe is van deze bevoegdheid geen gebruik gemaakt. Het college laat juist zien
dat informatiebeveiliging hoog op de agenda staat. De coördinatie vindt o.a. plaats via de regiegroep
informatieveiligheid.
Zo
nodig
worden
aanvullende
maatregelen
en/of
procedures
opgesteld
om
de
beveiligingsmaatregelen te kunnen realiseren en/of de uitvoering daarvan te kunnen aantonen.
In
2024
is
gestart
met
de
opzet
van
een
visie
op
informatiebeveiliging
en
een
nieuw
informatiebeveiligingsbeleid. Hierin is de overstap opgenomen naar de BIO2. De BIO2 vormt het nieuwe
kader voor informatiebeveiliging binnen de overheid. Dit vernieuwde model is tot stand gekomen na een
evaluatie van de huidige BIO en sluit aan op de ontwikkelingen rondom de NIS2-richtlijn. Hiermee geeft de
BIO2 invulling aan de zorgplicht uit de NIS2-richtlijn voor de overheid. De BIO2 is onder leiding van BZK
ontwikkeld in samenwerking met gemeenten, provincies, waterschappen en het rijk. De BIO2 is gebaseerd
op de laatste versie van de ISO 27001 en de ISO 27002.
Verantwoordelijkheid
De gemeente heeft in de praktijk te maken met een aanzienlijk aantal samenwerkings- en ketenpartners,
dienstverleners en leveranciers etc. De vraag wie er actie moet ondernemen en/of wie er verantwoordelijk is
in het geval er zich een beveiligingsincident en/of datalek voordoet is niet in alle gevallen even duidelijk.
Hierover dienen goede afspraken gemaakt en ook vastgelegd te worden in (verwerkers-)overeenkomsten.
Inmiddels heeft de VNG een standaard verwerkersovereenkomst vastgesteld en is er ook bepaald dat vanaf
2020
deze
verwerkersovereenkomst
door
alle
gemeenten
in
alle
gevallen
wordt
toegepast,
tenzij
gemotiveerd hiervan af wordt geweken.
Verantwoording
De gemeente legt jaarlijks verantwoording af over de kwaliteit van de informatieveiligheid van diverse
informatiesystemen via ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA gaat vanaf 2020 uit
van
het
normenkader
van
de
BIO
en
vervangt
de
afzonderlijke
verantwoordingsprocedures
voor
de
Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD),
Basisregistratie
Adressen
en
Gebouwen
(BAG),
Basisregistratie
Grootschalige
Topografie
(BGT),
de
Basisregistratie
Ondergrond
(BRO),
de
Waardering
Onroerende
Zaken
(WOZ)
en
de
Structuur
uitvoeringsorganisatie Werk en Inkomen (Suwinet).
Met ENSIA verantwoordt de gemeente zich ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de
gemeentelijke planning en control-cyclus. Het gemeentebestuur krijgt hierdoor meer inzicht in de stand van
zaken van de informatieveiligheid van de gemeente.
De wettelijke verantwoordingsplicht is niet in alle gevallen ook direct van toepassing voor organisaties die
activiteiten voor, of namens, de gemeente uitvoeren. Indirect mag de gemeente echter wel verlangen dat er
door deze organisaties op dezelfde basis met informatieveiligheid en privacy omgegaan wordt als binnen de
eigen organisatie. Hierover worden met deze organisaties afspraken gemaakt.
Implementaties en beheer
Hoewel er overlap is met de AVG, betreft informatiebeveiliging ook totaal verschillende aspecten die een
bepaald
kennisniveau
en
expertise
vereisen.
Op
advies
van
de
Informatie
Beveiligingsdienst
voor
Nederlandse Gemeenten (IBD) zijn er functionarissen aangesteld die op dit gebied een rol hebben en over
alle aspecten die met informatieveiligheid te maken hebben kunnen adviseren en het complete spectrum
aan informatieveiligheid kunnen overzien en coördineren. Dit zijn de CISO (Chief Information Security
Officer) en de coördinator ENSIA.
Bijzondere
aandachtspunten
bij
de
implementatie
van
de
BIO
zijn
de
rol
en
positie
van
de
Gemeenschappelijke Regeling samenwerking De Bevelanden (GR De Bevelanden). Enerzijds zal de GR
voor
haar
eigen
organisatie
zelf
de
vereiste
maatregelen
moeten
implementeren,
anderzijds
zijn
de
deelnemende gemeenten voor zowel de BIO, ENSIA en AVG voor een deel afhankelijk van de invulling van
bepaalde
maatregelen (ICT, P&O)
door
de
GR.
In
2022
is
door
het algemeen
bestuur
van GR
De
Bevelanden
de
zogenaamde
I-visie
vastgesteld.
Onderdelen
hiervan
hebben
ook
betrekking
op
informatieveiligheid. Het dagelijks bestuur van GR De Bevelanden heeft op dit gebied aangegeven dat de
volgende onderwerpen prioriteit moeten krijgen bij de implementatie hiervan:
� Uitwijk
� Draaiboek bij Hacking
Beide onderwerpen zijn in de loop van 2024 gerealiseerd.
Overleg
Voor het implementeren van de BIO, ENSIA en AVG en het bewerkstelligen van bewustwording in onze
eigen organisatie is er een interne werkgroep operationeel, de regiegroep Informatieveiligheid. Overleg, over
de onderdelen die samen met de andere Bevelandse gemeenten en/of GR De Bevelanden opgepakt
worden, vindt plaats in het Deelnemersoverleg Informatiebeveiliging en het Deelnemers Overleg Privacy. Dit
is een regionale werkgroep die de regiegroep van de GR op dit gebied informeert en adviseert.
De regiegroep behandelt
ook
de
onderwerpen
die
binnen
de
Zeeuwse
norm
weerbare
overheid
zijn
benoemd. Het doel is om samen de weerbaarheid en de integriteit van de Zeeuwse overheid te versterken.
Daarmee werpen partijen ook drempels op tegen ondermijnende criminaliteit.
Ervaringen en ontwikkelingen
De implementaties (en daarna het beheer) van de AVG, beveiligingsmaatregelen in het algemeen (BIO) en
ENSIA hebben de nodige impact op de organisatie.
Voor wat betreft ENSIA is de verwachting dat de verantwoordingslast hierdoor zou dalen vooralsnog niet
waargemaakt. Ervaren wordt dat deze, ondanks de bundeling en het weghalen van dubbele vragen (aantal
vragen), alleen maar is toegenomen en dat het leveren van alle documenten die een auditor als bewijslast
opvraagt bijzonder fors is.
Agenda Digitale Veiligheid 2020-2024
In mei 2020 heeft de VNG de Agenda Digitale Veiligheid 2020-2024 gepubliceerd. Deze agenda biedt via
10 actielijnen handelingsperspectief voor de bestuurlijke praktijk. De VNG ondersteunt hiermee gemeenten
bij
de
beveiliging
van
hun
informatiesystemen
en
de
gegevens
over
inwoners
en
ondernemers.
De
hoofdonderwerpen zijn: bewustwording, governance, risicogericht handelen en werken als één overheid. De
actielijnen
zijn
onder
deze
onderwerpen
verder
uitgewerkt. De
Agenda
biedt
ook
handvatten
bij
het
voorkomen en oplossen van cyberincidenten. Dit proces is continu in beweging.
Incidenten
Er zijn in 2024 vanuit de organisatie enkele beveiligingsincidenten zoals (mogelijke) datalekken gemeld.
Deze meldingen zijn door de FG, PO en/of CISO beoordeeld en in geen van de gevallen was actie
noodzakelijk. Er zijn geen meldingen van datalekken bij de Autoriteit Persoonsgegevens (AP) gedaan in
2024.
Collegeverklaring ENSIA inzake informatiebeveiliging DigiD en SUWInet
Met deze verklaring geeft het college van B&W aan in hoeverre de beheersmaatregelen bij de gemeente
voldoen aan de voor de ENSIA-verantwoording geselecteerde normen en – indien aan de orde – welke
onderdelen daarvan zijn uitgezonderd. Ook wordt melding gemaakt van eventuele verbetermaatregelen die
de gemeente gaat treffen. De collegeverklaring wordt gezamenlijk met een door de EDP-auditor opgestelde
verklaring (Assurancerapport) separaat van het jaarverslag aangeboden aan de gemeenteraad.
Audit Wet Politiegegevens
De verwerking van
persoonsgegevens
door
BOA’s
viel
tot
25
mei 2018
onder
de
Wet
bescherming
persoonsgegevens (Wbp). Door de komst van de AVG valt de verwerking van persoonsgegevens rondom
strafbare feiten onder een andere Europese wet, namelijk EU-Richtlijn 2016/680. Deze richtlijn is omgezet in
de Wet politiegegevens (de Wpg), aangevuld met het Besluit politiegegevens (het Bpg), en is sinds 1 januari
2019 van kracht.
Bepaald is dat iedere vier jaar een externe IT-audit plaats moet vinden. Daarnaast moet er tenminste
jaarlijks een interne IT-audit uitgevoerd worden. De wet geeft aan dat we één of meerdere interne auditors
moeten opleiden.
In 2022 hebben wij een externe IT-audit laten uitvoeren door Accoris. De resultaten van deze audit hebben
wij tijdig bij de Autoriteit Persoonsgegevens aangeleverd. De audit in 2022 diende gebaseerd te zijn op een
uitgevoerde interne IT-audit. Accoris heeft getoetst of binnen de organisatie de bepalingen van de Wpg en
het Bpg op een correcte manier zijn toegepast en heeft zijn bevindingen in een rapport vastgelegd. Accoris
heeft een afkeurend oordeel gegeven over de bevindingen van deze 0-meting en heeft daarom praktische
en concrete aanbevelingen gedaan om de werkwijze te verbeteren en te voldoen aan de Wpg. Vanwege een
onvoldoende resultaat waren wij verplicht om in 2023 een verbeterplan op te stellen en een hercontrole door
een externe partij te laten uitvoeren. Accoris heeft deze hercontrole in 2024 uitgevoerd. Hiervan heeft
Accoris een rapport opgesteld en ingeleverd bij de Autoriteit Persoonsgegevens. Uit het rapport blijkt dat het
resultaat nog steeds niet op alle onderdelen voldoende is, maar dat bepaalde onderdelen wel zijn verbeterd.
Het niet volledig voldoen aan de Wpg bij hercontrole leidt op dit moment niet tot directe problemen. Vanwege
de landelijke implementatie, en de in sommige gevallen onevenredige belasting van het uitvoeren van een
audit voor kleinere gemeenten, handhaaft de Autoriteit op dit moment niet. Wel is het zaak om langzaam
maar zeker aan normen te gaan voldoen en er voor te zorgen dat in ieder geval kan worden aangetoond dat
progressie wordt gemaakt.
De interne IT-audit over het jaar 2021 is ook op tijd verricht. De uitvoering heeft plaatsgevonden door de FG
en PO van de gemeente Reimerswaal. Aangezien het de eerste keer is dat deze audit moest worden
uitgevoerd en de materie voor veel medewerkers van gemeenten nieuw was, was het toegestaan om een
nulmeting uit te voeren. Dit is dan ook gebeurd. De eerste interne IT-audit moet daarom worden gezien als
een nulmeting. Een nieuwe interne IT-audit zal in 2025 worden uitgevoerd.
Disclaimer
100% veiligheid bestaat niet. Doel is dat iedereen in de organisatie het voor hen relevante beleid op het
gebied van informatieveiligheid kent en zich bewust is waar hij of zij een rol kan spelen bij het verkleinen van
de risico’s in relatie tot informatieveiligheid. Vanaf februari 2020 wordt dit mede ondersteund door een e-
learning omgeving die beschikbaar gesteld is aan alle medewerkers en bestuurders van de Bevelandse
gemeenten en GR De Bevelanden. Vanaf het 1e kwartaal 2022 is het volgen van een aantal modules
verplicht gesteld en wordt de communicatie over informatieveiligheid geïntensiveerd.
In 2024 is gestart met een onderzoek naar een nieuw ‘awareness’ programma waarmee medewerkers
gericht getraind kunnen worden.