Paragraaf informatieveiligheid

Inleiding

De gemeente Reimerswaal is een informatie-intensieve organisatie. Vanuit onze kernwaarden (betrouwbaar,

flexibel, daadkrachtig en eerlijk) gaan we verantwoord om met de gegevens van onze inwoners, bedrijven en

organisaties. We waken over de beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid van

gegevens en systemen als fundamentele pijlers van onze (digitale) dienstverlening.

Een specifiek type informatie zijn persoonsgegevens. Het beschermen van persoonsgegevens is essentieel

om de privacy van individuen te waarborgen.

Om de informatiebeveiliging adequaat in te vullen zijn er functionarissen (rollen) aangesteld. Hierbij wordt

samengewerkt met GR De Bevelanden en de

Bevelandse collega-gemeenten Borsele en Kapelle. Zo wordt

aan de hieronder nader toegelichte functies van functionaris gegevensbescherming en Privacy Officer met

ingang van september 2025 gezamenlijk invulling gegeven.

De functionaris gegevensbescherming (FG), ook wel bekend als een Data Protection Officer (DPO), houdt

binnen de gemeente Reimerswaal toezicht op de naleving van de privacywetgeving, zoals de Algemene

Verordening

Gegevensbescherming

(AVG).

De

FG

adviseert,

informeert

en

rapporteert

over

gegevensbeschermingskwesties en fungeert als contactpersoon voor de Autoriteit Persoonsgegevens en de

betrokkenen.

De Privacy Officer (PO), ook wel bekend als privacyfunctionaris, is verantwoordelijk voor het

privacy beleid

binnen

de

gemeente

Reimerswaal.

Hij

of

zij

adviseert,

monitort,

traint

en

ontwikkelt

beleid

om

de

persoonsgegevens van klanten, burgers en medewerkers te beschermen.

De

Chief

Information

Security

Officer

(CISO)

definieert

namens

het

management

het

informatiebeveiligingsbeleid en organiseert en stuurt de informatiebeveiliging van de gemeente Reimerswaal

in overeenstemming met de behoeften en de risicobereidheid.

Privacy

De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet (25 mei 2018) die regels stelt

aan

het

verzamelen,

gebruiken,

opslaan

en

delen

van

persoonsgegevens.

Organisaties

die

persoonsgegevens verwerken, moeten zich aan deze regels houden.

Onderdeel van de verordening is ook de plicht om datalekken te melden. Deze meldplicht houdt in dat

organisaties

(zowel

bedrijven

als

overheden)

direct

een

melding

moeten

doen

bij

de

Autoriteit

Persoonsgegevens, zodra zij een ernstig datalek hebben. Ook moeten zij het datalek melden aan de

betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).

Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris

gegevensbescherming. De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens

(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.

De AVG brengt een aantal belangrijke verplichtingen met zich mee, zoals:

- Een register van verwerkingen opstellen en actueel houden. In dit register zijn de gemeentelijke

verwerkingen van persoonsgegevens opgenomen. Ook wordt vermeld met welk doel de

persoonsgegevens worden verwerkt en aan wie deze persoonsgegevens beschikbaar zijn gesteld.

-

Indien van toepassing een Data Protection Impact Assessment (DPIA) uitvoeren naar aanleiding van

de AVG, Wet politiegegevens of Wet justitiële en strafvorderlijke gegevens.

-

Het afsluiten van verwerkersovereenkomsten met externe partijen die namens de gemeente

persoonsgegevens verwerken.

-

Duidelijke communicatie over de rechten van betrokkenen, zoals het recht op inzage of klachtrecht,

dient vindbaar te zijn.

-

De verwerkingen die er zijn, maar ook nieuwe procedures/werkprocessen/applicaties, waarbij

persoonsgegevens worden verwerkt, dienen geanalyseerd te worden op de privacy impact van de

verwerkingen en op privacy by design en privacy by default.

De gemeente Reimerswaal heeft op basis van een stappenplan de voorwaarden en verplichtingen van de

Algemene Verordening Gegevensbescherming (AVG) ingevoerd. Vanwege de verwevenheid van onze

organisatie met GR De Bevelanden wordt hierbij intensief samengewerkt met de deelnemende gemeenten

en de GR in het Deelnemersoverleg Privacy.

Op de Privacypagina op de website van de gemeente Reimerswaal is weergegeven op welke wijze de

gemeente Reimerswaal omgaat met de privacy van haar inwoners en andere betrokkenen en worden de

rechten die betrokkenen hebben nader toegelicht.

Bij gemeenten worden politiegegevens gebruikt door BOA’s ten behoeve van de verschillende gemeentelijke

toezichtstaken. Vanaf 2019 moet hierover jaarlijks een interne privacy-audit plaatsvinden op grond van de

Wet Politiegegevens (WPG).

Informatiebeveiliging

Gemeenten staan voor een onverminderd complex digitaal dreigingslandschap. Ransomware, datalekken en

uitval van processen door incidenten vormen de grootste bedreigingen. Dit vraagt om een proactieve aanpak

om digitale veiligheid te waarborgen en vertrouwen van inwoners en ondernemers te behouden. Digitale

veiligheid is geen luxe maar een noodzakelijke voorwaarde voor continuïteit en vertrouwen in gemeentelijke

dienstverlening.

Op het gebied van informatiebeveiliging heeft de gemeente Reimerswaal de ambitie om risicogericht te

werken, te anticiperen op kwetsbaarheden en het implementeren van beveiligingsmaatregelen aan de hand

van de Baseline Informatiebeveiliging Overheid versie 2 (BIO2). Deze herziene versie van de BIO is wettelijk

verankerd via de Cyberbeveiligingswet (vertaling NIS2) en verplicht overheidsinstanties te voldoen aan de

zorgplicht op het gebied van informatiebeveiliging.

De BIO2 is een doorontwikkeling van de huidige BIO 1.04. In deze nieuwe versie zijn enkele belangrijke

veranderingen doorgevoerd:

- Het principe van de basis beveiligingsniveaus (BBN’s) is losgelaten. De BIO2 hanteert een risico

gebaseerde aanpak;

-

Het inrichten van een Information Security Management System (ISMS) volgens de ISO 27001–

norm wordt verplicht gesteld;

-

De indeling van de controls/beheersmaatregelen en overheidsmaatregelen sluit aan bij vernieuwde

indeling van de ISO 27002.

De huidige opzet van het ISMS omvat een gestructureerde aanpak voor het beheren en verbeteren van de

informatiebeveiliging naar aanleiding van beveiligingsincidenten of geconstateerde risico’s en datalekken.

Nog voor aanvang van het begrotingsjaar 2026 zal dit uitgebreid worden naar de kritische processen (op

basis van de lijst die is opgesteld door de Informatie Beveiligings Dienst).

De BIO2 legt de nadruk op risicomanagement. De rol van de bestuurder en lijnmanager is ten aanzien van

risicomanagement explicieter dan voorheen. Om daaraan invulling te geven worden tegelijkertijd met de

BIO2 de ‘10 bestuurlijke principes voor informatiebeveiliging’ opgenomen in het informatiebeveiligingsbeleid.

Deze principes ondersteunen bestuurders bij de invulling van hun verantwoordelijkheid.

Het

document

‘BIO

Thema-uitwerking

Clouddiensten’

van

het

Centrum

Informatiebeveiliging

en

privacybescherming

(ICP)

biedt

de

gemeente

Reimerswaal

aanvullende

handvatten

voor

het

veilig

toepassen van Clouddiensten. Ook hier geldt dat aspecten van beschikbaarheid, integriteit, vertrouwelijkheid

en controleerbaarheid gewaarborgd moeten zijn in een informatielandschap waar de afhankelijkheid van

Clouddiensten toeneemt. In het nieuwe informatiebeveiligingsbeleid is dit verder uitgewerkt.

Gemeenten verantwoorden zich over informatiebeveiliging en informatiekwaliteit middels ENSIA. Dat staat

voor Eenduidige Normatiek Single Information Audit.

De focus van ENSIA ligt op verantwoording richting de gemeenteraad, het hoogste politieke orgaan van de

gemeente. Parallel hieraan leggen gemeenten verantwoording af aan de rijksoverheid waar het gaat om het

gebruik van landelijke voorzieningen.

ENSIA is een initiatief van gemeenten en de ministeries van BZK en SZW. ENSIA streeft naar een zo

effectief

en

efficiënt

mogelijk

ingericht

verantwoordingsstelsel

voor

informatiebeveiliging

en

informatiekwaliteit.

ENSIA wordt door gemeenten, provincies, waterschappen en enkele onderdelen binnen de rijksoverheid

gebruikt om zich intern te verantwoorden over de staat van informatiebeveiliging op basis van de BIO2 en

het gebruik van de geo-basisregistraties.

ENSIA structureert tevens de verantwoording over de Basisregistratie Personen (BRP) en Reisdocumenten,

Digitale

persoonsidentificatie

(DigiD),

Basisregistratie

Adressen

en

Gebouwen

(BAG),

Basisregistratie

Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie

Werk en Inkomen (SUWI) richting de rijksoverheid.

De wettelijke verantwoordingsplicht is niet in alle gevallen ook direct van toepassing voor organisaties die

activiteiten voor, of namens, de gemeente uitvoeren. Indirect mag de gemeente echter wel verlangen dat er

door deze organisaties op dezelfde basis met informatieveiligheid en privacy omgegaan wordt als binnen de

eigen organisatie. Hierover worden met deze organisaties afspraken gemaakt.

Bijzondere aandachtspunten zijn de rol en positie van GR De Bevelanden. Enerzijds zal deze GR voor haar

eigen organisatie zelf de vereiste maatregelen moeten implementeren, anderzijds zijn de deelnemende

gemeenten voor zowel de BIO2, ENSIA en AVG voor een deel afhankelijk van de invulling van bepaalde

maatregelen (ICT, P&O) door GR De Bevelanden.

Er is ook aandacht voor de ‘Agenda Digitale Veiligheid 2028’ van de VNG. Het doel van deze agenda is om

de digitale veiligheid van gemeentelijke dienstverlening én de digitale weerbaarheid van de inwoners en

ondernemers

te

verbeteren.

Voor

de

gemeente

Reimerswaal

betekent

dit:

voorbereiden

op

digitale

ontwrichting en streven naar een robuuste informatiebeveiliging.

Voor het implementeren van de BIO2, ENSIA en AVG en het bewerkstelligen van bewustwording in onze

eigen organisatie is er een interne werkgroep operationeel: de Regiegroep Informatieveiligheid Reimerswaal.

De regiegroep ondersteunt en bewaakt het informatiebeveiligingsbeleid en de veiligheidsvoorschriften. De

CISO rapporteert in de regiegroep periodiek over informatiebeveiliging. Ook worden hier de aansluiting en

uitwerking

van

de

thema’s

uit

de

Zeeuwse

Norm

Weerbare

Overheid

besproken

die

raken

aan

informatieveiligheid.

Overleg, over de onderdelen die samen met de andere Bevelandse gemeenten en/of GR De Bevelanden

opgepakt worden, vindt plaats in het overleg ‘Klankbordgroep Bevelandse CISO’s’

en het Deelnemers

Overleg Privacy.