Informatiebeveiliging en privacy
In een digitale wereld zijn informatiebeveiliging en privacy zeer belangrijke onderwerpen. Zowel op landelijk en regionaal niveau wordt dit onderkend. Ook binnen de gemeente Hengelo wordt ervoor gezorgd dat bij de dagelijkse werkzaamheden beveiliging en privacy een prominente plek innemen door onder andere "security-by-design" en "privacy-by-design" als standaard te hanteren. We volgen de ontwikkelingen van de wet- en regelgeving om daar tijdig op te kunnen anticiperen.
Bereiken? | Gedaan? |
Uitvoeren jaarlijkse AVG-compliance toets | In 2024 is de compliance meting opnieuw uitgevoerd en is het volwassenheidsniveau gemeten aan de hand van het AVG-borgingsproduct van de VNG. Ten opzichte van 2023 is een stijging geconstateerd. Deze stijging is in lijn met de gestelde ambities, maar vraagt wel blijvende aandacht en inzet van de organisatie. |
Toezicht door de Functionaris Gegevensbescherming | In 2024 is de Functionaris Gegevensbescherming (FG) in de gelegenheid gesteld om toezicht uit te oefenen op de naleving van de regelgeving op het gebied van de Algemene Verordening Gegevensbescherming (AVG) en de Wet politiegegevens (Wpg). De FG heeft gewerkt conform een FG advies- en toezichtplan met toezichtmaatregelen. De FG heeft in 2024 aan het college verslag gedaan over het uitgevoerde toezicht. De aanbevelingen die de FG in zijn jaarverslag heeft gedaan zijn door de directie/CMT overgenomen en verwerkt in concrete maatregelen die moeten bijdragen aan het bereiken van het vereiste privacy-volwassenheidsniveau in 2026. |
Organisatie privacy | In 2024 is het team van twee privacy officers volledig operationeel geweest, wat heeft bijgedragen aan een grotere zichtbaarheid binnen de organisatie. Er is vooruitgang geboekt in het beschrijven van interne werkprocessen binnen de gemeente. Het aantal uitgevoerde DPIA’s blijft vooralsnog achter bij de gewenste doelstelling. |
Organisatie Informatiebeveiliging | In 2024 is de uitbreiding van de capaciteit op het gebied van informatiebeveiliging verder geëffectueerd. Om de digitale weerbaarheid van de gemeente te versterken, is niet alleen ingezet op security-expertise binnen het IT-bedrijf, maar is ook actief geïnvesteerd in kennisontwikkeling en optimalisatie. Er is breed ingezet op trainingen voor medewerkers om bewustwording en vaardigheden rondom informatiebeveiliging te vergroten. Daarnaast hebben we samen met een extern bureau een grondige 0-meting uitgevoerd. Dit onderzoek heeft inzicht geboden in verbeterpunten en geeft richting aan continue verbetering. |
Security & Privacy by design | In 2024 is privacy en informatiebeveiliging beter geborgd door vroegtijdig betrokken te zijn bij projecten en integratie in het projectenportfolio en het changemanagementproces. Ook de afstemming met verschillende disciplines zoals procesoptimalisatie en dienstverlening is versterkt. Dit levert een bijdrage aan het structureel verankeren van Privacy & Security by Design in onze organisatie. |
SIEM/SOC (Verzamelen, monitoren en analyseren van informatie irt informatiebeveiliging) | In 2023 is door het oprichten van een “kwaliteitsboard” het toepassen van informatiebeveiliging beter geborgd bij de start van nieuwe projecten. Doordat we in 2023 ook een IT procesmanager hebben mogen verwelkomen, borgen we beter dat informatiebeveiliging tijdens de beheerfase ook de benodigde aandacht krijgt. |
SIEM/SOC (Verzamelen, monitoren en analyseren van informatie irt informatiebeveiliging) | In 2024 heeft de gemeente actief deelgenomen aan de landelijke aanbesteding van VNG voor een nieuwe Security Incident & Event Management (SIEM)/ Security Operations Center (SOC) oplossing. Uit deze aanbesteding zijn zes potentiële aanbieders naar voren gekomen. Om de continuïteit van monitoring, detectie en respons te waarborgen, is de tijdelijke oplossing, die in 2023 werd geïmplementeerd als vervanger voor de beëindigde landelijke oplossing ook in 2024 operationeel gehouden. Eind 2024 is voorgesorteerd op de toevoeging van extra logbronnen, zodat deze in 2025 actief kunnen worden ingezet voor een bredere en effectievere monitoring. |
Bewustwording en samenwerking Informatiebeveiliging en privacy | In 2024 is veel aandacht besteed aan informatiebeveiliging en privacy voor zowel huidige als nieuwe medewerkers. Tijdens de IT-skillsweek waren er diverse activiteiten, zoals de Cybertruck (een privacy- en informatiebeveiliging escaperoom) en een lezing van een techjournalist over veilige omgang met informatie. Voor nieuwe medewerkers is de Datagame geïntroduceerd, een ‘serious game’ waarmee zij op een interactieve manier kennismaken met het inzetten van data en veilig datagebruik. Na evaluatie is besloten deze training verplicht te stellen. |
Uitvoeren van de jaarlijkse pentest | In 2024 is opnieuw een pentest uitgevoerd door een gecertificeerde partner om de beveiliging van zowel het interne als externe (cloud) netwerk van de gemeente Hengelo te toetsen. De resultaten van deze test hebben inzicht gegeven in mogelijke kwetsbaarheden en verbeterpunten. De aanbevelingen uit de pentest zijn projectmatig opgepakt en waar nodig doorgevoerd om de digitale weerbaarheid verder te versterken. Hiermee wordt continu gewerkt aan het verhogen van de beveiliging en het verkleinen van risico’s. |
Verstevigen samenwerking Twentse gemeenten | In 2024 is de samenwerking op het gebied van informatiebeveiliging en privacy met de Twentse gemeenten voortgezet en geïntensiveerd. De betrokken functionarissen, waaronder CISO’s, FG’s en PO’s (Privacy Officer), hebben structureel overleg gevoerd en elkaar ondersteund bij vraagstukken en gezamenlijke uitvoeringswerkzaamheden. In het kader van deze samenwerking is een verkenning uitgevoerd naar de mogelijkheden om op onderwerpen de samenwerking te intensiveren. Vanuit een sessie met de CISO’s en de Directeuren bedrijfsvoering zijn werkgroepen geformeerd om vier thema’s verder uit te werken voor nadere samenwerking. De gemeente Hengelo heeft binnen verschillende regionale kenniskringen een voortrekkersrol vervuld. Door deze actieve bijdrage heeft Hengelo een belangrijke rol gespeeld in het versterken van de gezamenlijke aanpak en kennisdeling binnen Twente op het gebied van informatieveiligheid en privacy. |
Risicomanagement | In 2024 is, na een succesvolle aanbesteding, gestart met de implementatie van het geselecteerde systeem. Dit traject heeft echter niet het gewenste resultaat opgeleverd. Hoewel de integrale visie op risicomanagement ongewijzigd blijft, blijkt deze niet realiseerbaar binnen het gekozen systeem. Hierdoor is integrale samenwerking in één systeem vooralsnog niet mogelijk. In 2025 wordt opnieuw naar een werkende oplossing gekeken. |
Operationele technologie | OT (Operationele Techniek) omgevingen zijn anders dan IT (Informatie Technologie) omgevingen. Hoewel beide systemen informatieopslag en -verwerking mogelijk maken, is een OT-omgeving juist bedoeld om aangesloten fysieke apparaten gecontroleerd handelingen uit te laten voeren. Een bekend voorbeeld van een OT is een Verkeersregelinstallatie die gekoppeld is aan de verkeerslichten en op basis van data zorgt voor een optimale doorstroming van het verkeer. In 2024 zijn stappen gezet om de Operationele Technologie (OT) binnen de gemeente beter in beeld en onder controle te krijgen. De inventarisatie, gestart in 2023, heeft inzicht gegeven in de aanwezige OT-systemen, de verantwoordelijken en de gebruikte data. Hoewel deze vorderingen belangrijk zijn, is er nog veel werk te verzetten om OT volledig in de grip te krijgen en de beveiliging structureel te borgen. Daarom is het noodzakelijk dat er verder gewerkt wordt aan inzicht, beleid en maatregelen om OT veilig en verantwoord te kunnen (blijven) inzetten. |
Artificial intelligence (AI) | In 2024 zijn technologische ontwikkelingen en het toenemende gebruik van Artificial Intelligence (AI) actief gevolgd en getest. Er is specifiek beleid opgesteld voor het verantwoord gebruik van generatieve AI, met aandacht voor informatieveiligheid en privacy. Daarnaast is ingezet op bewustwording en informatievoorziening voor medewerkers, zodat AI op een veilige en doordachte manier kan worden toegepast binnen de organisatie. Gezien de voortdurende ontwikkelingen op dit gebied, blijft AI een aandachtspunt binnen het bredere technologie- en beveiligingsbeleid. |