Informatiebeveiliging en -privacy
In een digitale wereld zijn informatiebeveiliging en privacy zeer belangrijke onderwerpen. Zowel op landelijk en regionaal niveau wordt dit meer en meer onderkend. Ook binnen de gemeente Hengelo wordt ervoor gezorgd dat bij de dagelijkse werkzaamheden beveiliging en privacy een prominente plek innemen door onder andere "security-by-design" en "privacy-by-design" als standaard te hanteren.
Privacy is met de komst van de AVG een belangrijke pijler geworden binnen de maatschappij. De AVG heeft tot doel dat wij, de gemeente Hengelo, nog zorgvuldiger met persoonsgegevens omgaan dan wij al deden. Ook moeten we in staat zijn om dit aan te tonen. Door technische en organisatorische maatregelen te treffen dient dit te worden bewerkstelligd.
Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.
Bereiken? | Gedaan? |
Uitvoeren jaarlijkse AVG-compliance toets | In 2023 is de compliance meting opnieuw uitgevoerd en is het volwassenheidsniveau gemeten aan de hand van het AVG-borgingsproduct van de VNG. Ten opzichte van 2022 is een stijging geconstateerd. Deze stijging is in lijn met de gestelde ambitie voor 2024. |
DPIA's | Door beperkte tijd bij proceseigenaren, het ontbreken van procesbeschrijvingen en beperkte capaciteit bij de privacy officers zijn in 2023 minder DPIA’s uitgevoerd dan gewenst. Het uitvoeren van DPIA’s gaat hand in hand met de ontwikkelingen op het gebied van het beschrijven van de interne werkprocessen. In 2023 is het verwerkingsregister van de gemeente geactualiseerd. Aan de hand van deze actualisatie heeft de Functionaris Gegevensbescherming een advies uitgebracht op welke hoog risico verwerkingen een DPIA uitgevoerd dient te worden. |
Jaarverslag Functionaris Gegevensbescherming | De FG heeft in 2023 verslag gedaan aan het college van zijn bevindingen vanuit het toezicht. Dit toezicht betreft zowel de naleving van de Algemene Verordening Gegevensbescherming (AVG) als de Wet politiegegevens (Wpg. Het toezicht op de naleving van de Wpg is door de FG in overleg met de drie betreffende domeinen (Openbare ruimte, Onderwijs/leerplicht en Werk, inkomen & zorg) vorm gegeven. De FG heeft in 2023 met name toezicht uitgeoefend op de volledigheid en juistheid van het verwerkingenregister en heeft het college geadviseerd over een prioritering in de te houden DPIA’s. In 2023 heeft de FG bijzondere aandacht gehad voor de privacy-governance in (regionale) samenwerkingen en voor het gebruik van innovatieve technologische middelen in processen. |
Formatie Privacy | In november 2023 is met het oog op de ambities van de gemeente de capaciteit op gebied van privacy uitgebreid. Hiervoor is een structurele herziening van formatie goedgekeurd. Met deze herziening is een extra privacy officer geworven. Deze privacy officer heeft als aandachtsgebied het sociaal domein. |
Organisatie Informatiebeveiliging | In 2023 is met het oog op de ambities van de gemeente capaciteit op het gebied van Informatiebeveiliging uitgebreid. Zo is er specifiek geworven op security-kennis binnen het cluster dat zich met infrastructuren en netwerken bezighoudt. Daarnaast is er geïnvesteerd in aanvullende producten binnen het Microsoft portfolio om de gemeente beter “cyberweerbaar” te maken. |
Security by design | In 2023 is door het oprichten van een “kwaliteitsboard” het toepassen van informatiebeveiliging beter geborgd bij de start van nieuwe projecten. Doordat we in 2023 ook een IT procesmanager hebben mogen verwelkomen, borgen we beter dat informatiebeveiliging tijdens de beheerfase ook de benodigde aandacht krijgt. |
SIEM/SOC (Verzamelen, monitoren en analyseren van informatie irt informatiebeveiliging) | In 2023 is een “Netwerk Detectie en Respons” oplossing aangeschaft en ingericht. Hiermee wordt informatie binnen de IT-infrastructuur, dat een relatie heeft met informatiebeveiliging, verzamelt en geanalyseerd, zodat we eventueel verdacht “verkeer” in een vroegtijdig stadium kunnen detecteren en acties kunnen ondernemen. |
Betere bewustwording Informatiebeveiliging | In 2023 is een bewustwordingsprogramma met als onderwerp informatiebeveiliging en privacy uitgevoerd. Daarnaast heeft er een phishing-simulatie plaatsgevonden. De uitkomsten geven voldoende aanleiding om in 2024 onverminderd door te gaan met de bewustwordingscampagnes. In 2023 is een vernieuwd indiensttredingsprogramma ontwikkeld en uitgevoerd. Binnen dit programma hebben de thema’s informatiebeveiliging en privacy een vaste plek gekregen. |
Uitvoeren van de jaarlijkse pentest | Er is in 2023 door een gecertificeerde partij een pentest (“check op het kunnen binnendringen van het netwerk van de gemeente Hengelo“) uitgevoerd door ethisch hackers. De bevindingen zijn besproken en projectmatig opgepakt. Omdat het dreigingsniveau steeds wijzigt en ons computernetwerk aan wijzigingen onderhevig is, wordt de scope van de pentest daarop aangepast. |
Verstevigen samenwerking Twentse gemeenten | Op het onderwerp informatiebeveiliging en privacy wordt intensief met de Twentse gemeenten opgetrokken. De verantwoordelijke medewerkers (CISO's, FG’s, PO’s) zorgen voor periodieke overleggen (kenniskringen) en ondersteunen elkaar rondom vraagstukken en uit te voeren werkzaamheden. In 2023 is een vooronderzoek gestart om te kijken of nadere samenwerking binnen het informatiebeveiligingsdomein mogelijk is, hier zal in 2024 een vervolg aan worden gegeven. |
Risicomanagement | In 2023 heeft de gemeente een risicomanagementsysteem aangeschaft na een aanbesteding. In 2023 is gestart met de inrichting van het systeem. Voor informatiebeveiliging en privacy zal nadere inrichting in 2024 worden voltooid en zal het systeem gefaseerd in gebruik worden genomen. |