Informatiebeveiliging en -privacy
In een digitale wereld zijn informatiebeveiliging en privacy zeer belangrijke onderwerpen. Zowel op landelijk en regionaal niveau wordt dit meer en meer onderkend. Ook binnen de gemeente Hengelo wordt ervoor gezorgd dat bij de dagelijkse werkzaamheden beveiliging en privacy een prominente plek innemen door onder andere "security-by-design" en "privacy-by-design" als standaard te hanteren.
Privacy is met de komst van de AVG een belangrijke pijler geworden binnen de maatschappij. De AVG heeft tot doel dat wij, de gemeente Hengelo, nog zorgvuldiger met persoonsgegevens omgaan dan wij al deden. Ook moeten we in staat zijn om dit aan te tonen. Door technische en organisatorische maatregelen te treffen dient dit te worden bewerkstelligd.
Informatiebeveiliging is het proces van vaststellen van de vereiste beveiliging van informatiesystemen in termen van vertrouwelijkheid, beschikbaarheid en integriteit alsmede het treffen, onderhouden en controleren van een samenhangend pakket van bijbehorende maatregelen.
Bereiken? | Gedaan? |
Uitvoeren jaarlijkse AVG-compliance toets | In 2022 is de AVG-compliance toets opnieuw uitgevoerd en is het volwassenheidsniveau gemeten aan de hand van het AVG-borgingsproduct van de VNG. Ten opzichte van 2021 is een lichte stijging geconstateerd. De organisatie bevindt zich op niveau 2 van 5. Indien deze lijn wordt doorgetrokken wordt het gewenste ambitiniveau 4 in 2026 waarschijnlijk niet behaald. In 2023 zorgen we ervoor dat de implicaties hiervan inzichtelijk zijn, zodat we correcte vervolgacties kunnen nemen. |
Implementatie van privacy by design | We hebben binnen de gemeente een toepassing beschikbaar om "privacy-by-design" binnen de organisatie in een zo vroeg mogelijk stadium te borgen. De toepassing borgt zowel de technische als procesmatige aspecten. In 2022 hebben we geconstateerd dat het toepassen hiervan binnen processen nog niet voldoende is geborgd. De verbinding tussen procesadviseurs en privacy is gelegd maar door beperkte capaciteit heeft dit nog niet geleid tot voldoende gebruik van de toepassing. Er wordt onderzocht hoe ‘privacy by design’ een vast onderdeel kan worden bij het opstellen van processen. De handvatten van de toepassing over ‘privacy by design’ worden wel steeds beter toegepast binnen projecten. Zo is in 2022 een kwaliteitsboard ingericht waarbij de aspecten van ‘privacy by design’ voor aanvang van projecten wordt getoetst. |
Ontwikkeling vaste DPIA-methodiek | De vaste methodiek voor DPIA’s op verwerkingen is opgesteld. In 2022 zijn diverse DPIA’s & risicosessies uitgevoerd aan de hand waarvan privacy en informatiebeveiligingsrisico’s zijn blootgelegd. Ook voor DPIA’s op systemen wordt gewerkt aan een uniforme methodiek. |
Jaarverslag Functionaris Gegevensbescherming | De FG heeft een jaarverslag opgesteld over de stand van zaken in onze organisatie omtrent gegevensbescherming in 2021. De FG heeft een aantal concrete aanbevelingen gedaan in zijn jaarverslag, die zijn meegenomen in de uitgevoerde activiteiten van 2022 en (deels) nog in uitvoering zijn. |
Organisatie van de Informatiebeveiliging | In 2022 is de informatiebeveiligingsfunctie en de volle breedte verstevigd. De functie van CISO (Chief Information Security Officer) is ingevuld en zijn daarnaast een ISO (Information Security Officer) en een Technisch Specialist met security als aandachtsgebied gestart waardoor de aandacht voor informatiebeveiliging geïntensiveerd kan worden en we invulling hebben kunnen geven aan specialisaties op deze vakgebieden. |
Security by design | In 2022 zijn de onderdelen informatiebeveiliging en privacy als thema opgenomen in het inkoopproces en is daarnaast een kwaliteitsboard opgericht waardoor onder andere ‘security by design’ voor aanvang van projecten wordt getoetst. |
SIEM/SOC | In 2022 waren we vergevorderd met de implementatie van SIEM/SOC (Monitoring en Response van beveiligingsincidenten). Er is door de VNG besloten om te stoppen met deze dienstverlening. Daarom zijn we genoodzaakt een nieuwe oplossing aan te besteden. Hier is eind 2022 in regionaal verband een vervolg aan gegeven en volgen we tevens de landelijke ontwikkelingen. |
Betere bewustwording Informatiebeveiliging | In 2022 is een bewustwordingsprogramma met als onderwerp informatiebeveiliging en privacy uitgevoerd en is er een kennistest afgenomen. Ook is er een een phishing-simulatie uitgevoerd. |
Uitvoeren van de jaarlijkse pentest | Er is door een gecertificeerde partij een pentest ("check op het kunnen binnendringen van het netwerk van de gemeente Hengelo") uitgevoerd door ethisch hackers en de bevindingen zijn besproken en projectmatig opgepakt. |
Verstevigen samenwerking Twentse gemeenten | Op het onderwerp informatiebeveiliging en privacy wordt intensief met de Twentse gemeenten opgetrokken. De verantwoordelijke medewerkers (CISO's (Beveiliging), FG’s (Gegevensbescherming)) zorgen voor periodieke overleggen (kenniskringen) en ondersteunen elkaar rondom vraagstukken en uit te voeren werkzaamheden. In 2022 is hier de privacy officer-kenniskring (Privacy) aan toegevoegd en is een werkgroep gestart om samen te werken op het gebied van monitoring en response. |