Bedrijfsvoering

De Baseline Informatiebeveiliging Overheid (BIO) vormt één gezamenlijk normenkaders voor de gehele overheid, gebaseerd op ISO27001/2. Alle gemeenten in Nederland moeten voldoen aan de BIO. De BIO omvat een pakket maatregelen die betrekking hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om te voldoen aan de BIO dient de gemeente maatregelen te nemen om de informatieveiligheid van overheidsinformatie en persoonsgegevens te waarborgen. De maatregelen zijn zowel technisch als organisatorisch van aard.
Technische maatregelen: In 2022-2023 neemt de gemeente aanvullende technische maatregelen met het inrichten van een SIEM/SOC omgeving waarbij extern dataverkeer wordt gemonitord.
Organisatorische maatregelen: De organisatorische maatregelen omvatten dat de gemeente de verantwoording voor informatiebeveiliging organisatie breed moet beleggen en binnen de afzonderlijke teams ook voldoende capaciteit voor beschikbaar moet maken om decentraal aan de informatiebeveiligingseisen te kunnen voldoen. De organisatorische maatregelen vereisen een integrale aanpak bij de inrichting en toewijzing van operationele taken. Het gaat hierbij om taken op gebied van Personeel & Organisatie, Inkoop, Facilitair, vastgoedbeheer en ICT en o.a. om taken binnen het domein Burgerzaken. Met een integrale benadering en taakverdeling kan de gemeente weerbaar worden tegen cybersecurity en/of in staat zijn om ten tijde van een cyberaanval, adequaat te handelen.

De Algemene Verordening Gegevensbescherming (AVG) en de Wet Politiegegevens (Wpg) zijn de normenkaders die richting geven aan de verplichtingen waaraan de gemeente persoonsgegevens verwerkt in haar processen. De beide wettelijke kaders zijn vertaald naar het privacybeleid van de gemeente. In de zomer van 2021 is getart met het verwerkingsregister voor de AVG. In 2023 wordt de implementatie van het verwerkingsregister in de organisatie gerealiseerd en het verwerkingsregister voor de Wet politiegegevens wordt afgerond.   

Sinds 2021 werkt de gemeente met een communicatieplan en voert planmatig activiteiten uit om de kennis, houding en het gedrag op gebied van informatiebeveiliging en gegevensbescherming te verhogen. Medewerkers en ook gemeenteraadsleden en commissieleden ontvangen wekelijks een vraag over informatieveiligheid en bescherming van persoonsgegevens in hun mailbox. De resultaten van de activiteiten worden gemeten en geanalyseerd, waardoor inzichtelijk is op welke gebieden de medewerkers aanvullend moeten worden getraind. Naast een generieke aanpak blijft de gemeente investeren in kennis van individuele medewerkers als de rol van de medewerker diepgaande kennis vereist.

De gemeente is verplicht om jaarlijks te voldoen aan de verplichtingen volgens de ENSIA (Eenduidige Normatiek Single Information Audit) en daarnaast aan de (ex- en interne) audit verplichtingen volgens de Wet Politiegegevens (Wpg).
De ENSIA omvat toezicht op gebied van de technische en organisatorische inrichting conform de Baseline Informatiebeveiliging Overheid (BIO) waarbij de scope is gericht op de domeinen die actief zijn met taken gerelateerd aan de Basisregistratie Personen (BRP), reisdocumenten (paspoorten en Nederlandse identiteitskaarten), DigiD (digitale identificatie), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en Suwinet (infrastructuur voor uitwisseling gegevens tussen instanties binnen het sociaal domein).
Sinds 2019 is de gemeente verplicht om jaarlijks de verwerking van politiegegevens te auditen. In 2023 geldt een interne auditplicht. Naast de interne audit dient de gemeente het verbeterplan, afgeleid van de externe audit Wpg van 2022, uit te voeren.
Om de uitvoering van de ENSIA verantwoording en de periodieke uitvoering van de interne audits Wpg te waarborgen neemt de gemeente in 2023 de audits op in een centraal auditplan.