Home / Paragrafen / Bedrijfsvoering / Informatieveiligheid

Informatieveiligheid

De samenleving moet erop kunnen vertrouwen dat de gemeente zorgvuldig met hun gegevens omgaat. We zien dat het belang van privacy sterk toeneemt, onder andere door de taken binnen het sociale domein die de gemeente heeft overgenomen. We hebben de wettelijke en morele plicht om uiterst zorgvuldig om te gaan met privacygevoelige informatie.

Goede sturing geven aan informatieveiligheid en privacy is van veel factoren afhankelijk: van het gedrag van medewerkers tot aan werkprocedures, personele eisen, beveiliging van middelen en gebouwen en technische maatregelen. In 2017 namen we diverse organisatorische en technische beheersmaatregelen om de informatieveiligheid te vergroten: het vergroten van de technische weerbaarheid van informatiesystemen tegen cybercriminaliteit en onbevoegde toegang tot informatie, het vergroten van bewustwording en vaardigheden van personeel en het aanscherpen van procedures. Ondanks alle voorzorgsmaatregelen zullen we nooit 100% beveiligd zijn. Ook in 2017 zijn we geconfronteerd met enkele beveiligingsincidenten en datalekken. Deze zijn snel opgepakt en afgehandeld. Daarbij is geen materiële schade ontstaan of data verloren geraakt.

Vanaf 2017 moeten gemeenten door middel van ENSIA (Eenduidige Normatiek Single Information Audit) elk jaar verantwoording afleggen over de kwaliteit van de informatieveiligheid van diverse informatiesystemen. Met ENSIA is ook de verantwoordingssystematiek over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Inkomen (SUWInet) samengevoegd en gestroomlijnd. Uitgangspunt is het verantwoordingsproces aan de gemeenteraad. Dit vormt de basis voor het verantwoordingsproces aan onze toezichthouders (Provincie en ministeries) die een rol hebben in het toezicht op informatieveiligheid.

Op hoofdlijnen ziet het ENSIA-verantwoordingsproces er als volgt uit:

jaarlijks voert de gemeente een zelfevaluatie informatieveiligheid uit op basis van het normenkader van de Baseline Informatiebeveiliging Gemeenten (BIG);
het college stelt hierover een collegeverklaring op;
een IT-auditor controleert de collegeverklaring en stelt een assurance-rapport op;
de gemeenteraad controleert de informatieveiligheid van de gemeente en stelt de jaarstukken vast.