Jaarrekening 2018

§5. Bedrijfsvoering

c. Informatiebeveiliging

Algemeen beeld Informatieveiligheid en Privacy

Eenieder heeft er recht op dat de gemeente zorgvuldig met zijn/haar persoonsgegevens omgaat. Onder de verantwoordelijkheid van de gemeente vindt er namelijk een groot aantal verwerkingsactiviteiten plaats met persoonsgegevens. Het is dan ook de taak en de verantwoordelijkheid van de gemeente om de privacyrechten van haar burgers, en medewerkers, te borgen en gegevensbescherming een prominente plek te geven binnen de gemeentelijke organisatie

Het college van burgemeester en wethouders legt over het jaar 2018 verantwoording af over de status van privacy en informatiebeveiliging.

Op 25 mei 2018 verkreeg de zogenaamde Privacyverordening, oftewel de Europese Algemene Verordening Gegevensbescherming (voortaan; AVG) rechtstreekse werking in Nederland. Dit had tot gevolg dat de gemeente vanaf die datum diende te voldoen aan daaruit voortvloeiende wettelijke verplichtingen. De noodzaak om privacy maatregelen te (te gaan) treffen om AVG-compliant te handelen werden door het bestuur en management reeds in het jaar 2017gevoeld. Zo werd gestart met het vaststellen van algemeen privacybeleid, inclusief een uitvoeringsplan 2017-2018 met daarin de door de gemeente na te komen wettelijke verplichtingen vertaald naar uit te voeren maatregelen. Ook werd een Functionaris Gegevensbescherming (FG) aangesteld en werd er voor deze functie een “reglement taken en bevoegdheden FG” vastgesteld. Met betrekking tot de uit te voeren maatregelen werd in het begin van 2018 presentaties gegeven zowel aan de bestuurlijk, ambtelijk als operationeel verantwoordelijken en . werd verdergaand uitvoering gegeven aan de eerdergenoemde te nemen maatregelen.  

Inzake informatiebeveiliging hebben alle gemeenten in het jaar 2017 voor de eerste keer de verantwoording aan hun eigen toezichthouder, de raad, en de toezichthouders van het rijk middels de ENSIA systematiek uitgevoerd. ENSIA staat voor Eenduidige Normatiek Single Information Audit. Voor de verantwoording aan de gemeenteraad sluit ENSIA aan op de gemeentelijke planning-en-control cyclus. ENSIA neemt de Baseline Informatiebeveiliging Gemeenten (BIG) als uitgangspunt. In dit kader is er in de Commissie Algemene Zaken in juni 2018 een presentatie gegeven over Informatiebeleid en –Informatiebeveiliging. Vanuit deze horizontale (gemeente brede) zelfevaluatie wordt eveneens de verantwoording aan de stelselhouders bij het rijk afgeleid, de zogenaamde verticale verantwoording. Voor de uitvoering wordt gebruik gemaakt van zelfevaluatie. Kerkrade heeft zich ten doel gesteld om zorgvuldig om te gaan met informatie, dit te combineren met een betrouwbare dienstverlening en daarbij tevens te voldoen aan de nieuwe privacy wet- en regelgeving. Inmiddels is dan ook volop ingezet om te komen tot een BIG compliance om daarmee te voldoen aan het gestelde basisnormenkader.

Het informatie(veiligheids)beleid heeft een eerste taakvolwassenheid bereikt. De Ensia met bijbehorende eerste Assuranceverklaring is tijdig en correct uitgevoerd.

Acties
In 2018 is het omvangrijke proces inzake de implementatie en verantwoording van informatiebeveiliging gecontinueerd. Voor privacy geldt dat de in het jaar 2017 ingezette koers om te komen tot AVG compliancy in het jaar 2018 werd voortgezet. De volgende specifieke acties zijn dienaangaande uitgevoerd met betrekking tot beide aspecten;

Privacy (AVG)

  • Actualisering en herijking van het beleid inzake privacy; Actualisering en herijking van het uitvoeringsjaarplan 2017-2018 in een implementatiejaarplan 2019 met een bijbehorende 151- maatregelenmatrix (de na te komen wettelijke verplichtingen);
  • 3 AVG-verplichtingen qua opzet en bestaan nader uitgewerkt in projectplannen. Dit ter operationalisering en inbedding van de maatregelen in de gemeentelijke (primaire) bedrijfsvoering (werking). Het betreft het Gemeentelijk Register van Verwerkingsactiviteiten (GRV), procedures omtrent de rechten van betrokkenen en de procedure meldplicht datalek;
  • Aansluiting gerealiseerd bij de governance en reeds bestaande overlegforums op operationeel, tactisch en strategisch niveau inzake informatiebeveiliging;
  • Middels de reguliere PDCA cyclus wordt privacy uitgedragen.
  • Bewustwordingscampagne opgestart. Er zijn regelmatig presentaties (“Kick-Off Privacy” en “Marsroute Privacy”) gegeven aan zowel de bestuurlijk, als ambtelijk als operationeel privacy verantwoordelijken en aan de Ondernemingsraad (OR).Daarnaast werden geregeld berichten op het Social intranet D’r Joep geplaatst of analoog binnen de gemeente gecommuniceerd ter bevordering van de privacy bewustwording van het personeel.


Informatiebeveiliging

  • Zelfevaluatie ENSIA afgerond: Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWI)
  • Middels de reguliere Plan-Do-Check-Act cyclus wordt privacy uitgedragen. Er is een uitgebreide informatie-veiligheidsanalyse uitgevoerd (GAP analyse, Risico inventarisatie en evaluatie) wat resulteert in een integraal jaarplan informatieveiligheid
  • Middels Conform het informatiebeveiligingsbeleid is de Governance verder doorgevoerd wat geresulteerd heeft in diverse overleg forums op operationeel, tactisch en strategisch niveau
  • Bewustwordingscampagne opgestart

Resultaten

  • Opzet, bestaan en werking van procedures worden via werklijsten uitgevoerd;
  • Voortgang wordt via reguliere rapportages bewaakt en daar waar nodig bijgestuurd in desbetreffende eerdergenoemde overlegforums;
  • Het GRV wordt in de i-navigator gedigitaliseerd;
  • Het ENSIA proces is in het zakensysteem Corsa Nxt gedigitaliseerd;
  • Parkstad IT heeft een Third Party Mededeling type 1 afgegeven
  • De organisatie is meer bewust van privacy en informatiebeveiliging
  • Collegeverklaring inclusief bijlagen DigiD en Suwinet vastgesteld door College
  • Assurancerapport 2018 is begin 2019 verkregen vanuit de IT audit
  • BAG en BGT verantwoording wordt in 2019 afgerond

Privacy en Informatiebeveiliging zijn zoals eerder aangegeven van belang omdat inwoners en partners er op moeten kunnen vertrouwen dat de gemeente zorgvuldig met hun gegevens omgaat. Goede sturing geven aan privacy en informatiebeveiliging blijft complex, omdat er veel afhankelijkheden zijn en het veel facetten betreft waaronder niet limitatief;

  • het gedrag van medewerkers;
  • de werkprocedures;
  • personele eisen;
  • beveiliging van middelen en gebouwen; en
  • technische maatregelen.

De beheersmaatregelen die Kerkrade heeft genomen om de informatieveiligheid te vergroten bestaan uit passende organisatorische en technische maatregelen, waarbij gebruik werd gemaakt van informatie en middelen die door de VNG en Informatiebeveiligingsdienst (IBD) werden aangereikt. In de informatieveiligheidsanalyse zijn hiervoor de “10 bestuurlijke principes Informatieveiligheid” en het “Dreigingsbeeld IBD” verwerkt.

Op ICT-gebied betekent dat het vergroten van de technische weerbaarheid van informatiesystemen tegen cybercriminaliteit en onbevoegde toegang tot informatie, waarvoor geldelijke middelen zijn gebudgetteerd.

De maatregelen die Kerkrade heeft genomen (en verdergaand zal gaan treffen) om AVG-compliant te handelen zijn maatregelen van eerdergenoemde 151-maatregelen matrix, waarbij eveneens gebruik werd gemaakt van informatie en middelen die door de VNG Realisatie en de Autoriteit Persoonsgegevens (voortaan; AP) werden aangereikt. In deze 151-maatregelenmatrix zijn het 5-stappenplan van de VNG en het 10-stappenplan van de AP verwerkt.

Aandacht voor privacy en informatiebeveiliging zijn vooral kwesties van gedrag en cultuur. Beveiligingsincidenten, en mogelijke datalekken, worden meestal veroorzaakt door gedrag van medewerkers en niet door problemen met de techniek. Organisatorische maatregelen in het jaar 2017 betroffen zowel voor privacy als voor informatiebeveiliging met name het vergroten van bewustwording en vaardigheden bij iedere medewerker en het aanscherpen (bestaan en werking) van procedures.

Ondanks deze voorzorgsmaatregelen kunnen zich echter toch beveiligingsincidenten/datalekken voordoen. Om hier goed voorbereid op te zijn, zijn een incidenten- en datalekprotocol opgesteld en bewustwordingsactiviteiten geïnitieerd voor het personeel.

Door privacy en informatiebeveiliging als cyclisch proces te benaderen (PDCA cyclus) is Kerkrade ervan overtuigd te kunnen blijven inhaken op de nieuwste ontwikkelingen, en de privacy van burgers en bedrijven te kunnen blijven waarborgen. Op basis van deze cyclus wordt gekeken naar de huidige werkzaamheden omtrent informatieveiligheid en privacy en wordt jaarlijks een plan van aanpak opgesteld ter verbetering hiervan (de jaarplannen).

Gemeenten gaan vanaf 1 januari 2020 samen met de rijksoverheid, de waterschappen en de provincies één uniform normenkader voor informatiebeveiliging hanteren, de zogenaamde Baseline Informatiebeveiliging Overheid (BIO). Deze BIO is een ‘update’ van de eerdergenoemde BIG en net als de huidige baseline gebaseerd op de internationale ISO27001/2-standaard. Het komende jaar 2019 zal dan ook als een overgangsjaar gelden. Het jaar 2019 zal daarbij in het teken gaan staan van het continueren en verdergaand inbedden van privacy en informatieveiligheidsaspecten in de organisatie, met aldus extra aandacht voor de overgang naar de Baseline Informatiebeveiliging Overheid (BIO).

ICT
In 2017 is er een nieuw informatiebeleidsplan vastgesteld voor de periode 2017-2020 met daarin de volgende strategische thema’s opgenomen:

  1. Basis op orde
  2. Digitalisering
  3. Zaakgericht werken
  4. Informatiebeveiliging
  5. (Keten)samenwerking

Het informatiebeleidsplan is leading voor de toekomstige investeringen. In 2018 is uitvoering gegeven aan de volgende ICT-projecten:

  1. Implementatie e-facturering met Corsa e-invoice
  2. Implementatie vergadersysteem iBABS
  3. Lancering nieuwe website/ sociaal intranet
  4. Vervanging patchkast raadhuis
  5. Integratie Buiten Beter App met Liber/ Corsa
  6. Aanschaf iPADS college-, raad-, en commissieleden
  7. Aanschaf lucht-, obliek- en panorama-foto’s 2018 t.b.v. kaartviewer
  8. Vervanging beheersoftware ruimtelijke plannen RoTotaal door Squit 2020
  9. Koppeling van het systeem Competensys - WSP Parkstad
ga terug