Informatiebeveiliging
Digitaal werken en met elkaar communiceren is niet meer weg te denken uit de huidige maatschappij en zal zich in de toekomst verder blijven ontwikkelen. Voor de gemeente betekent dit dat een goede beveiliging en controleerbaar gebruik van privacygevoelige gegevens noodzakelijk is. Daarom gaan we door op de ingeslagen weg van professionalisering van de informatiebeveiliging en omgang met privacygevoelige informatie.
Voor de Algemene Verordening gegevensbescherming (AVG) voldoen we nu aan de afgesproken 6 maatregelen:
- het beschikken over een register van verwerkingsactiviteiten;
- het kunnen uitvoeren van een data protection impact assessment (DPIA) voor gegevensverwerkingen met een hoog privacyrisico;
- het beschikken over een register van datalekken die zijn opgetreden. Er is een protocol datalekken en bij ontstane datalekken zijn directie en burgemeester geïnformeerd;
- het aantonen dat een betrokkene daadwerkelijk toestemming heeft gegeven voor een gegevensverwerking wanneer daarvoor toestemming nodig is;
- het aangesteld hebben van een Functionaris gegevensbescherming en aangemeld hebben bij de Autoriteit persoonsgegevens;
- het beschikken over een procedure voor inzage in persoonsgegevens.
Afgelopen jaar hebben we ook de jaarlijkse ENSIA-audit succesvol doorlopen met daarbij de horizontale verantwoording naar de raad en verticaal naar de landelijke toezichthouders. Voor de Baseline informatiebeveiliging Nederlandse gemeenten (BIG) hebben we gewerkt aan de afgesproken 4 prioriteiten:
- De organisatie van de informatiebeveiliging en bewustwording: er is een CISO aangesteld. De bewustwording bij alle medewerkers is opgepakt met Heusdense-schoolsessies, Phishing mail-actie naar het personeel en wekelijks berichten met actuele voorbeelden op het intranet.
- Bedrijfscontinuïteit: bewustwordingsessies bij het management en risicoanalyses gemaakt voor de belangrijkste processen van het KlantContactCentrum. In de ICT-organisatie meer aandacht gegeven aan dit onderwerp en waar mogelijk al concrete aanpassingen.
- Verwerving, onderhoud en ontwikkeling van systemen: voor de inkoop zijn de GIBIT-voorwaarden vastgesteld en een verplichte verwerkingsovereenkomst zodat er meer aandacht is voor beveiligen van de informatie in het traject.
- P&C-cyclus implementeren met een Information Security Management System (ISMS): de maatregelen zijn opgenomen in een ISMS waarin de planning en voltooide punten worden bijgehouden.