Informatiebeveiliging en privacy

In een digitale wereld zijn informatiebeveiliging en privacy zeer belangrijke onderwerpen. Zowel op landelijk en regionaal niveau wordt dit meer en meer onderkend. Ook binnen de gemeente Hengelo wordt ervoor gezorgd dat bij de dagelijkse werkzaamheden beveiliging en privacy een prominente plek innemen door onder andere "security-by-design" en "privacy-by-design" als standaard te hanteren en volgen we de ontwikkelingen van de wet- en regelgeving om daar tijdig op te kunnen anticiperen.

Bereiken?

Doen?

Uitvoeren jaarlijkse AVG-compliance toets

In 2020 is het volwassenheidsniveau op gebied van privacy binnen de gemeente gemeten aan de hand van het VNG AVG-borgingsproduct. In 2024 wordt deze meting opnieuw uitgevoerd om te bepalen of de gemeente op koers ligt om de vastgestelde ambitie te behalen en stellen we eventueel noodzakelijke maatregelen op.

Toezicht door de Functionaris Gegevensbescherming

In 2024 zal de Functionaris Gegevensbescherming (FG) in de gelegenheid worden gesteld om toezicht uit te oefenen op de naleving van de regelgeving op het gebied van privacy. De FG doet jaarlijks verslag over het uitgevoerde toezicht  aan de verwerkingsverantwoordelijke, het college van B en W. Door de beschikbare capaciteit moet de FG keuzes maken in de uit te voeren activiteiten. De FG bepaalt om die reden jaarlijks een focus in het uit te oefenen toezicht, naast de reguliere toezichthoudende activiteiten die zich richten op het verwerkingenregister, DPIA’s en de behandeling van datalekken. De FG stelt jaarlijks een Toezichtplan op en zal daarin de focus voor 2024 vermelden.

Organisatie privacy

De aandacht voor privacy zal in 2024 geïntensiveerd worden. Onder andere voor het uitvoeren van DPIA’s, zodat privacy binnen projecten en processen op de juiste wijze geborgd wordt. Hiervoor gaan we de extra beschikbaar gestelde middelen gebruiken.

Organisatie Informatiebeveiliging

De focus op een goede informatiebeveiliging zal in 2024 onverminderd groot zijn, dan wel geïntensiveerd worden. Hiervoor zijn extra middelen beschikbaar gesteld. Naast de investeringen in hardware- en softwarematige oplossingen worden deze middelen aangewend om de operationele werkzaamheden rondom informatiebeveiliging uit te voeren.

Security & Privacy by design

In 2024 wordt verder vorm gegeven aan de professionalisering van privacy en informatiebeveiliging. Dit doen we onder andere door vóórdat de projecten worden uitgevoerd te waarborgen dat is nagedacht over “security & privacy”. Hierbij moet gedacht worden aan het verplicht opnemen van “security & privacy” controlelijsten en het verplicht beschrijven van de wijze waarop aandacht in een project wordt besteed aan “security & privacy”, waarbij afstemming met de “security & privacy” functionarissen gezocht moet worden.

SIEM/SOC
(Verzamelen, monitoren en analyseren van informatie i.r.t. informatiebeveiliging)

Security Incident & Event Management (SIEM) zorgt als oplossing voor monitoring, detectie en signalering van mogelijke beveiligingsincidenten in een IT omgeving.

Security Operations Center (SOC) kan worden gezien als de plek in de organisatie waar gespecialiseerde medewerkers werken die ervoor zorgen dat de taken die voortkomend uit de resultaten van de SIEM opvolging krijgen.

In 2023 is een tijdelijke oplossing aangeschaft als vervanger voor de eerder beëindigde landelijke oplossing van KPN. In 2024 zal onderzocht worden of het aanbod afkomstig uit de nieuwe landelijke aanbesteding (afronding eind 2023) aan kan sluiten bij de bestaande oplossingen.

Bewustwording en samenwerking Informatiebeveiliging en privacy

In 2024 wordt er, vergelijkbaar met 2023, voor alle medewerkers van de gemeente Hengelo een bewustwordingsprogramma met als onderwerpen informatiebeveiliging en privacy georganiseerd. Daarnaast zal er meer aandacht worden besteed aan informatiebeveiliging en privacy bij indiensttreding van nieuwe medewerkers.

Uitvoeren van de jaarlijkse pentest

In 2023 is door een gecertificeerde partner een pentest ("check op het kunnen binnendringen van het interne en externe (cloud) netwerk van de gemeente Hengelo") uitgevoerd. De aanbevelingen zijn projectmatig opgepakt en worden doorgevoerd. In 2024 zal opnieuw een pentest worden ingepland.

Verstevigen samenwerking Twentse gemeenten

Op het onderwerp informatiebeveiliging en privacy wordt intensief met de andere Twentse gemeenten opgetrokken. De vakinhoudelijk betrokken medewerkers (CISO's, FG’s en PO’s) zorgen voor periodieke overleggen en ondersteunen elkaar rondom vraagstukken en uit te voeren werkzaamheden. Informatieveiligheid en privacy kan immers niet (meer) alleen op het niveau van een individuele gemeente opgepakt worden. Deze regionale samenwerking zal in 2024 worden gecontinueerd en waar mogelijk geïntensiveerd.

Risicomanagement

Om voldoende grip te houden op de in de BIO en AVG vereiste maatregelen is het van belang om deze onderdelen goed in kaart te brengen, overzicht te houden en verantwoording te geven over de voortgang. In 2023 is na een aanbestedingstraject een systeem geselecteerd om risicogerichter op informatiebeveiliging en privacy te sturen. In 2024 zal het systeem worden ingericht en in gebruik genomen.

Operationele technologie

OT (Operationele Techniek) omgevingen zijn anders dan IT (Informatie Technologie) omgevingen. Hoewel beide systemen informatieopslag en
-verwerking mogelijk maken, is een OT omgeving juist bedoeld om aangesloten fysieke apparaten gecontroleerd handelingen uit te laten voeren. Een bekend voorbeeld van een OT is een Verkeer Regel Installatie die gekoppeld is aan de verkeerslichten en op basis van data zorgt voor een optimale doorstroming van het verkeer. OT wordt in allerlei sectoren op kleine en grote schaal toegepast. Denk hierbij aan industrie, logistiek (zowel vracht als personen), de agrarische sector en de medische sector. Maar bijvoorbeeld ook aan de beheersing van faciliteiten rondom terreinen en gebouwen (gebouw en klimaatbeheer). OT speelt een cruciale rol in vitale infrastructuren (energie, verkeer, veiligheid en milieu) op zowel landelijk, provinciaal als ook gemeentelijke niveau. Daarom is het belangrijk om te weten op welke wijze deze technologieën beveiligd zijn en welke data wordt opgeslagen.

In 2023 is gestart met een inventarisatie om in kaart te brengen welke OT in onze gemeente aanwezig en wie daarvoor verantwoordelijk is en welke data wordt gebruikt. In 2024 zal hier verder beleid voor ontwikkeld worden met als doel om OT veilig en verantwoord in te kunnen (blijven) zetten.

Artificial Intelligence (AI)

Technologische ontwikkelingen en frequenter gebruik van Artificial Intelligence (AI) binnen software hebben een steeds grotere impact.

Hoe om te gaan met deze ontwikkelingen wordt beleidsmatig opgepakt. In 2024 wordt er vanuit informatieveiligheid en privacy extra aandacht gegeven aan het informeren van de medewerkers over deze nieuwe mogelijkheden en zorg te dragen dat verantwoord met AI wordt omgegaan. In 2023 zijn we al gestart met het opstellen van beleid rondom AI. Dit zal in 2024 verder gedetailleerd worden dan wel opvolging krijgen. Technologische vernieuwingen (en daarmee ook gewijzigde/nieuwe inzichten) zullen immers blijvend zijn.

Stel uw jaarverslag zelf samen

SELECTIE

0 - geselecteerd