Informatiebeveiliging en privacy
In een steeds verder digitaliserende samenleving blijven informatiebeveiliging en privacy van cruciaal belang. De digitale dreigingen voor Nederland en haar inwoners zullen in 2026 onverminderd groot zijn, maar ook complexer en voortdurend in ontwikkeling. Zowel op nationaal als regionaal niveau wordt deze dreiging nadrukkelijk erkend. Binnen de gemeente Hengelo hebben informatiebeveiliging en privacy structureel een prominente plaats binnen de dagelijkse werkzaamheden. We volgen de ontwikkelingen in wet- en regelgeving – zoals de NIS2-richtlijn en de AI-verordening – nauwgezet, zodat we tijdig kunnen anticiperen op nieuwe verplichtingen en risico’s. Op deze manier waarborgen we niet alleen de veiligheid van gegevens en systemen, maar ook het vertrouwen van onze inwoners, bedrijven en partners in onze digitale dienstverlening.
Bereiken? | Doen? |
Uitvoeren jaarlijkse AVG-compliance toets | Jaarlijks wordt het volwassenheidsniveau op gebied van privacy binnen de gemeente gemeten aan de hand van het VNG AVG-borgingsproduct. In 2026 wordt deze meting opnieuw uitgevoerd om te bepalen of de gemeente op koers ligt om de vastgestelde ambitie te behalen en stellen we eventueel noodzakelijke maatregelen op. |
Toezicht door de Functionaris Gegevensbescherming | De Functionaris Gegevensbescherming (FG) zal toezicht houden op de interne naleving van de regelgeving op het gebied van gegevensbescherming en zal daarvan jaarlijks verslag doen aan de verwerkingsverantwoordelijke, het college van B en W. Ook in de periode 2026-2029 zal de FG in de uitoefening van zijn taken onafhankelijk zijn en geen instructies ontvangen. De reguliere toezichthoudende activiteiten zullen zich m.n. richten op het verwerkingenregister, DPIA’s en de behandeling van datalekken. De FG zal jaarlijks een toezichtplan opstellen. |
Monitoring en Respons (Verzamelen, monitoren en analyseren van informatie i.r.t. informatiebeveiliging) | In 2024 is een tijdelijke basisoplossing voor monitoring en respons (M&R) in gebruik genomen, waarbij gericht is gewerkt aan continue verbetering. Hengelo heeft ingeschreven op de vernieuwde landelijke aanbesteding en in 2025 is hieraan opvolging gegeven met de selectie van een nieuwe partner. Hiermee is een duurzame M&R-oplossing geborgd die vanaf 2026 ingezet wordt, met behoud van aansluiting op bestaande producten en diensten. |
Bewustwording en samenwerking informatiebeveiliging en privacy | In 2024 is het huidige bewustwordingsprogramma geëvalueerd. Uitkomsten van de evaluatie zijn gewogen en zijn meegenomen in het programma van 2025. Dit geldt zowel voor bewustwording onder huidige medewerkers als voor bewustwording bij de indiensttreding van nieuwe medewerkers. In 2026 zal hier verder vorm aan worden gegeven. Ook zal er in 2026 specifiek aandacht worden besteed aan bewustzijn voor bestuurders in het kader van nieuwe wetgeving op gebied van informatiebeveiliging. |
Uitvoeren van de jaarlijkse penetratie test | Jaarlijks laten wij door een gecertificeerde partner een penetratie test (pentest) uitvoeren door ethisch hackers, waarbij wij telkens de scope van de opdracht verleggen en aanscherpen. Een pentest is een toets op het kunnen binnendringen in het interne en externe (cloud) netwerk van de gemeente Hengelo. De aanbevelingen worden projectmatig opgepakt en doorgevoerd. In 2026 zal opnieuw een pentest worden uitgevoerd. |
Verstevigen samenwerking Twentse gemeenten | In de gedachte van kennisdeling en –exploitatie werkt de gemeente Hengelo op regionaal vlak op verschillende terreinen samen. In het IT-Platform Twente vervult de gemeente Hengelo een actieve rol op het vlak van informatiebeveiliging, privacy, informatievoorziening en IT-infrastructuren en als aanjager van regionale kennisopbouw en samenwerking. In 2026 zal de gemeente Hengelo deze voortrekkersrol blijven vervullen. |
Cyberbeveiligingswet (NIS2/Cbw) | Vanaf 2026 wordt de gemeente waarschijnlijk aangemerkt als ‘essentiële entiteit’ onder de nieuwe Cyberbeveiligingswet, die voortvloeit uit de Europese NIS2-richtlijn. Dit betekent strengere eisen op het gebied van cybersecurity, zoals het verplicht melden van ernstige incidenten, het uitvoeren van risicobeoordelingen en het aantoonbaar nemen van passende technische en organisatorische maatregelen. Ook wordt er meer nadruk gelegd op de rol van bestuurders in het toezicht op digitale weerbaarheid. Vooruitlopend hierop werken we aan de versterking van onze processen, bewustwording en samenwerking binnen de regio. De komende tijd brengen we de impact concreet in kaart, zodat we tijdig kunnen voldoen aan de nieuwe wet- en regelgeving. |