6.7.6 Informatiebeveiliging en privacy
In een digitale wereld zijn informatiebeveiliging en privacy zeer belangrijke onderwerpen. Zowel op landelijk en regionaal niveau wordt dit meer en meer onderkend. Ook binnen de gemeente Hengelo wordt ervoor gezorgd dat bij de dagelijkse werkzaamheden beveiliging en privacy een prominente plek innemen door onder andere "security-by-design" en "privacy-by-design" als standaard te hanteren en volgen we de ontwikkelingen van de wet- en regelgeving om daar tijdig op te kunnen anticiperen.
Bereiken? | Doen? |
Uitvoeren jaarlijkse AVG-compliance toets | In 2020 is het volwassenheidsniveau op gebied van privacy binnen de gemeente gemeten aan de hand van het VNG AVG-borgingsproduct. In 2023 wordt deze meting opnieuw uitgevoerd om te bepalen of we op koers liggen om de vastgestelde ambitie te behalen en stellen eventueel noodzakelijke maatregelen op. |
DPIA’s | De gemeente is verplicht Data Protection Impact Assessments (DPIA's) uit te voeren op grond van de AVG. Hiermee worden privacy risico’s in kaart gebracht wanneer persoonsgegevens worden verwerkt. Om DPIA’s zelfstandig uit te voeren als organisatie is een uniforme methodiek ontwikkeld die breed toepasbaar is binnen de gemeente. In 2023 gaan we dan ook diverse DPIA's op basis van deze methodiek uitvoeren. |
Jaarverslag Functionaris Gegevensbescherming | In 2023 zal de Functionaris Gegevensbescherming zijn jaarlijkse verslag omtrent de AVG-compliance opleveren aan de verwerkingsverantwoordelijke, doorgaans het college van B en W. Daarnaast moet door de beschikbare capaciteit de FG keuzes maken in uit te voeren activiteiten. De speerpunten liggen voor 2023 daarom voornamelijk op: het verwerkingenregister, DPIA’s en Ad hoc-toezicht. |
Formatie privacy | In 2022 is door M&I/Partners onderzoek verricht naar wat er nodig is om een toekomstbestendige privacy organisatie te zijn en blijven. Daarbij is onder andere de verhouding van de gestelde ambities van de gemeente en de beschikbare capaciteit en middelen op het gebied van privacy onderzocht. Geconcludeerd is dat tijdelijk extra capaciteit gewenst is en mogelijk ook voor de lange termijn om de ontwikkelingen op het gebied van privacy goed te kunnen blijven bewaken. Bij de Zomernota 2023-2027 zal indien noodzakelijk een voorstel tot herziening van de structurele formatie aan de raad worden aangeboden. |
Organisatie Informatiebeveiliging | De aandacht voor informatiebeveiliging zal in 2023 geïntensiveerd worden. Hiervoor zijn middelen in de Kadernota beschikbaar gesteld. Naast de investeringen in hardware- en softwarematige oplossingen worden deze middelen aangewend om de operationele werkzaamheden rondom informatiebeveiliging uit te voeren. |
Security & Privacy by design | De in 2021 opgestelde checklist informatiebeveiliging ("security-by-design") wordt toegepast bij de aanschaf van nieuwe en migratie van bestaande applicaties. De checklist is onderdeel geworden van het inkoopproces. In 2023 wordt verder gewerkt aan een model voor business impact analyse (BIA) waar de onderdelen informatiebeveiliging en privacy voorafgaand of in de startfase van een project in samenspraak met de opdrachtgever uitgevoerd gaat worden. Op basis van de uitkomsten kan worden bepaald in welke mate informatiebeveiliging en privacy “by design” toegepast moet worden. Deze toevoeging van een BIA maakt de checklist een stuk krachtiger. |
SIEM/SOC (Verzamelen, monitoren en analyseren van informatie irt informatiebeveiliging) | SIEM (Security Information & Event Management) is een proces dat alle beschikbare informatie binnen de ICT-infrastructuur, dat een relatie heeft met informatie beveiliging, verzamelt en analyseert. Op basis van deze analyses kunnen kwetsbaarheden ontdekt worden en kunnen aanvallen en verdacht gedrag in een vroeg stadium worden gesignaleerd. SOC staat voor Security Operations Center en kan worden gezien als de plek in de organisatie waar de bekwame, gespecialiseerde medewerkers werken die alle taken mbt Informatie beveiliging begeleiden en uitvoeren. In 2022 is SIEM/SOC in de startfase vlak voor de officiële aansluiting beëindigd. VNG Realisatie heeft onder volmacht van alle deelnemers en in goed overleg met KPN de overeenkomst voor GGI-Veilig perceel 1 (SIEM/SOC) beëindigd. Hierdoor zijn we genoodzaakt op zoek te gaan naar een alternatieve oplossing. Gezien de omvang en complexiteit worden landelijke en regionale samenwerkingen op dit gebied gevolgd. Het streven is om in 2023 onderzoek naar en selectie van een alternatieve SIEM/SOC oplossing uit te voeren en waar mogelijk te implementeren. |
Bewustwording en samenwerking Informatiebeveiliging en privacy | In 2023 wordt er, vergelijkbaar met 2022, voor alle medewerkers van de gemeente Hengelo een bewustwordingsprogramma met als onderwerpen informatiebeveiliging en privacy georganiseerd. Daarnaast zal er meer aandacht worden besteed aan informatiebeveiliging en privacy bij indiensttreding van nieuwe medewerkers. |
Uitvoeren van de jaarlijkse pentest | In 2022 is door een gecertificeerde partner een pentest ("check op het kunnen binnendringen van het netwerk van de gemeente Hengelo") uitgevoerd. De aanbevelingen zijn projectmatig opgepakt en worden doorgevoerd. In 2023 zal opnieuw een pentest worden ingepland. |
Verstevigen samenwerking Twentse gemeenten | Op het onderwerp informatiebeveiliging en privacy wordt intensief met de andere Twentse gemeenten opgetrokken. De vakinhoudelijk betrokken medewerkers (CISO's en FG's) zorgen voor periodieke overleggen en ondersteunen elkaar rondom vraagstukken en uit te voeren werkzaamheden. Informatieveiligheid en privacy kan immers niet (meer) alleen op het niveau van een individuele gemeente opgepakt worden. In 2022 is er naast de regionale kenniskringen voor CISO’s en FG’s een kenniskring opgericht voor privacy officers. Deze regionale samenwerking zal in 2023 worden gecontinueerd en waar mogelijk geïntensiveerd. |
Risicomanagement | Informatiebeveiliging is risicomanagement. Om voldoende grip te houden op de in de BIO vereiste maatregelen is het van belang om deze onderdelen goed in kaart te brengen en overzicht te houden en verantwoording te geven over de voortgang is besloten een risicomanagement systeem hiervoor aan te schaffen. Omdat meerdere disciplines (advies & control, privacy, informatiebeveiliging ) binnen Hengelo vergelijkbare verantwoording hebben af te leggen is besloten om dit gezamenlijk op te pakken. In 2022 is gestart met het inventariseren van de wensen en eisen en zal na een marktverkenning de aanbesteding worden gestart. In 2023 wordt het systeem in gebruik genomen. |