Paragrafen

Informatieveiligheid

Informatieveiligheid

Algemeen

Het doel van Informatieveiligheid is de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel niveau te beperken.

Informatiebeveiliging

Informatieveiligheid wordt gerealiseerd door middel van Informatiebeveiliging: maatregelen, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen de gemeente garanderen. In de (programma) begroting 2019 is voor het eerst een (facultatieve) paragraaf Informatiebeveiliging en Privacy opgenomen.

BIG en ENSIA

Om gemeenten te ondersteunen bij het Informatiebeveiligingsbeleid is door VNG een Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. De BIG bevat de minimale beveiligingsmaatregelen die nodig zijn voor een stabiele, veilige basis binnen de gemeente. Over de BIG en andere wet- en regelgeving dient jaarlijks verantwoording te worden afgelegd.

Wat hebben wij gedaan

  • Horizontale verantwoording
    Met ENSIA sluit de verantwoording over informatieveiligheid aan op de reguliere planning- en control cyclus van de gemeente aan de gemeenteraad. In 2019 hebben wij verantwoording afgelegd over de Informatiebeveiliging van het vorig jaar door één Collegeverklaring inzake Informatiebeveiliging op te stellen. Over deze verklaring is eind maart 2019 na een audit een positieve verklaring door een RE-auditor afgegeven.  
  • Verticale verantwoording
    ENSIA structureert ook de verticale verantwoording richting de rijksoverheid, over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet).
  • In 2019 zijn de DigiD- audits succesvol verlopen en hebben wij een positieve verklaring kunnen aanbieden aan Logius (beheerder DigiD) voor de gebruikte DigiD- aansluitingen (website en iburgerzaken).
  • Begin 2019 is de implementatie van het nieuwe Zaaksysteem afgerond.
    Het nieuwe Zaaksysteem maakt ook gebruik van een nieuwe DigiD- aansluiting, die een rol speelt bij het gebruik van webformulieren en voor het bekijken van statussen van aangevraagde diensten. Eind maart 2019 is de nieuwe DigiD- aansluiting getoetst door een onafhankelijk RE- auditor en positief bevonden. De positieve verklaring is vervolgens ter accordering aan Logius aangeboden.

Begin 2019 is het geactualiseerde beleidskader vastgesteld met betrekking tot het gemeente brede informatiebeveiligingsbeleid.

  • In 2019 heeft er een organisatie brede risico-inventarisatie en een GAP-analyse plaatsgevonden met hieraan gekoppeld een concreet actieplan met verbeteracties.
  • In 2019 is het Procedureboek Informatiebeveiliging, waarin de procedures op het gebied van personeel en organisatie, huisvesting en informatie en communicatietechnologie zijn opgenomen, geactualiseerd.  
  • Ten aanzien van het vergroten van de bewustwording zijn in 2019 door de CISO en FG bewustwordingssessies georganiseerd voor de gehele organisatie, waarin zowel aandacht is besteed aan informatiebeveiliging aan privacy.

Algemene Verordening Gegevensbescherming
De Algemene Verordening Gegevensbescherming (AVG) heeft tot doel om de bescherming van natuurlijke personen - en dan met name de verwerking van persoonsgegevens - te waarborgen.

Overzicht verwerkingen
Een van de onderdelen van de verantwoordingsplicht, die de gemeente in het kader van de AVG heeft, is het bijhouden van een register van verwerkingsactiviteiten, ook wel verwerkingsregister genoemd.
Het bestaande register is in 2019 geactualiseerd. Om dit te bewerkstelligen zijn de in het register opgenomen verwerkingen van persoonsgegevens per team gecontroleerd.  

Data protection impact assessment
Als een (beoogde) gegevensverwerking een hoog privacy-risico met zich meebrengt, dan dient er een zogeheten ‘data protection impact assessment’ (DPIA) uitgevoerd te worden. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
In 2019 zijn voor de volgende verwerkingen DPIA’s uitgevoerd.

  • Afhandeling van zaken en opslag van data in Zaaksysteem.nl
  • De heffing en invordering van gemeentelijke belastingen in VRiS.
  • De inzet van bodycamera’s bij Handhaving
  • Registratie Leerplicht c.a. middels JVS
  • Adres gerelateerde problematiek (Woon- en Inkomensfraude)
  • Vroegsignalering dementie
  • Wvggz (door VNG)
  • Wmo en Jeugdhulp in Rondom

Meldplicht datalekken
Datalekken en beveiligingsincidenten worden bij de gemeente Maassluis gemeld en geregistreerd in het meldingssysteem TOPdesk. Na aanmelding van een datalek draagt het Kernteam Informatiebeveiliging & Privacy - conform de betreffende procedure - zorg voor de afhandeling ervan. Indien noodzakelijk wordt er een melding gedaan bij de Autoriteit Persoonsgegevens (AP). Het Kernteam IB&P heeft in 2019 te maken gekregen met 5 datalekken, waarvan er twee zijn aangemeld bij de AP. In alle gevallen waren de gevolgen voor betrokkene verwaarloosbaar. Of een datalek gemeld moet worden bij de AP, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkene(n). Met andere woorden: een datalek moet gemeld worden bij de AP wanneer dit zou kunnen leiden tot een risico voor de rechten en vrijheden van betrokkene(n).

ga terug
Deze pagina is gebouwd op 07/09/2020 10:26:55 met de export van 07/09/2020 10:23:13