Informatiebeveiliging en Privacy

Wat willen we bereiken?

Wij zorgen ervoor dat we bewust en veilig omgaan met informatie door een combinatie van het organisatorisch en technisch borgen van de juiste toegankelijkheid van informatie, het opbouwen en onderhouden van het bewustzijn over informatieveiligheid en privacy en tijdige signalering en opvolging van incidenten. We zijn transparant: we maken inzichtelijk waarvoor wij de gegevens van onze inwoners gebruiken en bieden mogelijkheden tot inzage in het eigen dossier of tot een verzoek voor wijziging/ vernietiging van de eigen gegevens.

Onze verantwoordelijkheid voor informatiebeveiliging en privacy beperkt zich niet tot onze eigen organisatie. Ook in samenwerking met andere organisaties nemen wij onze verantwoordelijkheid voor het zorgvuldig omgaan met informatie en privacy in de keten door te zorgen voor duidelijke afspraken over deze onderwerpen.

Doelstellingen
  • We voldoen aan het basisnormenkader zoals verwoord in de BIO (Baseline Informatiebeveiliging Overheid).

  • We voldoen aan de eisen die de privacywet, de Algemene Verordening Gegevensbescherming (AVG), aan ons stelt.

  • We leggen jaarlijks verantwoording af over informatieveiligheid door toepassing van de Eenduidige Normatiek Single Information Audit (ENSIA).

Wat gaan we daarvoor doen?

Informatiebeveiliging volgens BIO

In de gemeentelijke processen gaat veel informatie om. Burgers en bedrijven mogen erop vertrouwen dat we zorgvuldig met die informatie omgaan. Tegelijkertijd is de wens dat informatie altijd beschikbaar is en klopt. De dienstverlening krijgt steeds meer een digitaal karakter. In het coalitieakkoord onderschrijven we dat. Dit heeft consequenties voor de organisatie van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om die goed te kunnen borgen is binnen de overheid afgesproken om één norm voor informatiebeveiliging te hanteren: de baseline informatiebeveiliging overheid (BIO). Ook voor Rijswijk is dat de standaard.

De BIO is het ijkpunt bij de jaarlijkse verantwoording over de informatiebeveiliging. Voor die verantwoording is landelijk een eenduidige systematiek ontwikkeld (ENSIA, eenduidige normatiek single information audit). In feite wordt met de ENSIA verantwoording afgelegd over de mate waarin de BIO is geïmplementeerd.

Rijswijk zet zich ervoor in om stapsgewijs steeds beter aan de BIO te voldoen. Daar is een plan van aanpak voor opgesteld. Het plan volgt twee sporen. In het ene spoor worden beveiligingsmaatregelen ontwikkeld die gemeentebreed (voor alle processen) worden ingezet, in het tweede spoor wordt ieder proces apart onder de loep genomen en daar waar nodig aangepast aan de BIO. Op basis van de resultaten van de verantwoording en de leerpunten uit recente landelijke incidenten is bepaald welke maatregelen, naast de verdere implementatie van de BIO volgens het plan van aanpak, met prioriteit worden opgepakt. Voor 2023 betekent dat extra focus op:

Bewustwording

De technische beveiligingsmaatregelen kunnen nog zo goed op orde zijn, een menselijke fout is zo gemaakt. De voorbeelden zijn legio, waarbij ICT-systemen besmet raakten met gijzelsoftware nadat een medewerker op een linkje in een phishingmail had geklikt of zijn inloggegevens prijsgaf. De gevolgen kunnen groot zijn: lege schappen in de winkels of het stilvallen van de dienstverlening van de gemeente. Het blijft belangrijk dat medewerkers de risico’s kennen op het gebied van informatiebeveiliging en weten hoe ze daarmee om moeten gaan.

Incidentmanagement

Ondanks alle, vooral preventieve, beveiligingsmaatregelen is het belangrijk om voorbereid te zijn op de situatie dat het toch misgaat. Uit de vele voorbeelden die in de media genoemd worden,blijkt dat een ongeluk in een klein hoekje schuilt. Hoe zorg je er dan voor dat de dienstverlening aan burgers en bedrijven daar zo min mogelijk hinder van ondervindt. Er wordt een crisisplan op maat gemaakt voor de beheersing van dit soort incidenten. Daarnaast zal verder gewerkt worden aan het opstellen van bedrijfscontinuïteitsplannen voor de bedrijfskritische processen.

Borgen Privacy

Hoewel niet expliciet opgenomen in het coalitieakkoord, hebben de ambities van het college en het realiseren van de afspraken uit dit document impact op privacy. Integrale aanpak van armoede, betere toegang tot zorg, actief integratie- en inburgeringsbeleid en vroegsignalering bij preventie van schulden en de verhoging van de veiligheid in de stad zorgen voor een stijging in de verwerking van de persoonsgegevens van onze inwoners en voor een groei aan informatiesystemen die onze dienstverleningsprocessen ondersteunen. Om de bestuurlijke ambities te realiseren is het nodig om gegevens binnen onze organisatie en met ketenpartners en leveranciers uit te wisselen. Dit brengt onderlinge verantwoordelijkheden met zich mee voor iedere schakel in de keten. De privacywetgeving verplicht samenwerkende partijen dan ook om afspraken te maken over de verwerking van persoonsgegevens en het documenteren hiervan. De ambities van het college zullen met respect van de privacy van onze inwoners gerealiseerd worden. We zetten daarbij actief in op bewustwording van onze medewerkers over privacy en op opleiding en training. Bij nieuwe verwerkingen van persoonsgegevens en informatiesystemen voeren we structureel privacyrisicoanalyses uit. We maken afspraken met ketenpartners en leveranciers over de bescherming van de toevertrouwde persoonsgegevens. We zien scherp toe op het realiseren van de beschermende maatregelen uit de risicoanalyses en op het nakomen van de gemaakte afspraken.

Het coalitieakkoord legt ook de nadruk op efficiënt werken met aandacht voor digitale dienstverlening. Op weg naar digitale transformatie vervangt onze organisatie de traditionele ICT-platformen met cloudoplossingen. Bij deze transformatie wordt rekening gehouden met de privacy-kaders. Daarom werkt Rijswijk aan een cloudstrategie waarin kaders en beleid op het gebied van informatiebeveiliging en privacy leidend zullen zijn bij de sourcingskeuzes.

Een extra uitdaging voor de volgende jaren is de implementatie van de Wet Open Overheid (Woo). Deze wet brengt een spanningsveld tussen openbaarheid van overheidsinformatie enerzijds en de bescherming van persoonsgegevens en de persoonlijke levenssfeer anderzijds. Hoewel de AVG ruimte laat voor toegang tot officiële documenten van overheden, moeten de algemene beginselen uit de AVG zoals dataminimalisatie en transparantie worden nageleefd. De projectmatige en gefaseerde aanpak om ervoor te zorgen dat onze processen voldoen aan de kwaliteitseisen van de Woo en de AVG is gestart en zal een aantal jaren in beslag nemen.

De komende jaren worden wijzigingen verwacht in de privacywetgeving. Deze wijzigingen volgen wij aandachtig om hierin in beleid en uitvoering te kunnen anticiperen.