Informatiebeveiliging en Privacy
Wat willen we bereiken?
Wij zorgen ervoor dat we bewust en veilig omgaan met informatie door een combinatie van het organisatorisch en technisch borgen van de juiste toegankelijkheid van informatie, het opbouwen en onderhouden van het bewustzijn over informatieveiligheid en privacy en tijdige signalering en opvolging van incidenten. We zijn transparant: we maken inzichtelijk waarvoor wij de gegevens van onze inwoners gebruiken en bieden mogelijkheden tot inzage in het eigen dossier of tot een verzoek voor wijziging/ vernietiging van de eigen gegevens.
Onze verantwoordelijkheid voor informatiebeveiliging en privacy beperkt zich niet tot onze eigen organisatie. Ook in samenwerking met andere organisaties nemen wij onze verantwoordelijkheid voor het zorgvuldig omgaan met informatie en privacy in de keten door te zorgen voor duidelijke afspraken over deze onderwerpen.
Doelstellingen
We voldoen aan het basisnormenkader zoals verwoord in de BIO (Baseline Informatiebeveiliging Overheid).
We voldoen aan de eisen die de privacywet, de Algemene Verordening Gegevensbescherming (AVG), aan ons stelt.
We leggen jaarlijks verantwoording af over informatieveiligheid door toepassing van de Eenduidige Normatiek Single Information Audit (ENSIA).
Wat gaan we daarvoor doen?
Informatiebeveiliging volgens BIO
In de gemeentelijke processen gaat veel informatie om. Burgers en bedrijven mogen erop vertrouwen dat we zorgvuldig met die informatie omgaan. Tegelijkertijd is de wens dat informatie altijd beschikbaar is en klopt. De dienstverlening krijgt steeds meer een digitaal karakter. In het coalitieakkoord onderschrijven we dat. Dit heeft consequenties voor de organisatie van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om die goed te kunnen borgen is binnen de overheid afgesproken om één norm voor informatiebeveiliging te hanteren: de baseline informatiebeveiliging overheid (BIO). Ook voor Rijswijk is dat de standaard.
De BIO is het ijkpunt bij de jaarlijkse verantwoording over de informatiebeveiliging. Voor die verantwoording is landelijk een eenduidige systematiek ontwikkeld (ENSIA, eenduidige normatiek single information audit). In feite wordt met de ENSIA verantwoording afgelegd over de mate waarin de BIO is geïmplementeerd.
Rijswijk zet zich ervoor in om stapsgewijs steeds beter aan de BIO te voldoen. Daar is een plan van aanpak voor opgesteld. Het plan volgt twee sporen. In het ene spoor worden beveiligingsmaatregelen ontwikkeld die gemeentebreed (voor alle processen) worden ingezet, in het tweede spoor wordt ieder proces apart onder de loep genomen en daar waar nodig aangepast aan de BIO. Op basis van de resultaten van de verantwoording en de leerpunten uit recente landelijke incidenten is bepaald welke maatregelen, naast de verdere implementatie van de BIO volgens het plan van aanpak, met prioriteit worden opgepakt. In 2024 zal er daarom (opnieuw) aandacht worden gegeven aan bewustwording en de verdere ontwikkeling van het incidentmanagement.
Bewustwording
De technische beveiligingsmaatregelen kunnen nog zo goed op orde zijn, een menselijke fout is zo gemaakt. De voorbeelden zijn legio, waarbij ICT-systemen besmet raakten met gijzelsoftware nadat een medewerker op een linkje in een phishingmail had geklikt of zijn inloggegevens prijsgaf. De gevolgen kunnen groot zijn: lege schappen in de winkels of het stilvallen van de dienstverlening van de gemeente. Door toepassing van tools met kunstmatige intelligentie (zoals ChatGPT) worden frauduleuze berichten steeds gehaaider, Misleidende berichten zijn daardoor moeilijker te herkennen. Het blijft belangrijk om medewerkers te wijzen op de, veranderende, risico’s op het gebied van informatiebeveiliging en aan te geven hoe ze daarmee om moeten gaan.
Incidentmanagement
Ondanks alle, vooral preventieve, beveiligingsmaatregelen is het belangrijk om voorbereid te zijn op de situatie dat het toch misgaat. Uit de vele voorbeelden die in de media genoemd worden, blijkt dat een ongeluk in een klein hoekje schuilt. Hoe zorg je er dan voor dat de dienstverlening aan burgers en bedrijven daar zo min mogelijk hinder van ondervindt. Voor de beheersing van dit soort incidenten is een crisisplan gemaakt. De praktische toepasbaarheid van dat plan zal worden getoetst. Daarnaast zal gewerkt worden aan het opstellen en verder verfijnen van bedrijfscontinuïteitsplannen voor de bedrijfskritische processen.
Borgen Privacy
Een van de doelen van de gemeente is het tijdig aansluiten op de snel veranderende omgeving naar een persoonlijke, inclusieve en digitale dienstverlening van een excellent niveau. Dit doel gaat gepaard met de verwerking van grote hoeveelheid data, waaronder persoonsdata, en het gebruik van nieuwe technologieën en modellen zoals datagestuurd werken. Maatschappelijke vraagstukken, zoals de bestrijding van armoede en schulden, vragen naar het koppelen van data om inwoners met een hulpvraag beter van dienst te kunnen zijn. Ambities en beleidsdoelen voor de fysieke leefomgeving, de duurzaamheidstransitie maar ook camerabewaking om de veiligheid op de openbare ruimte te verbeteren, vragen naar inzet van artificiële intelligentie (AI), algoritmen en sensoren.
Deze nieuwe technologieën verbeteren werkprocessen en bieden kansen, maar nemen ook risico’s met zich mee voor de balans tussen inwoners en de gemeente, vooral als het gaat om de bescherming van de data van onze inwoners. Bij het gebruik van nieuwe technologieën, waaronder AI en algoritmes, is de Algemene Verordening Gegevensbescherming (AVG) geheel van toepassing wanneer persoonsgegevens worden gebruikt. Hierdoor vallen deze technologieën onder het toezicht van de Autoriteit Persoonsgegevens. Naast de reguliere aandacht voor het naleven van de AVG, richt de privacy organisatie zich in 2024 ook op het vergroten van het kennisniveau en de bewustwording over het gebruik van deze nieuwe technologieën en de impact hiervan voor onze inwoners. Bijvoorbeeld als algoritmes onbedoeld bepaalde groepen in de samenleving discrimineren. Er komen spelregels bij de inzet van deze technologieën zoals het centrale algoritmeregister voor de Nederlandse overheid. Technologieën die gebruik maken van persoonsgegevens zullen daarom onderdeel uit gaan maken van het Security & Privacy e-learning programma voor medewerkers. Ook zullen deze aandacht krijgen bij selectie en/of ontwerp van informatiesystemen (non-discriminatie by design) en bij risicoanalyses (Data Privacy Impact Assessments) die voorafgaand aan verwerkingen moeten worden uitgevoerd.