Wij zorgen ervoor dat we bewust en veilig omgaan met informatie door een combinatie van het organisatorisch en technisch vastleggen van de juiste toegankelijkheid van informatie, het opbouwen en onderhouden van het bewustzijn over informatieveiligheid en privacy en tijdige signalering en opvolging van storingen en gebeurtenissen. We zijn open: we maken duidelijk waarvoor wij de gegevens van onze inwoners gebruiken en bieden mogelijkheden om het eigen dossier te bekijken voor het wijzigen of verwijderen van de eigen gegevens.

Wij zijn niet alleen verantwoordelijk voor informatiebeveiliging en privacy in onze eigen organisatie. Ook in samenwerking met andere organisaties nemen wij onze verantwoordelijkheid en hebben we veel aandacht voor   informatie en privacy  en zorgen we voor duidelijke afspraken over deze onderwerpen met andere organisaties.

Doelstellingen

• We voldoen aan het basisnormenkader zoals die staan in de BIO (Baseline Informatiebeveiliging Overheid).

• We voldoen aan de eisen die de privacywet, de Algemene Verordening Gegevensbescherming (AVG), aan ons stelt.

• We leggen jaarlijks verantwoording af over informatieveiligheid door toepassing van de Eenduidige Normatiek Single Information Audit (ENSIA).

Informatiebeveiliging volgens BIO

In de gemeentelijke processen gaat veel informatie om. Inwoners en bedrijven mogen erop vertrouwen dat we zorgvuldig met die informatie omgaan. Tegelijkertijd is de wens dat informatie altijd beschikbaar is en klopt. De dienstverlening krijgt steeds meer een digitaal karakter. Dit heeft gevolgen voor de organisatie van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om dit goed te kunnen doen n is binnen de overheid afgesproken om één norm voor informatiebeveiliging te gebruiken: de baseline informatiebeveiliging overheid (BIO). Ook voor Rijswijk is dat de standaard.

In 2023 is er een nieuwe Europese richtlijn vastgesteld voor informatiebeveiliging: de Network Information Security directive (NIS2). Deze richtlijn wordt op dit moment vertaald in Nederlandse wetgeving (de cyberbeveiligingswet). Naar verwachting zal die vanaf 2025 gaan gelden. De richtlijn bouwt verder op de weg die al was ingeslagen met de uitvoering van de Baseline informatiebeveiliging Overheid (BIO). Nieuw is dat daar ook toezicht op gehouden zal gaan worden.

De BIO blijft voorlopig de graadmeter bij de jaarlijkse verantwoording over de informatiebeveiliging. Voor die verantwoording is landelijk een eenduidige systematiek ontwikkeld (ENSIA, eenduidige normatiek single information audit). In feite wordt met de ENSIA verantwoording afgelegd over de mate waarin de BIO is uitgevoerd. De verwachting is dat het toezichtkader uit de Cyberbeveiligingsswet daarbij zal aansluiten.

Rijswijk zet zich ervoor in om stapsgewijs steeds beter aan de BIO te voldoen. Daar is een plan van aanpak voor opgesteld. Het plan volgt twee sporen. In het ene spoor worden beveiligingsmaatregelen ontwikkeld die gemeentebreed (voor alle processen) worden ingezet, in het tweede spoor wordt ieder proces apart bekeken en daar waar nodig aangepast aan de BIO. Op basis van de resultaten van de verantwoording en de leerpunten uit recente landelijke incidenten is bepaald welke maatregelen, naast de verdere iuitvoering van de BIO volgens het plan van aanpak, met voorrang worden opgepakt. De invoering van de Cyberbeveiligingswet zal in 2025 de nodige aandacht vragen, daarnaast blijft bewustwording een belangrijk aandachtspunt.

Bewustwording

De technische beveiligingsmaatregelen kunnen nog zo goed op orde zijn, een menselijke fout is zo gemaakt. DEr zijn veel voorbeelden , waarbij ICT-systemen besmet raakten met gijzelsoftware nadat een medewerker op een linkje in een phishingmail had geklikt of zijn inloggegevens prijsgaf. De gevolgen kunnen groot zijn: lege schappen in de winkels of het stilvallen van de dienstverlening van de gemeente. Door toepassing van tools met kunstmatige intelligentie (zoals ChatGPT) worden frauduleuze berichten steeds gehaaider, Misleidende berichten zijn daardoor moeilijker te herkennen. Het blijft belangrijk om medewerkers te wijzen op de, veranderende, risico’s op het gebied van informatiebeveiliging en aan te geven hoe ze daarmee om moeten gaan.

Cyberbeveiligingswet

De voorbereidingstijd op de invoering van de Cyberbeveiligingswet is kort. Hoewel de formele wetgeving nog op zich laat wachten is het juist daarom belangrijk om hier toch al mee aan de slag te gaan.

De NIS2 verplicht organisaties om zelf een risicobeoordeling te maken. Dit zal ook in de Cyberbeveiligingswet het belangrijkste uitgangspunt worden. Daarmee wordt de groootte bepaald van de processen en systemen waarmee je in het kader van de Cyberbeveiligingswet aan de slag moet. In 2024 is een begin gemaakt met die risicoanalyse. Deze zal in 2025 worden afgerond. De uitkomsten zullen meer inzicht geven in de gevolgen van de nieuwe wetgeving voor de gemeente.

Borgen Privacy

De gemeente heeft de afgelopen jaren een basis van beleid en procedures gelegd om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Ook in 2025 zal de gemeente blijven werken aan het integreren van privacybeschermende maatregelen in haar processen en werkwijze. Dit gebeurt door de principes van privacy in onze processen en systemen op te nemen, regelmatig Data Protection Impact Assessments (DPIA's) uit te voeren, verwerkersovereenkomsten te sluiten met alle externe partijen die persoonsgegevens verwerken, en door onze registers bij te houden.

In 2025 ligt de aandacht op drie onderwerpen, te weten:

• De AI Act, de Verordening Kunstmatige Intelligentie, die zorgt voor een gemeenschappelijke voorwaarden voor het gebruik en de regulering van AI en algoritmes. De AI Act is ontworpen om vooroordelen en discriminatie te voorkomen en is aanvullend aan de AVG, maar heeft een ander toetsingskader en controlemechanisme. Bijvoorbeeld de uitvoering van een mensenrechtentoets (Impact Assessment Mensenrechten en Algoritmes (IAMA)).  Daarom wordt er multidisciplinair gewerkt aan het ontwikkelen van AI-governance. Het doel is de AI-systemen en algoritmes die de gemeente gebruikt veilig, transparant, traceerbaar en niet-discriminerend te maken.

• De groeiende behoefte aan datagedreven projecten. Deze gaat samen met het gebruik van monitor- en rapportagetools, vooral op gebieden zoals Financiën, Energie & Klimaat en het Sociaal Domein. Het gebruik van gegevens voor andere doelen dan waarvoor ze oorspronkelijk zijn verzameld is in strijd met de AVG en maakt datagedreven werken lastig. De Vereniging van Nederlandse Gemeenten (VNG) heeft normen- en waardenkaders voor datagedreven werken ontwikkeld met het oog op privacybescherming. In 2025 zullen deze kaders op dataprojecten worden toegepast.

• Privacy is nog niet in alle gemeentelijke werkprocessen geborgd. Met de doorontwikkeling van Procesmanagement zal daar in 2025 aandacht aan worden gegeven.

De gemeente blijft zich ook in 2025 inzetten om de privacy en gegevensbescherming te waarborgen, en tegelijkertijd de voordelen van technologische vernieuwingente benutten.