Informatiebeveiliging en Privacy

Wat willen we bereiken?

Wij zorgen ervoor dat we bewust en veilig omgaan met informatie door een combinatie van het organisatorisch en technisch vastleggen van de juiste toegankelijkheid van informatie, het opbouwen en onderhouden van het bewustzijn over informatieveiligheid en privacy en tijdige signalering en opvolging van storingen en gebeurtenissen. We zijn open: we maken duidelijk waarvoor wij de gegevens van onze inwoners gebruiken en bieden mogelijkheden om het eigen dossier te bekijken voor het wijzigen of verwijderen van de eigen gegevens. 

Wij zijn niet alleen verantwoordelijk voor informatiebeveiliging en privacy in onze eigen organisatie. Ook in samenwerking met andere organisaties nemen wij onze verantwoordelijkheid en hebben we veel aandacht voor informatie en privacy en zorgen we voor duidelijke afspraken over deze onderwerpen met andere organisaties. 

Doelstellingen 

  • We voldoen aan het basisnormenkader zoals die staan in de BIO (Baseline Informatiebeveiliging Overheid). 

  • We voldoen aan de eisen die de privacywet, de Algemene Verordening Gegevensbescherming (AVG), aan ons stelt. 

  • We leggen jaarlijks verantwoording af over informatieveiligheid door toepassing van de Eënduidige Normatiek Single Information Audit (ENSIA). 

Wat gaan we daarvoor doen?

Informatiebeveiliging volgens BIO

In de gemeentelijke processen gaat veel informatie om. Inwoners en bedrijven mogen erop vertrouwen dat we zorgvuldig met die informatie omgaan. Tegelijkertijd is de wens dat informatie altijd beschikbaar is en klopt. De dienstverlening krijgt steeds meer een digitaal karakter. Dit heeft gevolgen voor de organisatie van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om dit goed te kunnen doen is binnen de overheid afgesproken om één norm voor informatiebeveiliging te gebruiken: de baseline informatiebeveiliging overheid (BIO). Ook voor Rijswijk is dat de standaard. 

In 2023 is er een nieuwe Europese richtlijn vastgesteld voor informatiebeveiliging: de Network Information Security directive (NIS2). De vertaling van deze richtlijn in Nederlandse wetgeving (de Cyberbeveiligingswet) heeft vertraging opgelopen. De verwachting is nu dat die wetgeving medio 2026 van kracht zal worden. De richtlijn bouwt verder op de weg die al was ingeslagen met de uitvoering van de Baseline informatiebeveiliging Overheid (BIO). Nieuw is dat daar ook toezicht op gehouden zal gaan worden. 

De BIO blijft voorlopig de graadmeter bij de jaarlijkse verantwoording over de informatiebeveiliging. Voor die verantwoording is landelijk een eenduidige systematiek ontwikkeld (ENSIA, eenduidige normatiek single information audit). In feite wordt met de ENSIA verantwoording afgelegd over de mate waarin de BIO is uitgevoerd. De verwachting is dat het toezichtkader uit de Cyberbeveiligingswet daarbij zal aansluiten. 

Rijswijk zet zich ervoor in om stapsgewijs steeds beter aan de BIO te voldoen. Daar is een plan van aanpak voor opgesteld. Intussen spelen er een tweetal ontwikkelingen die van invloed zijn op de eerder gekozen aanpak: 

  1. De invoering van de Cyberbeveiligingswet 

  2. De invoering van versie 2 van de BIO 

In het kader van de invoering van de Cyberbeveiligingswet is in Rijswijk een analyse uitgevoerd om te bepalen welke processen en systemen binnen de scope van die wet vallen. Dit zijn de processen waarop de maatregelen uit de BIO van toepassing zijn. In het tweede deel van de inventarisatie wordt gekeken welke maatregelen zijn ingevoerd en welke nog niet (helemaal).  

Versie 2 van de BIO vormt het nieuwe kader voor informatiebeveiliging binnen de overheid. Dit vernieuwde model is tot stand gekomen na een evaluatie van de huidige BIO en sluit aan op de ontwikkelingen rondom de NIS2-richtlijn. Hiermee geeft de BIO2 invulling aan de zorgplicht uit de NIS2-richtlijn voor de overheid. De BIO2 is onder leiding van het ministerie van Binnenlandse Zaken en Koninkrijkrelaties ontwikkeld in samenwerking met gemeenten, provincies, waterschappen en het rijk. De BIO2 is gebaseerd op de laatste versie van de ISO 27001 en de ISO 27002. 

Nadat de BIO2 bestuurlijk bekrachtigd is, zal die wettelijk verankerd worden in de Cyberbeveiligingswet. 

Gelet op deze ontwikkelingen zal de invoering van de Cyberbeveiligingswet en de invoering van de BIO in 2026 worden samengevoegd in één plan van aanpak.  

Op basis van de resultaten van de verantwoording en de leerpunten uit recente landelijke incidenten is bepaald welke maatregelen, naast de invoering van de BIO volgens het plan van aanpak, met voorrang worden opgepakt. Daarnaast blijft bewustwording een belangrijk aandachtspunt. 

Bewustwording

De technische beveiligingsmaatregelen kunnen nog zo goed op orde zijn, een menselijke fout is zo gemaakt. Er zijn veel voorbeelden, waarbij ICT-systemen besmet raakten met gijzelsoftware nadat een medewerker op een linkje in een phishingmail had geklikt of zijn inloggegevens prijsgaf. Ook is het zaak om alert te reageren op signalen over kwetsbaarheden in de gebruikte software. Het recente incident bij het Openbaar Ministerie benadrukt het belang daarvan. Het blijft belangrijk om medewerkers te wijzen op de, veranderende, risico’s op het gebied van informatiebeveiliging en aan te geven hoe ze daarmee om moeten gaan. 

Gegevensbescherming/ privacy

De gemeente Rijswijk opereert in een samenleving die voortdurend verandert en zet zich in voor een inclusieve, veilige en verbonden gemeenschap. Om inwoners goed te ondersteunen, investeert de gemeente in maatschappelijke projecten die sociale samenhang versterken, eenzaamheid verminderen, jongeren stimuleren en duurzame oplossingen bieden voor kwetsbare groepen. 

Deze projecten vragen om het verantwoord gebruik van persoonsgegevens en digitale technologie. De gemeente neemt haar verantwoordelijkheid op dit gebied serieus en zorgt ervoor dat persoonsgegevens zorgvuldig en transparant worden verwerkt, volgens de Algemene Verordening Gegevensbescherming (AVG) en andere relevante wet- en regelgeving. Dit gebeurt onder meer door het uitvoeren van Data Protection Impact Assessments (DPIA’s) bij nieuwe of risicovolle verwerkingen, het afsluiten van verwerkersovereenkomsten met leveranciers en partners, het structureel verankeren van privacy in beleid, processen en procedures en het documenteren van de verwerkingen in het register van de verwerkingsactiviteiten. Privacybescherming blijft daarmee ook in 2026 een vast onderdeel van de dagelijkse gemeentelijke praktijk. 

Daarnaast werkt de gemeente projectmatig en multidisciplinair verder aan de ontwikkeling van AI-governance, met aandacht voor data-ethiek en transparantie. Er worden maatregelen getroffen om algoritmes verantwoord in te zetten, waaronder het toetsen op gelijke behandeling en mensenrechten. Op termijn worden algoritmes geregistreerd in het openbare algoritmeregister, waarmee de gemeente digitale besluitvorming inzichtelijk maakt en ondoorzichtige of oneerlijke uitkomsten voorkomt. 

De publicatie van impactvolle algoritmes in het centrale algoritmeregister wordt vanaf augustus 2026 wettelijk verplicht. De ontwikkelingen op het gebied van artificiële intelligentie (AI) gaan echter snel, en onze organisatie anticipeert hierop door al eerder te starten met de registratie en publicatie van dergelijke algoritmes. Naar verwachting worden in het najaar van 2025 de eerste impactvolle algoritmes opgenomen in het centrale register.  Hiermee wordt ook opvolging gegeven aan de motie “Wees transparant over algoritmes” die is vastgesteld tijdens het kaderdebat.

De gemeente blijft investeren in kennis, beleid en technologische oplossingen die privacy, transparantie en gelijke behandeling versterken. Zo werkt zij aan een betrouwbare overheid waarin inwoners erop kunnen vertrouwen dat hun gegevens en belangen zorgvuldig worden beschermd