Metadossier Informatiebeveiliging

Beleid informatiebeveiliging en privacybescherming

Welke beleidskaders, regels en richtlijnen hanteert de gemeente voor de borging van de privacy van de inwoners?

is het beleid conform BIO (BIG)

Voldoet het beleid binnen de gemeente ’s-Hertogenbosch aan de bepalingen van het basisnormkader baseline informatiebeveiliging gemeenten (BIG) en aan de algemene verordening gegevensbescherming (AVG)?

wordt voldaan aan de AVG

Voldoet het beleid binnen de gemeente ’s-Hertogenbosch aan de bepalingen van het basisnormkader baseline informatiebeveiliging gemeenten (BIG) en aan de algemene verordening gegevensbescherming (AVG)?

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Op welke wijze is de raad tot nu toe bij de ontwikkeling van het privacy-beleid en informatieveiligheid betrokken geweest?

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Hoe is dit beleid uitgewerkt en geborgd in processen op de werkvloer?

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Sturen de colleges van B&W op de afspraken die benoemd zijn in de VNG Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)? Hoe is het gesteld met commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeenten? Dragen zij het informatiebeveiligingsbeleid uit?

Zijn de beleidsuitgangspunten nog valide of zijn er interne of externe ontwikkelingen die leiden tot heroverwegingen van de gemeentelijke risico-inschattingen?

is het beleid conform BIO (BIG)

Sturen de colleges van B&W op de afspraken die benoemd zijn in de VNG Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)? Hoe is het gesteld met commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeenten? Dragen zij het informatiebeveiligingsbeleid uit?

wordt voldaan aan de AVG

Hoe ver zijn de gemeenten gevorderd met de implementatie van de Algemene verordening gegevensbescherming (AVG) van de EU? Hoe is het gesteld met commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeenten? Dragen zij het privacybeleid uit?

budget en personele inzet

-

Sturende rol college / GS

Sturen de colleges van B&W op de afspraken die benoemd zijn in de VNG Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG)? Hoe is het gesteld met commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeenten? Dragen zij het informatiebeveiligingsbeleid uit?

Hoe ver zijn de gemeenten gevorderd met de implementatie van de Algemene verordening gegevensbescherming (AVG) van de EU? Hoe is het gesteld met commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeenten? Dragen zij het privacybeleid uit?

Rapporteren en bespreken de organisaties het functioneren van informatieveiligheidsbeleid op management- en bestuursniveau (colleges en raden)?

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Rapporteren en bespreken de organisaties het functioneren van informatieveiligheidsbeleid op management- en bestuursniveau (colleges en raden)?

Checks - Audits - Evaluatie - Risicoanalyse

Wordt jaarlijks getoetst of de organisaties in control zijn op het gebied van informatieveiligheid via peer reviews, audits, self assessments (zelf tests) of pen-testen? Is de continuïteit van de gemeentelijke dienstverlening gewaarborgd in geval van grootschalige uitval of verstoring van ICT en hoe is dat geregeld? Weten de organisaties hoe te handelen bij een (ernstig) informatieveiligheid incident en is er een incidentenmanagementproces ingevoerd? Hoe ziet dit eruit?

informatie voor college / GS

Rapporteren en bespreken de organisaties het functioneren van informatieveiligheidsbeleid op management- en bestuursniveau (colleges en raden)?

informatie voor de raad / PS

Rapporteren en bespreken de organisaties het functioneren van informatieveiligheidsbeleid op management- en bestuursniveau (colleges en raden)?

organisatie, werkprocessen en uitvoering

Hoe ver zijn de gemeenten gevorderd met de implementatie van de Algemene verordening gegevensbescherming (AVG) van de EU? Hoe is het gesteld met commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeenten? Dragen zij het privacybeleid uit?

Voldoet de wijze waarop de gemeenten de informatiestroom in processen en applicaties organiseren aan de vereisten op het gebied van informatiebeveiliging en privacy? Zijn de autorisaties, wie van de medewerkers bij welke informatie moet of kan, adequaat geregeld?

calamiteiten en risicobeheersing

Hebben de gemeenten de risico’s op informatiebeveiliging benoemd? Is helder in hoeverre risico’s beheerst dan wel geaccepteerd worden?

Wordt jaarlijks getoetst of de organisaties in control zijn op het gebied van informatieveiligheid via peer reviews, audits, self assessments (zelf tests) of pen-testen? Is de continuïteit van de gemeentelijke dienstverlening gewaarborgd in geval van grootschalige uitval of verstoring van ICT en hoe is dat geregeld? Weten de organisaties hoe te handelen bij een (ernstig) informatieveiligheid incident en is er een incidentenmanagementproces ingevoerd? Hoe ziet dit eruit?

bewustwording, kennis en kunde in de organisatie

Op welke wijze wordt aandacht besteed aan de bevordering van awareness bij medewerkers van de gemeenten? Is er een integrale aanpak voor organisatieleren op het gebied van informatieveiligheid? Hoe houden de gemeenten kennis vast en bouwen zij hierop voort?

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

Wat is de status van de aansluiting van de gemeenten bij de Informatiebeveiligingsdienst voor gemeenten (IBD)?

inschakeling externen, (keten)partners én controle

Kennen de gemeenten de leveranciers en partners waarmee ze samenwerken en toetsen zij hen op informatieveiligheidsaspecten, en zo ja hoe? Zijn de gemeenten transparant over het informatiebeveiligingsbeleid richting de ketenpartners?

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Hoe biedt de gemeente Amersfoort bescherming aan inwoners als het gaat om privacy?

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Waar knelt de AVG, waar zitten beperkingen en risico’s?

Wat zijn ongewenste neveneffecten van de AVG: gebeurt het bijvoorbeeld dat informatie niet wordt gedeeld met een (oneigenlijk) beroep op de AVG?

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Op welke wijze is de raad tot nu toe bij de ontwikkeling van het privacybeleid betrokken geweest?

Welke mogelijkheden heeft de raad om te sturen en te controleren?

Controlerende rol gemeenteraad / PS

Welke mogelijkheden heeft de raad om te sturen en te controleren?

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Op welke manier wordt de gemeenteraad geïnformeerd over de uitvoering van het beleid rondom de bescherming van persoonsgegevens?

organisatie, werkprocessen en uitvoering

Wat heeft de FG (functionaris gegevensbescherming) nodig van de gemeente om haar werk te kunnen doen? In hoeverre is dit in Amersfoort geregeld?

calamiteiten en risicobeheersing

Welke privacyschendingen zijn er bij de gemeente en de samenwerkingspartners sinds de invoering van de AVG geweest/gemeld? Hoe is de gemeente daarmee omgegaan?

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Hoe monitort/verifieert de gemeente afspraken in verwerkersovereenkomsten met derden, waar knelt de AVG, waar zitten beperkingen en risico’s? Denk aan GGD, Veiligheidshuis, sociale wijkteams, werk inkomen en zorg, belastingen, afval, Geldwijzer033, BRP, personeelsadministratie, Smart City toepassingen.

Zijn er verschillen en zo ja welke, in de bescherming van persoonsgegevens door de gemeente en door derden?

communicatie en betrokkenheid burgers

Hoe vinden inwoners dat hun privacy (door derden) wordt beschermd? Hoe gaat de gemeente om met klachten? Wat is de aard van eventuele klachten?

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Wat zijn de beleidskaders van de gemeenten en de iRvN t.a.v. hun informatiebeveiliging, met name van persoonsgegevens?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Wat zijn de gemeentelijke beleidskaders t.a.v. privacybescherming in het sociaal domein? Hoe wordt er geanticipeerd op de AVG?

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

is het beleid conform BIO (BIG)

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving?

wordt voldaan aan de AVG

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Wat zijn de gemeentelijke beleidskaders t.a.v. privacybescherming in het sociaal domein? Hoe wordt er geanticipeerd op de AVG?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving?

budget en personele inzet

Wat is het beschikbare budget van de deelnemende gemeenten en iRvN voor informatiebeveiliging, en is het mogelijk om een oordeel te geven (bijvoorbeeld door benchmarking) over de toereikendheid hiervan?

Sturende rol college / GS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

betrokkenheid samenwerkende gemeenten

Wat zijn de beleidskaders van de gemeenten en de iRvN t.a.v. hun informatiebeveiliging, met name van persoonsgegevens?

Hoe zijn de taken en verantwoordelijkheden op het terrein van ICT- en informatiesystemen en met name de informatiebeveiliging tussen de gemeenten en iRvN verdeeld?

Kaderstellende rol gemeenteraad / PS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

Op welke wijze verloopt het proces van kaderstelling en controle door de gemeenteraden tot op heden t.a.v. de informatiebeveiliging en privacybescherming in hun gemeente, en hoe moet dit proces en het resultaat ervan worden beoordeeld?

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

Controlerende rol gemeenteraad / PS

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

werkprocessen monitoren, bewaken en verbeteren

Hoe ziet het toezicht op de omgang met de persoonsgegevens eruit, op papier en in de praktijk? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

organisatie, werkprocessen en uitvoering

In hoeverre worden de beleidskaders in de praktijk in de gemeenten en de iRvN nageleefd?

In hoeverre worden de beleidskaders en vastgestelde processen en regels nageleefd in de praktijk in de gemeenten (en binnen de iRvN)? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de informatiebeveiliging? Daarbij kan
worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen,
aandacht in functioneringsgesprekken etc.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de privacy van persoonsgegevens? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Hoe is het beleid uitgewerkt en geborgd in processen? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

calamiteiten en risicobeheersing

Hebben de gemeenten en de iRvN voldoende zicht op de risico’s (zowel veiligheidsrisico’s als financiële risico’s ingeval van lekken of incidenten) op het gebied van informatiebeveiliging, en zijn er maatregelen getroffen om de grootste risico’s te kunnen ondervangen?

Hebben de gemeenten en de iRvN een concreet plan voor het effectief en efficiënt verkleinen van de risico’s, en voldoet dat plan aan de gebruikelijke standaarden?

bewustwording, kennis en kunde in de organisatie

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de informatiebeveiliging? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de privacy van persoonsgegevens? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Heeft de gemeente een proces van continue verbeteren in werking voor haar informatiebeveiliging en opslag en beheer van persoonsgegevens in het bijzonder?

beveiliging en autorisatie

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Hoe is het beleid uitgewerkt en geborgd in processen? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe ziet het toezicht op de omgang met de persoonsgegevens eruit, op papier en in de praktijk? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

communicatie en betrokkenheid burgers

Wanneer en op welke manier geven burgers toestemming voor het gebruik en verwerken van gegevens?

Op welke manier worden burgers geïnformeerd over het gebruik en de verwerking van hun
persoonsgegevens?

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

In hoeverre heeft de gemeente een balans gevonden tussen regels en procedures rondom de bescherming van privacy enerzijds en een goede dienstverlening aan de burger anderzijds?

extern leren

Zijn er elders in het land relevante best practices ten aanzien van een goed verlopend proces van kaderstelling en controle door de gemeenteraad op dit gebied, en wat zijn de belangrijkste lessen die daaruit kunnen worden geleerd?

Beleid informatiebeveiliging en privacybescherming

Wat zijn de beleidskaders van de gemeenten en de iRvN t.a.v. hun informatiebeveiliging, met name van persoonsgegevens?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Wat zijn de gemeentelijke beleidskaders t.a.v. privacybescherming in het sociaal domein? Hoe wordt er geanticipeerd op de AVG?

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

is het beleid conform BIO (BIG)

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving?

wordt voldaan aan de AVG

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Wat zijn de gemeentelijke beleidskaders t.a.v. privacybescherming in het sociaal domein? Hoe wordt er geanticipeerd op de AVG?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving?

budget en personele inzet

Wat is het beschikbare budget van de deelnemende gemeenten en iRvN voor informatiebeveiliging, en is het mogelijk om een oordeel te geven (bijvoorbeeld door benchmarking) over de toereikendheid hiervan?

Sturende rol college / GS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

betrokkenheid samenwerkende gemeenten

Wat zijn de beleidskaders van de gemeenten en de iRvN t.a.v. hun informatiebeveiliging, met name van persoonsgegevens?

Hoe zijn de taken en verantwoordelijkheden op het terrein van ICT- en informatiesystemen en met name de informatiebeveiliging tussen de gemeenten en iRvN verdeeld?

Kaderstellende rol gemeenteraad / PS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

Op welke wijze verloopt het proces van kaderstelling en controle door de gemeenteraden tot op heden t.a.v. de informatiebeveiliging en privacybescherming in hun gemeente, en hoe moet dit proces en het resultaat ervan worden beoordeeld?

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

Controlerende rol gemeenteraad / PS

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

werkprocessen monitoren, bewaken en verbeteren

Hoe ziet het toezicht op de omgang met de persoonsgegevens eruit, op papier en in de praktijk? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

organisatie, werkprocessen en uitvoering

In hoeverre worden de beleidskaders in de praktijk in de gemeenten en de iRvN nageleefd?

In hoeverre worden de beleidskaders en vastgestelde processen en regels nageleefd in de praktijk in de gemeenten (en binnen de iRvN)? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de informatiebeveiliging? Daarbij kan
worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen,
aandacht in functioneringsgesprekken etc.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de privacy van persoonsgegevens? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Hoe is het beleid uitgewerkt en geborgd in processen? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

calamiteiten en risicobeheersing

Hebben de gemeenten en de iRvN voldoende zicht op de risico’s (zowel veiligheidsrisico’s als financiële risico’s ingeval van lekken of incidenten) op het gebied van informatiebeveiliging, en zijn er maatregelen getroffen om de grootste risico’s te kunnen ondervangen?

Hebben de gemeenten en de iRvN een concreet plan voor het effectief en efficiënt verkleinen van de risico’s, en voldoet dat plan aan de gebruikelijke standaarden?

bewustwording, kennis en kunde in de organisatie

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de informatiebeveiliging? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de privacy van persoonsgegevens? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Heeft de gemeente een proces van continue verbeteren in werking voor haar informatiebeveiliging en opslag en beheer van persoonsgegevens in het bijzonder?

beveiliging en autorisatie

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Hoe is het beleid uitgewerkt en geborgd in processen? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe ziet het toezicht op de omgang met de persoonsgegevens eruit, op papier en in de praktijk? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

communicatie en betrokkenheid burgers

Wanneer en op welke manier geven burgers toestemming voor het gebruik en verwerken van gegevens?

Op welke manier worden burgers geïnformeerd over het gebruik en de verwerking van hun
persoonsgegevens?

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

In hoeverre heeft de gemeente een balans gevonden tussen regels en procedures rondom de bescherming van privacy enerzijds en een goede dienstverlening aan de burger anderzijds?

extern leren

Zijn er elders in het land relevante best practices ten aanzien van een goed verlopend proces van kaderstelling en controle door de gemeenteraad op dit gebied, en wat zijn de belangrijkste lessen die daaruit kunnen worden geleerd?

Beleid informatiebeveiliging en privacybescherming

Welke richtlijnen en beleidsregels hanteren de gemeenten van de BEL Combinatie voor de juridische borging van privacy?

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Voldoen deze richtlijnen en beleidsregels aan de bepalingen uit de Wet bescherming persoonsgegevens?

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Hoe zien de BEL-gemeenten erop toe dat de juridische borging van de privacy van een voldoende niveau is en blijft?

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Hoe gaan de BEL-gemeenten om met privacygevoelige gegevens in het sociaal domein, mede gelet op de informatie-uitwisseling met ketenpartners?

calamiteiten en risicobeheersing

Welke risico’s zijn te onderkennen in de huidige wijze waarop de privacy van burgers juridisch geborgd is binnen de BEL-gemeenten?

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Hoe gaan de BEL-gemeenten om met privacygevoelige gegevens in het sociaal domein, mede gelet op de informatie-uitwisseling met ketenpartners?

communicatie en betrokkenheid burgers

Hoe communiceren de BELgemeenten naar burgers over de wijze waarop zij omgaan met persoonsgegevens?

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Welke kaders heeft de gemeente Breda gesteld ten aanzien van informatiebeveiliging en in hoeverre voldoet de gemeente aan de gestelde normen;

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Welke aanknopingspunten voor verdere verbetering van de informatiebeveiliging komen naar voren en welke aanbevelingen zijn aan de raad te doen.

Controlerende rol gemeenteraad / PS

Welke aanknopingspunten voor verdere verbetering van de informatiebeveiliging komen naar voren en welke aanbevelingen zijn aan de raad te doen.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Wat doet de gemeente Breda aan informatiebeveiliging en welke beveiligingschecks en informatiebeveiligingstests heeft de gemeente Breda gedaan/laten doen (overzicht bieden);

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Hoe is de informatiebeveiliging ingericht in de organisatie, zijn verantwoordelijkheden goed belegd, worden kwetsbaarheden, lekken e.d. snel doorgegeven aan de verantwoordelijken en wordt snel actie ondernomen bij incidenten;

calamiteiten en risicobeheersing

Hoe is de informatiebeveiliging ingericht in de organisatie, zijn verantwoordelijkheden goed belegd, worden kwetsbaarheden, lekken e.d. snel doorgegeven aan de verantwoordelijken en wordt snel actie ondernomen bij incidenten;

Welke maatregelen zijn te nemen om de eventueel geconstateerde kwetsbaarheden, hackmogelijkheden en risico’s technisch en/of organisatorisch te ondervangen;

bewustwording, kennis en kunde in de organisatie

Welke aanknopingspunten voor verdere verbetering van de informatiebeveiliging komen naar voren en welke aanbevelingen zijn aan de raad te doen.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Welke kwetsbaarheden en risico’s zijn te constateren in het gemeentelijke netwerk/de ICT-systemen (en subsites) en welke hackmogelijkheden, eventuele virussen, sporen van phishing, mogelijke malware en mogelijke onbedoelde toegangen tot systemen en met name tot vertrouwelijke en/of privacygevoelige gegevens zijn te constateren;

Zijn de backups voldoende op orde, waar zijn de systemen van de gemeente Breda kwetsbaar voor uitval en wat is de inschatting van de ernst van de situatie als uitval eventueel optreedt;

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Beschikt de gemeente Delft over een informatiebeveiligingsbeleid dat aansluit bij de uitdagingen waar de organisatie voor staat en dat voldoet aan landelijke normen zoals genoemd in BIG en ENSIA?

is het beleid conform BIO (BIG)

Beschikt de gemeente Delft over een informatiebeveiligingsbeleid dat aansluit bij de uitdagingen waar de organisatie voor staat en dat voldoet aan landelijke normen zoals genoemd in BIG en ENSIA?

wordt voldaan aan de AVG

In hoeverre is de gemeente Delft AVG-proof?

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Worden op systematische manier de beveiligingsrisico’s in beeld gebracht en beoordeeld? Zijn daar beheersmaatregelen op getroffen en vindt er regelmatig controle en evaluatie plaats?

Checks - Audits - Evaluatie - Risicoanalyse

Worden op systematische manier de beveiligingsrisico’s in beeld gebracht en beoordeeld? Zijn daar beheersmaatregelen op getroffen en vindt er regelmatig controle en evaluatie plaats?

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

hoe is de informatiebeveiliging binnen de Gemeente georganiseerd?

calamiteiten en risicobeheersing

Worden op systematische manier de beveiligingsrisico’s in beeld gebracht en beoordeeld? Zijn daar beheersmaatregelen op getroffen en vindt er regelmatig controle en evaluatie plaats?

bewustwording, kennis en kunde in de organisatie

Is er sprake van bewustzijn binnen de ambtelijke organisatie ten aanzien van het omgaan met persoonsgegevens en andere gevoelige informatie?

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Is het – voldoend aan het informatiebeveiligingsbeleid – mogelijk oneigenlijke toegang te krijgen, zowel intern als extern, tot informatiesystemen die persoonsgegevens of andere gevoelige informatie bevatten?

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Hebben de gemeenten de risico’s op informatieveiligheidsvlak in een Informatie-beveiligingsplan benoemd, is helder in hoeverre risico’s beheerst dan wel geaccepteerd worden, inclusief de bijbehorende maatregelen uit de BIG, en op welk niveau is dit plan vastgesteld (ambtelijke organisatie, college, raad)?

Zijn de beleidsuitgangspunten nog valide of zijn er interne of externe ontwikkelingen die leiden tot heroverwegingen van de gemeentelijke risico-inschattingen? Indien dit laatste het geval is, wat zijn deze ontwikkelingen?

is het beleid conform BIO (BIG)

Sturen de gemeenten op de afspraken die benoemd zijn in de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de BIG en zo ja hoe?

wordt voldaan aan de AVG

Hoe ver zijn de gemeenten gevorderd met de voorbereidingen op implementatie van de Algemene verordening gegevensbescherming (AVG) van de EU?

budget en personele inzet

-

Sturende rol college / GS

Hebben de gemeenten de risico’s op informatieveiligheidsvlak in een Informatie-beveiligingsplan benoemd, is helder in hoeverre risico’s beheerst dan wel geaccepteerd worden, inclusief de bijbehorende maatregelen uit de BIG, en op welk niveau is dit plan vastgesteld (ambtelijke organisatie, college, raad)?

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Hebben de gemeenten de risico’s op informatieveiligheidsvlak in een Informatie-beveiligingsplan benoemd, is helder in hoeverre risico’s beheerst dan wel geaccepteerd worden, inclusief de bijbehorende maatregelen uit de BIG, en op welk niveau is dit plan vastgesteld (ambtelijke organisatie, college, raad)?

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Rapporteren en bespreken de organisaties het functioneren van de cyclus van informatieveiligheid op management-en bestuursniveau (college en raad)? Zijn zij daarover transparant richting hun ketenpartners door via waarstaatjegemeente.nl te rapporteren over informatieveiligheid? Zijn er nog andere wijzen van rapporteren?

Checks - Audits - Evaluatie - Risicoanalyse

Wordt jaarlijks getoetst of de organisaties in control zijn op het gebied van informatie-veiligheid via peer reviews, audits of self assessments (zelf tests)?

informatie voor college / GS

Rapporteren en bespreken de organisaties het functioneren van de cyclus van informatieveiligheid op management-en bestuursniveau (college en raad)? Zijn zij daarover transparant richting hun ketenpartners door via waarstaatjegemeente.nl te rapporteren over informatieveiligheid? Zijn er nog andere wijzen van rapporteren?

informatie voor de raad / PS

Rapporteren en bespreken de organisaties het functioneren van de cyclus van informatieveiligheid op management-en bestuursniveau (college en raad)? Zijn zij daarover transparant richting hun ketenpartners door via waarstaatjegemeente.nl te rapporteren over informatieveiligheid? Zijn er nog andere wijzen van rapporteren?

Wordt jaarlijks getoetst of de organisaties in control zijn op het gebied van informatie-veiligheid via peer reviews, audits of self assessments (zelf tests)? En wordt over het functioneren van de cyclus van informatieveiligheid gerapporteerd aan de raad?

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

Hebben de gemeenten de risico’s op informatieveiligheidsvlak in een Informatie-beveiligingsplan benoemd, is helder in hoeverre risico’s beheerst dan wel geaccepteerd worden, inclusief de bijbehorende maatregelen uit de BIG, en op welk niveau is dit plan vastgesteld (ambtelijke organisatie, college, raad)?

Is de continuïteit van de gemeentelijke dienstverlening gewaarborgd in geval van grootschalige uitval of verstoring van ICT en hoe is dat geregeld?Wat zijn de risico's van een (redelijk) zware aardbeving voor de digitale infrastructuur van de gemeenten? Zijn deze risico's meegewogen in het beleid en zijn afdoende maatregelen getroffen?

Weten de organisaties hoe te handelen bij een (ernstig) informatieveiligheidsincident en is er een incidentenmanagementproces ingevoerd? Hoe ziet dit eruit?

Zijn de beleidsuitgangspunten nog valide of zijn er interne of externe ontwikkelingen die leiden tot heroverwegingen van de gemeentelijke risico-inschattingen? Indien dit laatste het geval is, wat zijn deze ontwikkelingen?

bewustwording, kennis en kunde in de organisatie

Is er een integrale aanpak voor organisatieleren op het gebied van informatie-veiligheid? Hoe houden de gemeenten kennis vast en bouwen zij hierop door?

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

Zijn de gemeenten‘officieel’ aangesloten bij de Informatiebeveiligingsdienst voor gemeenten (IBD) en wat is de exacte status van deze aansluiting?

inschakeling externen, (keten)partners én controle

Rapporteren en bespreken de organisaties het functioneren van de cyclus van informatieveiligheid op management-en bestuursniveau (college en raad)? Zijn zij daarover transparant richting hun ketenpartners door via waarstaatjegemeente.nl te rapporteren over informatieveiligheid? Zijn er nog andere wijzen van rapporteren?

Kennen de gemeentende leveranciers en partners waarmee ze samenwerken en toetsen zij die ook op informatieveiligheidsaspecten en zo ja hoe?

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Hoe is wet- en regelgeving ten aanzien van informatieveiligheid en privacy geïmplementeerd en hoe functioneert deze opzet in de praktijk?

is het beleid conform BIO (BIG)

Hoe is wet- en regelgeving ten aanzien van informatieveiligheid en privacy geïmplementeerd en hoe functioneert deze opzet in de praktijk?

wordt voldaan aan de AVG

Hoe is wet- en regelgeving ten aanzien van informatieveiligheid en privacy geïmplementeerd en hoe functioneert deze opzet in de praktijk?

budget en personele inzet

Wat is het effect van de AVG geweest op uitvoeringskosten en hoe verhoudt dit zich tot andere gemeenten?

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Hoe heeft de gemeenteraad kaders gesteld ten aanzien van informatiebeveiliging en privacybeleid in het sociaal domein; en welke rol neemt hij ten aanzien van dit onderwerp in?

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Hoe is wet- en regelgeving ten aanzien van informatieveiligheid en privacy geïmplementeerd en hoe functioneert deze opzet in de praktijk?

Hoe is de organisatie van informatieveiligheid en privacy vormgegeven?

Hoe wordt de werkbaarheid ervan ervaren bij medewerkers van de gemeente Dronten en ketenpartners?

In hoeverre komt de werkwijze van medewerkers overeen met vastgestelde processen/werkwijzen rondom informatiebeveiliging en privacy (in het sociaal domein)?

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Hoe wordt de werkbaarheid ervan ervaren bij medewerkers van de gemeente Dronten en ketenpartners?

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

Heeft de aangescherpte wet- en regelgeving op het gebied van informatiebeveiliging en privacy binnen het sociaal domein geleid tot langere doorlooptijden/afhandeltermijnen?

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Wat zijn beleidsdoelen, -kaders en middelen?
Hoe is de stand van zaken?
Wat is (verder) mogelijk om de informatieveiligheid te optimaliseren?
Hoe is de privacy van burgers geborgd binnen de gemeente?
Wat zijn toekomstige opgaven, benodigde middelen, risico’s?

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Hoe is de privacy van burgers geborgd binnen de gemeente?

budget en personele inzet

Wat zijn beleidsdoelen, -kaders en middelen?
Hoe is de stand van zaken?

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Wat zijn beleidsdoelen, -kaders en middelen?
Hoe is de stand van zaken?

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Wat is (verder) mogelijk om de informatieveiligheid te optimaliseren?

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Wat zijn toekomstige opgaven, benodigde middelen, risico’s?

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

• Hebben de provincies Gelderland en Overijssel de sturing op en de verantwoordelijkheid voor informatieveiligheid goed verankerd?

• Is het informatieveiligheidsbeleid van de provincies Gelderland en Overijssel adequaat in opzet, uitvoering en resultaat?

• Hebben de provincies Gelderland en Overijssel informatieveiligheidsbeleid opgesteld dat voldoet aan de gestelde eisen?

is het beleid conform BIO (BIG)

Hebben de provincies Gelderland en Overijssel informatieveiligheidsbeleid opgesteld dat voldoet aan de gestelde eisen?

wordt voldaan aan de AVG

Hebben de provincies Gelderland en Overijssel informatieveiligheidsbeleid opgesteld dat voldoet aan de gestelde eisen?

Met de inwerkingtreding van de Algemene Verordening Gegevensbescherming
(AVG) neemt de aandacht voor privacy toe, ook binnen de provincie. Privacy en
informatieveiligheid zijn aan elkaar gerelateerde thema’s. Voor zover het direct
raakte aan informatieveiligheid namen we privacy mee. We onderzochten het
echter niet als apart thema.

budget en personele inzet

-

Sturende rol college / GS

Hebben de provincies Gelderland en Overijssel de sturing op en de verantwoordelijkheid voor informatieveiligheid goed verankerd?

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Hebben de provincies Gelderland en Overijssel de sturing op en de verantwoordelijkheid voor informatieveiligheid goed verankerd?

Controlerende rol gemeenteraad / PS

Hebben de provincies Gelderland en Overijssel het afleggen van verantwoording over en het houden van toezicht op informatieveiligheid goed geregeld?

werkprocessen monitoren, bewaken en verbeteren

Voeren de provincies Gelderland en Overijssel de benodigde informatieveiligheidsmaatregelen uit?

Hebben de provincies Gelderland en Overijssel het afleggen van verantwoording over en het houden van toezicht op informatieveiligheid goed geregeld?

Checks - Audits - Evaluatie - Risicoanalyse

Voeren de provincies Gelderland en Overijssel de benodigde informatieveiligheidsmaatregelen uit?

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Is het informatieveiligheidsbeleid van de provincies Gelderland en Overijssel adequaat in opzet, uitvoering en resultaat?

Hebben de provincies Gelderland en Overijssel het afleggen van verantwoording over en het houden van toezicht op informatieveiligheid goed geregeld?

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Hebben de provincies Gelderland en Overijssel voldoende aandacht voor bewustwording op het gebied van informatieveiligheid?

beveiliging en autorisatie

Is informatie bij de provincies Gelderland en Overijssel in de praktijk voldoende beschermd tegen toegang door onbevoegden?

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Wat zijn de gemeentelijke beleidskaders rondom privacy en informatieveiligheid in het sociaal domein? Hoe wordt er geanticipeerd op de AVG? In hoeverre voldoet het beleid aan de wettelijke grondslagen?

In hoeverre voldoet de uitvoering aan de wettelijke normen, de gemeentelijke beleidskaders rondom privacy en informatieveiligheid in het sociaal domein en de wettelijke grondslagen?

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

Wat zijn de gemeentelijke beleidskaders rondom privacy en informatieveiligheid in het sociaal domein? Hoe wordt er geanticipeerd op de AVG? In hoeverre voldoet het beleid aan de wettelijke grondslagen?

In hoeverre voldoet de uitvoering aan de wettelijke normen, de gemeentelijke beleidskaders rondom privacy en informatieveiligheid in het sociaal domein en de wettelijke grondslagen?

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Op welke manier kan de gemeenteraad het beleid rondom privacy en informatieveiligheid in het sociaal domein controleren en sturen?

Op welke wijze is de raad tot nu toe betrokken geweest?

Controlerende rol gemeenteraad / PS

Op welke manier kan de gemeenteraad het beleid rondom privacy en informatieveiligheid in het sociaal domein controleren en sturen?

werkprocessen monitoren, bewaken en verbeteren

Op welke manier heeft de gemeente het proces van evalueren en verbeteren ingericht?

Is er al een evaluatie geweest en hoeverre heeft dat tot verbeteringen geleid?

Hoe ziet het toezicht op de omgang met de persoonsgegevens er uit?

Checks - Audits - Evaluatie - Risicoanalyse

Is er al een evaluatie geweest en hoeverre heeft dat tot verbeteringen geleid?

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Hoe is het beleid uitgewerkt en geborgd in processen?

Hoe gaat het in de praktijk, op de werkvloer?

calamiteiten en risicobeheersing

Is er in het privacybeleid van de gemeente aandacht voor welke acties ondernomen moeten worden in het geval zich een datalek voordoet?

bewustwording, kennis en kunde in de organisatie

Op welke manier worden medewerkers betrokken bij, en getraind in het borgen van de privacy en het versterken van de informatieveiligheid?

beveiliging en autorisatie

Hoe is de toegang tot dossiers (autorisaties) geregeld?

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

Wanneer en op welke manier geven burgers toestemming voor het gebruik en verwerken van gegevens?

Op welke manier worden burgers geïnformeerd over het gebruik en de verwerking van hun persoonsgegevens?

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

In hoeverre heeft de gemeente een balans gevonden tussen regels en procedures rondom de bescherming van privacy enerzijds en een goede dienstverlening aan de burger anderzijds waarbij zij de hulp krijgen die nodig is?

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Zowel het informatiebeveiligingsbeleid als de informatiesystemen zijn onderzocht.

Zijn beleid, processen en procedures van informatiebeveiliging beschreven?

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

• Opzet: zijn beleid, processen en procedures van informatiebeveiliging beschreven?
• Bestaan: worden processen in de praktijk doorlopen?
• Werking: werken de processen zoals bedoeld is?

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Is er beleid met betrekking tot informatieveiligheid en voldoet deze aan de geldende richtlijnen?

is het beleid conform BIO (BIG)

In hoeverre is de technische infrastructuur op het gebied van privacy in lijn met de landelijke richtlijnen als de Baseline Informatiebeveiliging Overheid (BIO)?

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Hoe vult de gemeenteraad de kaderstellende en controlerende rol met betrekking tot informatiebeveiliging in? Wordt de gemeenteraad gepositioneerd om die rollen in te vullen?

Controlerende rol gemeenteraad / PS

Hoe vult de gemeenteraad de kaderstellende en controlerende rol met betrekking tot informatiebeveiliging in? Wordt de gemeenteraad gepositioneerd om die rollen in te vullen?

werkprocessen monitoren, bewaken en verbeteren

Hoe ziet de Plan-Do-Check-Act-cyclus (PDCA) met betrekking tot informatiebeveiliging eruit?

Checks - Audits - Evaluatie - Risicoanalyse

Heeft de gemeente Lisse de risico’s in beeld? Zijn hiervoor de juiste analyses uitgevoerd, zoals een GAP- en risicoanalyse?

Hoe ziet de Plan-Do-Check-Act-cyclus (PDCA) met betrekking tot informatiebeveiliging eruit?

Welke kwetsbaarheden ten aanzien van informatieveiligheid laat een inlooptest zien in de praktijk?

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Zijn de functionarissen, zoals Chief Information Security Officer (CISO) en Functionaris Gegevensbescherming, (goed) gepositioneerd?

calamiteiten en risicobeheersing

Heeft de gemeente Lisse de risico’s in beeld? Zijn hiervoor de juiste analyses uitgevoerd, zoals een GAP- en risicoanalyse?

bewustwording, kennis en kunde in de organisatie

Hoe zorgt de organisatie dat medewerkers van HLTsamen bewust worden van de risico's op informatiebeveiliging en in welke mate hebben de medewerkers deze geïnternaliseerd?

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Welk beleid voert de gemeente Hoeksche Waard op het gebied van informatiebeveiliging?

Welke opvolging is gegeven aan het onderzoek van de rekenkamercommissie Hoeksche Waard uit 2016 getiteld “ICT-samenwerking en informatiebeveiliging van de vijf Hoeksche Waard gemeenten”?

is het beleid conform BIO (BIG)

In hoeverre stuurt het college van B&W op de afspraken die benoemd zijn in de VNG Resolutie ‘Informatiebeveiliging, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de Baseline Informatiebeveiliging Nederlandse Overheid (BIO)?

wordt voldaan aan de AVG

In hoeverre stuurt het college van B&W op de afspraken die benoemd zijn in de VNG Resolutie ‘Informatiebeveiliging, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de Baseline Informatiebeveiliging Nederlandse Overheid (BIO)?

Hoe heeft de gemeente de Algemene verordening gegevensbescherming (AVG) van de EU geïmplementeerd in haar werkwijzen?

budget en personele inzet

-

Sturende rol college / GS

In hoeverre stuurt het college van B&W op de afspraken die benoemd zijn in de VNG Resolutie ‘Informatiebeveiliging, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de Baseline Informatiebeveiliging Nederlandse Overheid (BIO)?

Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

In hoeverre dragen bestuur en medewerkers het informatiebeveiligingsbeleid uit?

In hoeverre dragen bestuur en medewerkers het privacybeleid uit?

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

werkprocessen monitoren, bewaken en verbeteren

Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

Hoe houdt de gemeente kennis over informatiebeveiliging vast, hoe bouwt zij hierop voort en leert ze hiervan?

Checks - Audits - Evaluatie - Risicoanalyse

In hoeverre wordt getoetst of de organisatie ‘in control’ is op het gebied van informatiebeveiliging via peer reviews, audits, self assessments (zelf tests) of pen-testen?

informatie voor college / GS

Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

informatie voor de raad / PS

Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

organisatie, werkprocessen en uitvoering

Op welke manier zet de gemeente in op het bewust omgaan met informatie? Hoe gaan de medewerkers van de gemeente in de praktijk om met informatiebeveiliging? In hoeverre dragen bestuur en medewerkers het informatiebeveiligingsbeleid uit?

Hoe heeft de gemeente de Algemene verordening gegevensbescherming (AVG) van de EU geïmplementeerd in haar werkwijzen? Hoe worden medewerkers hierop actief getraind? In hoeverre dragen bestuur en medewerkers het privacybeleid uit?

calamiteiten en risicobeheersing

In hoeverre zijn gegevens bij de gemeente beschermd tegen de toegang door onbevoegden?

Wat zijn de gevolgen voor inwoners en ondernemers als toegang door onbevoegden wordt verkregen?

In hoeverre is de continuïteit van de gemeentelijke dienstverlening gewaarborgd in geval van grootschalige uitval of verstoring van ICT en hoe is dat geregeld?

Weet de organisatie hoe te handelen bij een (ernstig) informatiebeveiligingsincident en hoe ziet het incidentenmanagementproces eruit?

bewustwording, kennis en kunde in de organisatie

Op welke manier zet de gemeente in op het bewust omgaan met informatie? Hoe gaan de medewerkers van de gemeente in de praktijk om met informatiebeveiliging? In hoeverre dragen bestuur en medewerkers het informatiebeveiligingsbeleid uit?

Hoe heeft de gemeente de Algemene verordening gegevensbescherming (AVG) van de EU geïmplementeerd in haar werkwijzen? Hoe worden medewerkers hierop actief getraind? In hoeverre dragen bestuur en medewerkers het privacybeleid uit?

Op welke wijze wordt aandacht besteed aan de verdere bewustwording bij medewerkers van de gemeente?

beveiliging en autorisatie

Op welke wijze zijn de (eind)verantwoordelijken aangewezen en de autorisaties geregeld?

In hoeverre zijn gegevens bij de gemeente beschermd tegen de toegang door onbevoegden?

kwetsbaarheid ICT en Informatiesystemen

Welke risico’s bij informatiebeveiliging en privacy heeft de gemeente benoemd?

In hoeverre worden risico’s beheerst dan wel geaccepteerd?

Op welke wijze zijn de (eind)verantwoordelijken aangewezen en de autorisaties geregeld?

Welke maatregelen worden genomen om risico’s te laten afnemen?

In hoeverre zijn gegevens bij de gemeente beschermd tegen de toegang door onbevoegden?

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Op welke manier toetst de gemeente partners en leveranciers op informatiebeveiligingsaspecten?

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Beschikte de gemeente Hof van Twente in de periode 2019-2020 over een adequaat informatiebeveiligingsbeleid? Welk beleid voert de gemeente Hof van Twente op het gebied van informatiebeveiliging?

Wat zijn de wijzigingen in het beleid sinds 1 december 2020?

Wat is er gedaan met de aanbevelingen uit de twee onderzoeken die in maart 2021 in opdracht van het college zijn verschenen?

Hoe heeft het informatiebeveiligingsbeleid vorm gekregen na 1 december 2020?

is het beleid conform BIO (BIG)

In hoeverre stuurt het college van B&W op de afspraken die benoemd zijn in de VNG Resolutie ‘Informatiebeveiliging, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de Baseline Informatiebeveiliging Nederlandse Overheid (BIO)?

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Is de raad adequaat gepositioneerd geweest om zijn kaderstellende en controlerende rol te kunnen uitvoeren? Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

Controlerende rol gemeenteraad / PS

Is de raad adequaat gepositioneerd geweest om zijn kaderstellende en controlerende rol te kunnen uitvoeren? Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

werkprocessen monitoren, bewaken en verbeteren

Is de uitvoering van het beleid in die periode adequaat getoetst en gemonitord? Hoe vindt toetsing en monitoring nu plaats?

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

informatie voor de raad / PS

Is de raad adequaat gepositioneerd geweest om zijn kaderstellende en controlerende rol te kunnen uitvoeren? Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

organisatie, werkprocessen en uitvoering

Is het informatiebeveiligingsbeleid in die periode adequaat uitgevoerd? Welke risico’s bij informatiebeveiliging en privacy heeft de gemeente benoemd? In hoeverre worden risico’s beheerst dan wel geaccepteerd?

Zijn de functies die van belang zijn op het gebied van informatiebeveiliging in die periode goed ingevuld en gepositioneerd? Welke ontwikkelingen zijn er na 1 december 2020 waar te nemen?

Op welke manier rapporteert en bespreekt de organisatie het functioneren van informatiebeveiliging op management- en bestuursniveau (college en raad)?

calamiteiten en risicobeheersing

Welke maatregelen worden genomen om risico’s te laten afnemen?

Welke lessen zijn te trekken uit de hack die 1 december 2020 manifest werd en de gebeurtenissen daarna?

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

Op welke wijze zijn de (eind)verantwoordelijken aangewezen en de autorisaties geregeld?

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Welke afspraken op informatiebeveiliging zijn gemaakt met externe leverancier(s) en hoe zijn deze gemonitord? Heeft de gemeente in beeld met welke partners informatie en persoonsgegevens worden gedeeld? Op welke manier toetst de gemeente haar partners en leveranciers op privacy- en informatiebeveiligingsaspecten? Met partners en leveranciers zijn afspraken gemaakt op basis van 'privacy by design'.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

Voldoet de gemeente Laarbeek aan de ‘normen’?

wordt voldaan aan de AVG

Voldoet de gemeente Laarbeek aan de ‘normen’?

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Hoe is de monitoring ingericht door de raad?

werkprocessen monitoren, bewaken en verbeteren

Hoe vindt de opvolging plaats bij gesignaleerde tekortkomingen?
Hoe is de monitoring ingericht door de raad?

Checks - Audits - Evaluatie - Risicoanalyse

Welke beveiligingschecks worden zoal uitgevoerd?

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Hoe is de organisatorische inrichting van de informatiebeveiliging?

calamiteiten en risicobeheersing

Welke maatregelen zijn getroffen rond back-ups?

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Welke maatregelen zijn getroffen rond back-ups?

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Hoe heeft de provincie Limburg haar informatiebeveiliging in opzet en praktijk ingericht?

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Op welke wijze worden Provinciale Staten geïnformeerd over informatieveiligheid?

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Welke kwetsbaarheden kent de beveiliging van de vertrouwelijkheid van de informatie in de praktijk?

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

• de aanwijzing van een functionaris voor gegevensbescherming
• het opzetten en bijhouden van een verwerkingsregister
• het uitvoeren van een privacy impact assessment
• toepassen van privacy by design/default-principe  informatiebeveiliging
• de meldplicht datalekken.

De Rekenkamercommissie heeft onderzocht of in de bovenstaande instrumenten is voorzien.

budget en personele inzet

-

Sturende rol college / GS

De Rekenkamercommissie heeft willen vaststellen in hoeverre het onderwerp ‘beveiliging van informatie’ de aantoonbare, actieve aandacht van het college heeft.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

De Rekenkamercommissie stelt graag vast – maar dat kan pas feitelijk bij de behandeling van dit memorandum – in hoeverre de raad de hierboven bedoelde controle

• met de vereiste diepgang kan uitoefenen en
• dat ook aantoonbaar doet, bijvoorbeeld door het stellen van vragen aan het college of het bijwonen van presentaties of informatiebijeenkomsten.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

De Rekenkamercommissie heeft willen beoordelen op welke wijze het onderwerp ‘beveiliging van informatie’ de actieve aandacht van alle medewerkers van de gemeente heeft, waar aan de orde met expliciet zichtbare bestuurlijke betrokkenheid. Daarbij is het de intentie ook te bezien in hoeverre medewerkers zich vrij voelen om risico’s en eventuele incidenten te melden: niet met de dreiging om ergens in welke vorm dan ook voor te worden gestraft, maar juist om een cultuur te stimuleren waarin betrokkenen op het gebied van informatiebeveiliging hun kwetsbaarheden tonen, waarvan door henzelf en anderen gericht kan worden geleerd.

bewustwording, kennis en kunde in de organisatie

De Rekenkamercommissie heeft willen beoordelen op welke wijze het onderwerp ‘beveiliging van informatie’ de actieve aandacht van alle medewerkers van de gemeente heeft, waar aan de orde met expliciet zichtbare bestuurlijke betrokkenheid. Daarbij is het de intentie ook te bezien in hoeverre medewerkers zich vrij voelen om risico’s en eventuele incidenten te melden: niet met de dreiging om ergens in welke vorm dan ook voor te worden gestraft, maar juist om een cultuur te stimuleren waarin betrokkenen op het gebied van informatiebeveiliging hun kwetsbaarheden tonen, waarvan door henzelf en anderen gericht kan worden geleerd.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Wat zijn de beleidskaders van de gemeenten en de iRvN t.a.v. hun informatiebeveiliging, met name van persoonsgegevens?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Wat zijn de gemeentelijke beleidskaders t.a.v. privacybescherming in het sociaal domein? Hoe wordt er geanticipeerd op de AVG?

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

is het beleid conform BIO (BIG)

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving?

wordt voldaan aan de AVG

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Wat zijn de gemeentelijke beleidskaders t.a.v. privacybescherming in het sociaal domein? Hoe wordt er geanticipeerd op de AVG?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving?

budget en personele inzet

Wat is het beschikbare budget van de deelnemende gemeenten en iRvN voor informatiebeveiliging, en is het mogelijk om een oordeel te geven (bijvoorbeeld door benchmarking) over de toereikendheid hiervan?

Sturende rol college / GS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

betrokkenheid samenwerkende gemeenten

Wat zijn de beleidskaders van de gemeenten en de iRvN t.a.v. hun informatiebeveiliging, met name van persoonsgegevens?

Hoe zijn de taken en verantwoordelijkheden op het terrein van ICT- en informatiesystemen en met name de informatiebeveiliging tussen de gemeenten en iRvN verdeeld?

Kaderstellende rol gemeenteraad / PS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

Op welke wijze verloopt het proces van kaderstelling en controle door de gemeenteraden tot op heden t.a.v. de informatiebeveiliging en privacybescherming in hun gemeente, en hoe moet dit proces en het resultaat ervan worden beoordeeld?

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

Controlerende rol gemeenteraad / PS

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

werkprocessen monitoren, bewaken en verbeteren

Hoe ziet het toezicht op de omgang met de persoonsgegevens eruit, op papier en in de praktijk? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

organisatie, werkprocessen en uitvoering

In hoeverre worden de beleidskaders in de praktijk in de gemeenten en de iRvN nageleefd?

In hoeverre worden de beleidskaders en vastgestelde processen en regels nageleefd in de praktijk in de gemeenten (en binnen de iRvN)? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de informatiebeveiliging? Daarbij kan
worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen,
aandacht in functioneringsgesprekken etc.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de privacy van persoonsgegevens? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Hoe is het beleid uitgewerkt en geborgd in processen? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

calamiteiten en risicobeheersing

Hebben de gemeenten en de iRvN voldoende zicht op de risico’s (zowel veiligheidsrisico’s als financiële risico’s ingeval van lekken of incidenten) op het gebied van informatiebeveiliging, en zijn er maatregelen getroffen om de grootste risico’s te kunnen ondervangen?

Hebben de gemeenten en de iRvN een concreet plan voor het effectief en efficiënt verkleinen van de risico’s, en voldoet dat plan aan de gebruikelijke standaarden?

bewustwording, kennis en kunde in de organisatie

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de informatiebeveiliging? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de privacy van persoonsgegevens? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Heeft de gemeente een proces van continue verbeteren in werking voor haar informatiebeveiliging en opslag en beheer van persoonsgegevens in het bijzonder?

beveiliging en autorisatie

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Hoe is het beleid uitgewerkt en geborgd in processen? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe ziet het toezicht op de omgang met de persoonsgegevens eruit, op papier en in de praktijk? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

communicatie en betrokkenheid burgers

Wanneer en op welke manier geven burgers toestemming voor het gebruik en verwerken van gegevens?

Op welke manier worden burgers geïnformeerd over het gebruik en de verwerking van hun persoonsgegevens?

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

In hoeverre heeft de gemeente een balans gevonden tussen regels en procedures rondom de bescherming van privacy enerzijds en een goede dienstverlening aan de burger anderzijds?

extern leren

Zijn er elders in het land relevante best practices ten aanzien van een goed verlopend proces van kaderstelling en controle door de gemeenteraad op dit gebied, en wat zijn de belangrijkste lessen die daaruit kunnen worden geleerd?

Beleid informatiebeveiliging en privacybescherming

Hoe heeft de provincie Noord-Brabant haar informatiebeveiliging in opzet en praktijk ingericht?

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Op welke wijze worden Provinciale Staten geïnformeerd over informatieveiligheid?

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Welke kwetsbaarheden kent de beveiliging van de vertrouwelijkheid van de informatie in de praktijk?

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Welk beleid heeft de gemeente vastgesteld op het gebied van informatieveiligheid?
Welke risico’s en maatregelen heeft de gemeente benoemd?
Welke informatievelden van het hele gemeentelijke taakveld bestrijkt de risico-inventarisatie wel en welke niet?

is het beleid conform BIO (BIG)

Voldoet de techniek aan de eisen die Rijk en beleid daaraan stellen?

wordt voldaan aan de AVG

Voldoet de techniek aan de eisen die Rijk en beleid daaraan stellen?

budget en personele inzet

In hoeverre zijn de maatregelen geïmplementeerd en zijn daarvoor adequate middelen in de zin van geld en menskracht beschikbaar gesteld?

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

In hoeverre zijn de maatregelen geïmplementeerd en zijn daarvoor adequate middelen in de zin van geld en menskracht beschikbaar gesteld?

Evaluatie en actualisatie (zijn rollen en rechten geïmplementeerd?)

Op welke manier zet de gemeente in op bewust omgaan met informatie door medewerkers, uitvoeringsorganisaties en externe adviseurs?

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Op welke manier zet de gemeente in op bewust omgaan met informatie door medewerkers, uitvoeringsorganisaties en externe adviseurs?

Hoe gaan medewerkers, uitvoeringsorganisaties en externe adviseurs in de praktijk om met het informatieveiligheidsbeleid?

Hoe gaan medewerkers, uitvoeringsorganisaties en externe adviseurs in de praktijk om met het informatieveiligheidsbeleid als ze thuiswerken?

beveiliging en autorisatie

Evaluatie en actualisatie (zijn rollen en rechten geïmplementeerd?)

Is data bij de gemeente voldoende beschermd tegen toegang door onbevoegde medewerkers, uitvoeringsorganisaties en externe adviseurs?

Is data bij de gemeente voldoende beschermd tegen toegang door onbevoegde externen?

Wat zijn, als deze vragen met ‘nee’ beantwoord worden, daarvan de gevolgen voor betrokken derden?

Wat zijn de technische risico’s en kwetsbaarheden?

Voldoet de techniek aan de eisen die Rijk en beleid daaraan stellen?

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Op welke manier zet de gemeente in op bewust omgaan met informatie door medewerkers, uitvoeringsorganisaties en externe adviseurs?

Is data bij de gemeente voldoende beschermd tegen toegang door onbevoegde medewerkers, uitvoeringsorganisaties en externe adviseurs?

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

Hoe realistisch zijn de BIO-eisen vergeleken met de bestaande infrastructuur van Overbetuwe?
Naast de technische beveiliging is de gebruiker cruciaal. Wat is het bewustzijn van de gebruiker als het gaat om informatiebeveiliging (met name nu vanwege de Corona-crisis waar veelal vanuit huis gewerkt wordt)?

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Naast de technische beveiliging is de gebruiker cruciaal. Wat is het bewustzijn van de gebruiker als het gaat om informatiebeveiliging (met name nu vanwege de Corona-crisis waar veelal vanuit huis gewerkt wordt)?

beveiliging en autorisatie

Naast de technische beveiliging is de gebruiker cruciaal. Wat is het bewustzijn van de gebruiker als het gaat om informatiebeveiliging (met name nu vanwege de Corona-crisis waar veelal vanuit huis gewerkt wordt)?

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Welke beleidskaders, regels en richtlijnen hanteert de gemeente voor de juridische borging van de privacy van de inwoners?

is het beleid conform BIO (BIG)

Voldoet het beleid en de uitwerking in processen binnen de gemeente aan de bepalingen van het basisnormkader Baseline Informatiebeveiliging Gemeenten (BIG), aan de Wet bescherming persoonsgegevens (Wbp) en vanaf 25 mei 2018 aan de algemene verordening gegevensbescherming (AVG)?

wordt voldaan aan de AVG

Voldoet het beleid en de uitwerking in processen binnen de gemeente aan de bepalingen van het basisnormkader Baseline Informatiebeveiliging Gemeenten (BIG), aan de Wet bescherming persoonsgegevens (Wbp) en vanaf 25 mei 2018 aan de algemene verordening gegevensbescherming (AVG)?

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Op welke wijze is de raad tot nu toe bij de ontwikkeling van het privacybeleid en informatieveiligheid in het sociaal domein betrokken geweest?

Controlerende rol gemeenteraad / PS

Op welke manier kan de gemeenteraad het beleid rondom privacy en informatieveiligheid in het sociaal domein controleren en sturen?

werkprocessen monitoren, bewaken en verbeteren

Hoe ziet de gemeente erop toe dat de borging van de privacy van een voldoende niveau is en blijft en wordt er geanticipeerd op toekomstige opgaven en juridische ontwikkelingen?

Checks - Audits - Evaluatie - Risicoanalyse

Welke mogelijke risico’s zijn te onderkennen in de huidige wijze waarop de privacy van de inwoners is geborgd binnen de gemeente?

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Hoe is dit beleid uitgewerkt en geborgd in processen op de werkvloer?

calamiteiten en risicobeheersing

Zijn er casussen waarin sprake is van schending van de privacy van inwoners en hoe is daarmee omgegaan?

bewustwording, kennis en kunde in de organisatie

Hoe worden medewerkers betrokken bij en getraind in het borgen van de privacy van de inwoners?

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

Hoe communiceert de gemeente naar inwoners over de wijze waarop zij omgaat met persoonsgegevens?

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Hoe heeft het college hieraan vorm en inhoud gegeven in het informatieveiligheidsbeleid en voldoet dit beleid aan de wettelijke en gangbare vereisten?

is het beleid conform BIO (BIG)

Hoe is de implementatie van wet- en regelgeving ten aanzien van informatieveiligheid gerealiseerd in de praktijk? (planfase, betrokkenheid medewerkers, overeenkomsten vastgestelde processen en werkwijzen in de praktijk).

wordt voldaan aan de AVG

Hoe is de governance-structuur (taken en bevoegdheden) rondom informatieveiligheid ingericht en voldoet deze aan de wettelijke en gangbare vereisten? (ambtelijke capaciteit, verantwoordingslijnen richting het bestuur, rapportage).

Hoe is de implementatie van wet- en regelgeving ten aanzien van informatieveiligheid gerealiseerd in de praktijk? (planfase, betrokkenheid medewerkers, overeenkomsten vastgestelde processen en werkwijzen in de praktijk).

budget en personele inzet

-

Sturende rol college / GS

Hoe is de governance-structuur (taken en bevoegdheden) rondom informatieveiligheid ingericht en voldoet deze aan de wettelijke en gangbare vereisten? (ambtelijke capaciteit, verantwoordingslijnen richting het bestuur, rapportage).

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Hoe heeft de gemeenteraad beleidskaders gesteld ten aanzien van informatiebeveiliging?

Wat zijn de rol en de verantwoordelijkheid van de raad ten aanzien van informatieveiligheid?

Controlerende rol gemeenteraad / PS

Wat zijn de rol en de verantwoordelijkheid van de raad ten aanzien van informatieveiligheid?

werkprocessen monitoren, bewaken en verbeteren

Heeft de gemeente Ridderkerk zicht op in welke informatiesystemen er binnen de gemeente persoonsgegevens geregistreerd worden en hoe de toegang van medewerkers tot deze systemen is geregeld? (autorisatieregisters).

Checks - Audits - Evaluatie - Risicoanalyse

Met welke maatregelen geeft het college vorm aan het risico- en incidentmanagement met betrekking tot informatieveiligheid? (zelfevaluaties, lerend vermogen, verbeterprocessen).

informatie voor college / GS

Op welke wijze vinden communicatie en rapportage plaats vanuit de ambtelijke organisatie naar relevante betrokkenen (zoals de gemeenteraad en inwoners) ten aanzien van informatieveiligheid? (informatieflyers, privacystatement op de website, aparte paragraaf
‘informatieveiligheid’ in raadsvoorstellen).

informatie voor de raad / PS

Op welke wijze vinden communicatie en rapportage plaats vanuit de ambtelijke organisatie naar relevante betrokkenen (zoals de gemeenteraad en inwoners) ten aanzien van informatieveiligheid? (informatieflyers, privacystatement op de website, aparte paragraaf
‘informatieveiligheid’ in raadsvoorstellen).

organisatie, werkprocessen en uitvoering

Hoe is de governance-structuur (taken en bevoegdheden) rondom informatieveiligheid ingericht en voldoet deze aan de wettelijke en gangbare vereisten? (ambtelijke capaciteit, verantwoordingslijnen richting het bestuur, rapportage).

Hoe is de implementatie van wet- en regelgeving ten aanzien van informatieveiligheid gerealiseerd in de praktijk? (planfase, betrokkenheid medewerkers, overeenkomsten vastgestelde processen en werkwijzen in de praktijk).

Op welke wijze geeft de ambtelijke organisatie aandacht aan het bewustzijn op het gebied van informatieveiligheid? (training, bewustwordingscampagnes, werkoverleggen).

calamiteiten en risicobeheersing

Met welke maatregelen geeft het college vorm aan het risico- en incidentmanagement met betrekking tot informatieveiligheid? (zelfevaluaties, lerend vermogen, verbeterprocessen).

bewustwording, kennis en kunde in de organisatie

Op welke wijze geeft de ambtelijke organisatie aandacht aan het bewustzijn op het gebied van informatieveiligheid? (training, bewustwordingscampagnes, werkoverleggen).

Met welke maatregelen geeft het college vorm aan het risico- en incidentmanagement met betrekking tot informatieveiligheid? (zelfevaluaties, lerend vermogen, verbeterprocessen).

Op welke wijze geeft de ambtelijke organisatie aandacht aan het bewustzijn op het gebied van informatieveiligheid? (training, bewustwordingscampagnes, werkoverleggen).

beveiliging en autorisatie

Heeft de gemeente Ridderkerk zicht op in welke informatiesystemen er binnen de gemeente persoonsgegevens geregistreerd worden en hoe de toegang van medewerkers tot deze systemen is geregeld? (autorisatieregisters).

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Heeft de gemeente voldoende inzicht/overzicht in het gebruik van gemeentelijke gegevens door derde partijen? (afspraken, toezicht en controle, informatievoorziening).

communicatie en betrokkenheid burgers

Op welke wijze vinden communicatie en rapportage plaats vanuit de ambtelijke organisatie naar relevante betrokkenen (zoals de gemeenteraad en inwoners) ten aanzien van informatieveiligheid? (informatieflyers, privacystatement op de website, aparte paragraaf
‘informatieveiligheid’ in raadsvoorstellen).

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Beschikt de gemeente Rotterdam over een adequaat informatiebeveiligingsbeleid en is sprake van een goed georganiseerde informatiebeveiligingsfunctie?

Heeft de gemeente Rotterdam voldoende maatregelen getroffen om gevoelige informatie te beschermen tegen de belangrijkste veiligheidsrisico’s?

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Heeft de gemeente Rotterdam in brede zin een goed beeld van de belangrijkste risico’s op het gebied van informatiebeveiliging en in het bijzonder gevoelige informatie zoals (bijzondere) persoonsgegevens?

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Beschikt de gemeente Rotterdam over een adequaat informatiebeveiligingsbeleid en is sprake van een goed georganiseerde informatiebeveiligingsfunctie?

Heeft de gemeente Rotterdam voldoende maatregelen getroffen om gevoelige informatie te beschermen tegen de belangrijkste veiligheidsrisico’s?

Is het mogelijk oneigenlijke toegang te krijgen tot gevoelige informatie die de gemeente Rotterdam in beheer heeft?

calamiteiten en risicobeheersing

Welke maatregelen heeft de gemeente Rotterdam genomen na het datalek in februari 2016 en zijn deze voldoende om dergelijke incidenten in de toekomst redelijkerwijs te voorkomen?

Heeft de gemeente Rotterdam in brede zin een goed beeld van de belangrijkste risico’s op het gebied van informatiebeveiliging en in het bijzonder gevoelige informatie zoals (bijzondere) persoonsgegevens?

Is het mogelijk oneigenlijke toegang te krijgen tot gevoelige informatie die de gemeente Rotterdam in beheer heeft?

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Welke opvolging heeft Dienst Dommelvallei gegeven aan de aansporingen en aanbevelingen van het onderzoek naar IB en privacy (mei 2019) van de Rekenkamercommissie GeldropMierlo en wat betekent dit voor de gemeente Son en Breugel?

is het beleid conform BIO (BIG)

Stuurt het college van B&W op de afspraken die benoemd zijn in de VNG Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de Baseline Informatiebeveiliging Nederlandse Overheid (BIO)?

wordt voldaan aan de AVG

Stuurt het college van B&W op de afspraken die benoemd zijn in de VNG Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de Baseline Informatiebeveiliging Nederlandse Overheid (BIO)?

Hoe ver is de gemeente gevorderd met de implementatie van de Algemene verordening gegevensbescherming (AVG) van de EU? Hoe is het commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeente? Dragen zij het privacybeleid uit?

budget en personele inzet

-

Sturende rol college / GS

Hoe is het commitment en draagvlak op dit onderwerp (Informatieveiligheid) bij bestuur en management van de gemeente?

Dragen zij het informatiebeveiligingsbeleid uit?

Hoe ver is de gemeente gevorderd met de implementatie van de Algemene verordening gegevensbescherming (AVG) van de EU?

Hoe is het commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeente?

Dragen zij het privacybeleid uit?

Rapporteert en bespreekt de organisatie het functioneren van informatieveiligheidsbeleid op management- en bestuursniveau (college en raad)? Zo ja, hoe?

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Rapporteert en bespreekt de organisatie het functioneren van informatieveiligheidsbeleid op management- en bestuursniveau (college en raad)? Zo ja, hoe?

werkprocessen monitoren, bewaken en verbeteren

Rapporteert en bespreekt de organisatie het functioneren van informatieveiligheidsbeleid op management- en bestuursniveau (college en raad)? Zo ja, hoe?

Checks - Audits - Evaluatie - Risicoanalyse

Wordt jaarlijks getoetst of de organisatie in control is op het gebied van informatieveiligheid via peer reviews, audits, self assessments (zelf tests) of pen-testen?

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Hoe is het commitment en draagvlak op dit onderwerp (Informatieveiligheid) bij bestuur en management van de gemeente?

Dragen zij het informatiebeveiligingsbeleid uit?

Hoe ver is de gemeente gevorderd met de implementatie van de Algemene verordening gegevensbescherming (AVG) van de EU?

Hoe is het commitment en draagvlak op dit onderwerp bij bestuur en management van de gemeente?

Dragen zij het privacybeleid uit?

calamiteiten en risicobeheersing

Is de continuïteit van de gemeentelijke dienstverlening gewaarborgd in geval van grootschalige uitval of verstoring van ICT en hoe is dat geregeld?

Weet de organisatie hoe te handelen bij een (ernstig) informatieveiligheidsincident en is er een incidentenmanagementproces ingevoerd? Hoe ziet deze eruit?

bewustwording, kennis en kunde in de organisatie

Op welke wijze wordt aandacht besteed aan de bevordering van awareness bij medewerkers van de gemeente?

Is er een integrale aanpak voor organisatieleren op het gebied van informatieveiligheid?

Hoe houdt de gemeente kennis vast en bouwen zij hierop voort?

beveiliging en autorisatie

Zijn de (eind)verantwoordelijken aangewezen en zijn de autorisaties adequaat geregeld?

kwetsbaarheid ICT en Informatiesystemen

Heeft de gemeente de risico’s op informatiebeveiliging benoemd?

Is helder in hoeverre risico’s beheerst dan wel geaccepteerd worden?

Zijn de (eind)verantwoordelijken aangewezen en zijn de autorisaties adequaat geregeld?

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Kent de gemeente de leveranciers en partners waarmee deze samenwerkt en toetst deze hen op informatieveiligheidsaspecten, en zo ja hoe?

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Wat doet de gemeente Utrecht op het gebied van informatieveiligheid?

• Welk beleid voert de gemeente op informatieveiligheid?
• Welke risico’s en maatregelen heeft de gemeente benoemd?
• In hoeverre zijn de maatregelen geïmplementeerd?

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Op welke manier zet de gemeente in op het bewust omgaan met informatie? Hoe gaan de medewerkers van de gemeente in de praktijk om met informatieveiligheid?

calamiteiten en risicobeheersing

Wat doet de gemeente Utrecht op het gebied van informatieveiligheid?

• Welk beleid voert de gemeente op informatieveiligheid?
• Welke risico’s en maatregelen heeft de gemeente benoemd?
• In hoeverre zijn de maatregelen geïmplementeerd?

bewustwording, kennis en kunde in de organisatie

Op welke manier zet de gemeente in op het bewust omgaan met informatie? Hoe gaan de medewerkers van de gemeente in de praktijk om met informatieveiligheid?

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Zijn gegevens bij de gemeente voldoende beschermd tegen de toegang door onbevoegden? Zo niet, wat zijn daarvan de gevolgen voor burgers en ondernemers? Wat zijn de risico’s en kwetsbaarheden?

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

is het beleid conform BIO (BIG)

-

wordt voldaan aan de AVG

-

budget en personele inzet

In hoeverre zijn de risico’s en beheersingsmaatregelen in kaart gebracht in de paragraaf Weerstandsvermogen van de gemeentelijke programmabegrotingen?

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

In hoeverre zijn de gemeenteraden en de Informatiebeveiligingsdienst (IBD) geïnformeerd over het aantal datalekken, de resultaten van de penetratietests en de verbetervoorstellen bij gemeenten en verbonden partijen?

Wat was het aantal uitgevoerde penetratietests en de resultaten ervan?

Tot welke verbetervoorstellen hebben de datalekken en penetratietests geleid?

informatie voor college / GS

-

informatie voor de raad / PS

In hoeverre zijn de gemeenteraden en de Informatiebeveiligingsdienst (IBD) geïnformeerd over het aantal datalekken, de resultaten van de penetratietests en de verbetervoorstellen bij gemeenten en verbonden partijen?

organisatie, werkprocessen en uitvoering

Tot welke verbetervoorstellen hebben de datalekken en penetratietests geleid?

calamiteiten en risicobeheersing

In hoeverre zijn de risico’s en beheersingsmaatregelen in kaart gebracht in de paragraaf Weerstandsvermogen van de gemeentelijke programmabegrotingen?

Welke beheersingsmaatregelen hebben de gemeenten en verbonden partijen genomen om hacken van computernetwerken, binnendringen van gebouwen en andere datalekken te voorkomen, respectievelijk de gevolgen ervan te verzachten?

In hoeverre hebben de gemeenten en verbonden partijen de risico’s volledig in kaart gebracht en welke maatregelen zijn er eventueel aanvullend nodig?

Wat was het aantal datalekken en de aard en omvang ervan?

Hoe eenvoudig is het om gevoelige informatie te krijgen via hacken van het gemeentelijk computernetwerk?

Tot welke verbetervoorstellen hebben de datalekken en penetratietests geleid?

bewustwording, kennis en kunde in de organisatie

Tot welke verbetervoorstellen hebben de datalekken en penetratietests geleid?

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

In hoeverre zijn de gemeenteraden en de Informatiebeveiligingsdienst (IBD) geïnformeerd over het aantal datalekken, de resultaten van de penetratietests en de verbetervoorstellen bij gemeenten en verbonden partijen?

inschakeling externen, (keten)partners én controle

In hoeverre is de sturing van de gemeenten aan verbonden partijen toereikend op het gebied van informatiebeveiliging?

communicatie en betrokkenheid burgers

Op welke wijze communiceren de gemeenten met hun bevolking over ontstane datalekken?

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

Wat kunnen de vier gemeenten van elkaar leren en van andere gemeenten in het land?

Beleid informatiebeveiliging en privacybescherming

Wat zijn de beleidskaders van de gemeenten en de iRvN t.a.v. hun informatiebeveiliging, met name van persoonsgegevens?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Wat zijn de gemeentelijke beleidskaders t.a.v. privacybescherming in het sociaal domein? Hoe wordt er geanticipeerd op de AVG?

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

is het beleid conform BIO (BIG)

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving?

wordt voldaan aan de AVG

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving op het vlak van privacy en informatiebeveiliging?

Wat zijn de gemeentelijke beleidskaders t.a.v. privacybescherming in het sociaal domein? Hoe wordt er geanticipeerd op de AVG?

Voldoen deze beleidskaders aan de gangbare standaarden en wetgeving?

budget en personele inzet

Wat is het beschikbare budget van de deelnemende gemeenten en iRvN voor informatiebeveiliging, en is het mogelijk om een oordeel te geven (bijvoorbeeld door benchmarking) over de toereikendheid hiervan?

Sturende rol college / GS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

betrokkenheid samenwerkende gemeenten

Wat zijn de beleidskaders van de gemeenten en de iRvN t.a.v. hun informatiebeveiliging, met name van persoonsgegevens?

Hoe zijn de taken en verantwoordelijkheden op het terrein van ICT- en informatiesystemen en met name de informatiebeveiliging tussen de gemeenten en iRvN verdeeld?

Kaderstellende rol gemeenteraad / PS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

Op welke wijze verloopt het proces van kaderstelling en controle door de gemeenteraden tot op heden t.a.v. de informatiebeveiliging en privacybescherming in hun gemeente, en hoe moet dit proces en het resultaat ervan worden beoordeeld?

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

Controlerende rol gemeenteraad / PS

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

werkprocessen monitoren, bewaken en verbeteren

Hoe ziet het toezicht op de omgang met de persoonsgegevens eruit, op papier en in de praktijk? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Op welke wijze faciliteren de colleges de kaderstelling en controle door de gemeenteraden, met name ten aanzien van de informatievoorziening aan de raden?

Welke voorwaarden en vereisten kunnen worden geïdentificeerd om de kaderstelling en controle beter te laten verlopen? In het bijzonder moet daarbij aandacht zijn voor de inrichting van de informatievoorziening.

organisatie, werkprocessen en uitvoering

In hoeverre worden de beleidskaders in de praktijk in de gemeenten en de iRvN nageleefd?

In hoeverre worden de beleidskaders en vastgestelde processen en regels nageleefd in de praktijk in de gemeenten (en binnen de iRvN)? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de informatiebeveiliging? Daarbij kan
worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen,
aandacht in functioneringsgesprekken etc.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de privacy van persoonsgegevens? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Hoe is het beleid uitgewerkt en geborgd in processen? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

calamiteiten en risicobeheersing

Hebben de gemeenten en de iRvN voldoende zicht op de risico’s (zowel veiligheidsrisico’s als financiële risico’s ingeval van lekken of incidenten) op het gebied van informatiebeveiliging, en zijn er maatregelen getroffen om de grootste risico’s te kunnen ondervangen?

Hebben de gemeenten en de iRvN een concreet plan voor het effectief en efficiënt verkleinen van de risico’s, en voldoet dat plan aan de gebruikelijke standaarden?

bewustwording, kennis en kunde in de organisatie

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de informatiebeveiliging? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Op welke manier worden gemeentelijke medewerkers bewust gemaakt van hun verantwoordelijkheden ten aanzien van het bewaken van de privacy van persoonsgegevens? Daarbij kan worden gedacht aan onder meer trainingen en ondersteuning, maar ook via functieomschrijvingen, aandacht in functioneringsgesprekken etc.

Heeft de gemeente een proces van continue verbeteren in werking voor haar informatiebeveiliging en opslag en beheer van persoonsgegevens in het bijzonder?

beveiliging en autorisatie

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Hoe is het beleid uitgewerkt en geborgd in processen? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe is de toegang tot dossiers (autorisaties) geregeld? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

Hoe ziet het toezicht op de omgang met de persoonsgegevens eruit, op papier en in de praktijk? Hierbij moet ook aandacht zijn voor de samenwerking met eventuele (keten)partners.

communicatie en betrokkenheid burgers

Wanneer en op welke manier geven burgers toestemming voor het gebruik en verwerken van gegevens?

Op welke manier worden burgers geïnformeerd over het gebruik en de verwerking van hun
persoonsgegevens?

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

In hoeverre heeft de gemeente een balans gevonden tussen regels en procedures rondom de bescherming van privacy enerzijds en een goede dienstverlening aan de burger anderzijds?

extern leren

Zijn er elders in het land relevante best practices ten aanzien van een goed verlopend proces van kaderstelling en controle door de gemeenteraad op dit gebied, en wat zijn de belangrijkste lessen die daaruit kunnen worden geleerd?

Beleid informatiebeveiliging en privacybescherming

Stuurt de gemeente op de afspraken die benoemd zijn in de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de BIG en zo ja hoe?

Zijn de beleidsuitgangspunten nog valide of zijn er interne of externe ontwikkelingen die leiden tot heroverwegingen van de gemeentelijke risico-inschattingen? Indien dit laatste het geval is, wat zijn dan deze ontwikkelingen?

is het beleid conform BIO (BIG)

Stuurt de gemeente op de afspraken die benoemd zijn in de Resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ en in het bijzonder op de implementatie van de BIG en zo ja hoe?

wordt voldaan aan de AVG

Hoe ver is de gemeente gevorderd met de voorbereidingen op implementatie van de Algemene verordening gegevensbescherming (AVG) van de EU?

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Rapporteert en bespreekt de organisatie het functioneren van de cyclus van informatieveiligheid op management- en bestuursniveau (college en raad)? Is zij daarover transparant richting haar ketenpartners door via waarstaatjegemeente.nl te rapporteren over informatieveiligheid? Zijn er nog andere wijzen van rapporteren?

Checks - Audits - Evaluatie - Risicoanalyse

Wordt jaarlijks getoetst of de organisatie in control is op het gebied van informatieveiligheid via peer reviews, audits of zelfassessments? En wordt over het functioneren van de cyclus van informatieveiligheid gerapporteerd aan de raad?

informatie voor college / GS

Rapporteert en bespreekt de organisatie het functioneren van de cyclus van informatieveiligheid op management- en bestuursniveau (college en raad)? Is zij daarover transparant richting haar ketenpartners door via waarstaatjegemeente.nl te rapporteren over informatieveiligheid? Zijn er nog andere wijzen van rapporteren?

informatie voor de raad / PS

Rapporteert en bespreekt de organisatie het functioneren van de cyclus van informatieveiligheid op management- en bestuursniveau (college en raad)? Is zij daarover transparant richting haar ketenpartners door via waarstaatjegemeente.nl te rapporteren over informatieveiligheid? Zijn er nog andere wijzen van rapporteren?

Wordt jaarlijks getoetst of de organisatie in control is op het gebied van informatieveiligheid via peer reviews, audits of zelfassessments? En wordt over het functioneren van de cyclus van informatieveiligheid gerapporteerd aan de raad?

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

Heeft de gemeente de risico’s op informatieveiligheidsvlak in een Informatiebeveiligingsplan benoemd, is helder in hoeverre risico’s beheerst dan wel geaccepteerd worden, inclusief de bijbehorende maatregelen uit de BIG, en op welk niveau is dit plan vastgesteld (ambtelijke organisatie, college, raad)?

Is de continuïteit van de gemeentelijke dienstverlening gewaarborgd in geval van grootschalige uitval of verstoring van ICT en hoe is dat geregeld?

Weet de organisatie hoe te handelen bij een (ernstig) informatieveiligheidsincident en is er een incidentenmanagementproces ingevoerd? Hoe ziet dit eruit?

bewustwording, kennis en kunde in de organisatie

Is er een integrale aanpak voor organisatieleren op het gebied van informatieveiligheid? Hoe houdt de gemeente kennis vast en bouwt zij hierop door?

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

Is de gemeente ‘officieel’ aangesloten bij de Informatiebeveiligingsdienst voor gemeenten (IBD) en wat is de exacte status van deze aansluiting?

inschakeling externen, (keten)partners én controle

Kent de gemeente de leveranciers en partners waarmee ze samenwerkt en toetst zij die ook op informatieveiligheidsaspecten en zo ja hoe?

Rapporteert en bespreekt de organisatie het functioneren van de cyclus van informatieveiligheid op management- en bestuursniveau (college en raad)? Is zij daarover transparant richting haar ketenpartners door via waarstaatjegemeente.nl te rapporteren over informatieveiligheid? Zijn er nog andere wijzen van rapporteren?

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-