Metadossier Informatiebeveiliging

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

De rekenkamercommissie acht het, vanwege het toenemend maatschappelijk belang en de toenemende risico’s, van belang dat de raad zich in de toekomst intensiever met deze vraagstukken gaat bezighouden. Om die reden heeft de rekenkamercommissie de Nederlandse School voor het Openbaar Bestuur (NSOB) gevraagd hoe de gemeenteraad van ’s-Hertogenbosch invulling kan geven aan zijn kaderstellende en politieke rol binnen het privacy-beleid en het verantwoord datagebruik. Gevraagd is daarbij specifiek te kijken naar deze aspecten binnen het sociaal domein in de gemeente.

De onderzoekers geven aan dat de politieke vragen zoals: welke data over wie verzameld worden, wat met deze data gebeurt en welke doelen met de verwerking van data worden gediend, steeds urgenter worden. Zij stellen dat steeds meer beslissingen data gedreven worden, waarbij automatische beslisregels (algoritmes) een prominente rol vervullen. Dat kan bijdragen aan de effectiviteit en efficiëntie, maar de normatieve aspecten die met dataverzameling en datagebruik verbonden zijn dreigen vaak uit het zicht te raken. Voor de NSOB liggen hier de politieke gevoeligheden die voor de raad van belang zijn. Zij adviseren de gemeenteraad om hierover een debat te voeren en positie in te nemen.

Sturing geven aan de technologisch ontwikkeling is, zeker voor een gemeenteraad, beperkt mogelijk. Dat houdt niet in dat er geen keuzes te maken zijn. Er zijn keuzes te maken over de benutting van specifieke toepassingen, over de verzameling van data, over het gebruik van data en over de zeggenschap en bescherming van burgers.

Data zijn nooit contextloos. Data zijn het gevolg van keuzes, van beslissingen, van modellenen beelden van de wereld, van tijd en geschiedenis. Het politieke debat hierover is dus urgent.

De raad heeft vanuit zijn controlerende en kaderstellende rol de verplichting om dit te doen. Het gaat er niet slechts om achteraf te controleren of data correct en deugdelijk zijn verzameld en gebruikt en de privacy conform alle geldende regels is beschermd, maar juist ook om vooraf kaders te stellen en waar nodig scherpe grenzen te trekken.

De regelgeving op het gebied van privacy, in het bijzonder de AVG, is op een aantal punten scherp. De raad kan de uitgangspunten (dataminimalisatie en doelbinding en zoveel mogelijk instemmingsrecht van burgers) hanteren in de kaderstelling.

Tegelijkertijd is de regelgeving, in het bijzonder de AVG, niet in beton gegoten. Er is altijd ruimte voor interpretatie en dus voor politieke keuzes. Welke data voor welk beleid over welke burgers en maatschappelijke ontwikkelingen is altijd een uitkomst van politieke voorkeuren en compromissen.

De kaderstelling inzake privacy en het gebruik van data heeft niet alleen gevolgen voor burgers en samenleving maar zeker ook voor de politiek zelf. De overheid is niet alleen de institutie die de privacy van burgers moet beschermen, maar is zelf ook een belangrijk bedreiging van de privacy. In de sfeer van handhaving en opsporing is dat evident, maar ook in het sociale domein kunnen de beste politieke bedoelingen leiden tot omvangrijk datagebruik, met alle risico’s van dien.

Politiek is er een grote en breed gedeelde wens tot integraal beleid en integraal werken. Het is duidelijk dat deze voorkeur ingrijpende gevolgen heeft voor het gebruik en de verzameling van data. Ook hier is kaderstelling van een gemeenteraad noodzakelijk.

Er wordt ook steeds meer gesproken over maatwerk. In de uitvoering van beleid en de toepassing van regels moet zoveel mogelijk rekening worden gehouden met de bijzondere kenmerken van elke individuele burger. Dat impliceert echter weer dat de overheid kennis moet hebben van zoveel mogelijk van deze kenmerken. Politiek zal dit dilemma steeds moeten worden besproken wanneer er wordt gesproken over maatwerk.

Data worden gebruikt in processen van controle en verantwoording. Processen die in een democratie van belang zijn. Echter ook hier geldt dat het goed is om een kritische reflectie te houden op politieke wensen. Zeker wanneer het gaat om data waar persoonsgegevens mee gemoeid zijn.

Controlerende rol gemeenteraad / PS

Data zijn nooit contextloos. Data zijn het gevolg van keuzes, van beslissingen, van modellenen beelden van de wereld, van tijd en geschiedenis. Het politieke debat hierover is dus urgent.

De raad heeft vanuit zijn controlerende en kaderstellende rol de verplichting om dit te doen. Het gaat er niet slechts om achteraf te controleren of data correct en deugdelijk zijn verzameld en gebruikt en de privacy conform alle geldende regels is beschermd, maar juist ook om vooraf kaders te stellen en waar nodig scherpe grenzen te trekken.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

De rekenkamercommissie heeft een DataWijzer voor de gemeenteraad ’s Hertogenbosch door Utrecht Data School (UDS) laten ontwikkelen. Het doel van deze DataWijzer, een doorklikbaar hulpmiddel, is raads- en commissieleden te helpen om in het reguliere besluitvormingsproces tot een goed afgewogen en onderbouwd besluit te komen bij raadsvoorstellen waarbij data worden ingezet. De DataWijzer bestaat uit drie fases: de beeldvormende fase, de oordeelsvormende fase en de besluitvormende fase. Bij elke fase geeft de DataWijzer suggesties voor vragen die u als raads- commissielid zou kunnen stellen. Bovendien helpt de DataWijzer bij het stellen van kaders door de raad.

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Vraag het college een visie op privacy by design te ontwikkelen (zo gaan wij hiermee om) opdat de gemeente duidelijker aan de ontwerpers van software eigen eisen kan stellen op het gebied van de verwerking van persoonsgegevens en het efficiënter de applicaties kan inrichten.

Geef het college de opdracht zo spoedig mogelijk een integraal continuïteitsplan (als uitwijk) op te stellen en dit regelmatig te testen.

budget en personele inzet

Stel voldoende middelen beschikbaar voor het door de colleges (jaarlijks) op te stellen Uitvoeringsplan Informatiebeveiliging en privacy.

Sturende rol college / GS

Stel in samenspraak met de colleges en de griffies een gedragscode op voor informatiebeveiliging en privacy onderwerpen die spelen voor raadsleden.

Geef het college de opdracht zo spoedig mogelijk een integraal continuïteitsplan (als uitwijk) op te stellen en dit regelmatig te testen.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Stel in samenspraak met de colleges en de griffies een gedragscode op voor informatiebeveiliging en privacy onderwerpen die spelen voor raadsleden.

Vraag het college een visie op privacy by design te ontwikkelen (zo gaan wij hiermee om) opdat de gemeente duidelijker aan de ontwerpers van software eigen eisen kan stellen op het gebied van de verwerking van persoonsgegevens en het efficiënter de applicaties kan inrichten.

Geef het college de opdracht zo spoedig mogelijk een integraal continuïteitsplan (als uitwijk) op te stellen en dit regelmatig te testen.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Ga in gesprek met de colleges over wanneer en waarop de colleges de raden informeren op ontwikkelingen op informatiebeveiliging en privacy, de voortgang van het Uitvoeringsplan en mede gericht op invulling van het vormvrije deel van de landelijke ENSIA. Inspiratie kan in de uitkomsten van de werkconferentie van 4 oktober 2018 gevonden worden.

Verzoek de colleges halfjaarlijks over de vorderingen op de aansporingen te rapporteren en in het kader van de ENSIA-rapportage medio 2019 over de aanbevelingen te rapporteren.

organisatie, werkprocessen en uitvoering

Geef de colleges de opdracht de CISO-functionaris tijdig te vervangen en deze de rol van adviseur en controleur op het terrein van informatiebeveiliging conform de richtlijnen uit de landelijke Baseline te geven.

Geef het goede voorbeeld door een goed beveiligingsniveau van de eigen ICT-hulpmiddelen na te streven en in gedrag te borgen (zoals de beveiliging van het raadssysteem iBabs).

calamiteiten en risicobeheersing

Geef het college de opdracht regelmatig inloop- en hackerstesten uit te laten voeren door ethische hackers en geef dit een plaats in bewustwordingscampagnes.

bewustwording, kennis en kunde in de organisatie

Geef het college de opdracht regelmatig inloop- en hackerstesten uit te laten voeren door ethische hackers en geef dit een plaats in bewustwordingscampagnes.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Vraag het college zo spoedig mogelijk een nieuwe GAP-analyse (verschil tussen de norm en de stand van zaken) uit te voeren en een risicoanalyse op te stellen en voor 2020 en daarna een nieuw informatiebeveiligingsbeleid en -plan op te stellen op basis van nieuwe voorschriften (zoals de BIO).

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Informeer de raad minimaal éénmaal per jaar integraal over relevante ontwikkelingen op het gebied van informatiebeveiliging.

organisatie, werkprocessen en uitvoering

Neem bescherming van persoonsgegevens en privacy als vast onderdeel mee bij de aankoop en inrichting van nieuwe systemen en werkprocessen. Controleer bij het inwerkingtreden van nieuwe of gewijzigde wetgeving of bij het beschikbaar komen van nieuwe technologieën standaard of bestaande systemen en werkprocessen als gevolg hiervan moeten worden aangepast.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Richt jaarlijkse monitoring in van de afspraken die met derden zijn gemaakt over bescherming van persoonsgegevens en neem de resultaten hiervan op in het jaarverslag van de FG.

communicatie en betrokkenheid burgers

Inventariseer hoe inwoners aankijken tegen het verzamelen en gebruik van persoonsgegevens en de bescherming daarvan door de gemeente om zo ongelukkige of nadelige uitwerkingen van beleid op het gebied van persoonsgegevens proactief te signaleren en na te gaan of de huidige wijze van communiceren hierover kan worden verbeterd.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Verhelder het beleid voor informatiebeveiliging en privacybescherming

• Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming te versterken door het in ieder geval aan te vullen met een visie, ambitie en speerpunten. Dit vormt ook de basis voor de bewustwording in de organisatie. Vraag het college het beleidsplan ter besluitvorming aan de raad voor te leggen.
• Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

budget en personele inzet

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Stel voldoende middelen beschikbaar
Vraag het college om de raad voor te leggen wat er nodig is qua financiële en personele middelen, op basis van het op te stellen meerjarenuitvoeringsprogramma en de jaarplannen. Die belangrijke documenten vragen om bespreking en besluitvorming in het college.

Geef de CISO en FG de beschikking over een eigen budget
Vraag het college om in lijn met het advies van de IBD het budget waarover de CISO kan beschikken te specificeren in het jaarplan en de begroting. Doe dat ook voor de FG. Op deze manier kunnen CISO en FG hun rol vanuit de 3e lijn beter waarmaken.

Sturende rol college / GS

Besteed meer bestuurlijke aandacht aan informatiebeveiliging en privacybescherming in de gemeente
Vraag het college - in lijn met VNG-resolutie 2021 en de 10 bestuurlijke principes voor informatiebeveiliging - om de portefeuilles informatiebeveiliging en privacybescherming voldoende gewicht te geven en systematisch aandacht te besteden in de collegevergaderingen aan zaken zoals risico’s, beleid, prioritering, benodigde middelen, jaarplannen, monitoring, voortgangs- en verantwoordingsrapportages en de eigen bewustwording. Het is verstandig regelmatig de CISO en FG uit te nodigen voor een toelichting.

betrokkenheid samenwerkende gemeenten

Overweeg om het pad in te slaan van gezamenlijk informatiebeveiligingsbeleid in de regio. Vraag het college om bestuurlijk de discussie aan te gaan om toch tot een gezamenlijk informatiebeveiligingsbeleid in de regio te komen. Voor de hand ligt om iRvN daarvoor te gebruiken: de organisatie staat al, en is bestuurlijk ingebed in de MGR. Een gezamenlijk beleid, waarin onder meer is vastgelegd welk gedeeld volwassenheidsniveau de gemeenten nastreven, is de beste manier om de informatiebeveiliging in onze gemeenten te vergroten en de risico’s te verminderen. Laat je als raad informeren over de mogelijke keuzes en implicaties daarvan. Bij het bepalen van je standpunt hierover kun je je als gemeenteraad extern laten adviseren. Overweeg dat in regionaal verband te doen.

Zorg voor heldere afspraken tussen de gemeenten en iRvN over informatiebeveiliging
a. Vraag het college om zo snel mogelijk te zorgen voor een heldere taakafbakening tussen gemeenten en iRvN inzake informatiebeveiliging. Dit voorkomt risico’s als gevolg van onduidelijkheid hierover, en stelt iRvN in staat de gemeenten beter en efficiënter te ondersteunen. Vraag het college over een jaar te rapporteren, liefst op basis van een extern onderzoek.
b. Vraag het college om in MGR-verband een meerjarenbeleidsplan voor de ICT-module op te stellen met daarin duidelijke doelstellingen. Vraag het college dit beleidsplan op hoofdlijnen uit te werken in een (meerjaren)uitvoeringsprogramma, waarin wordt ingegaan op de benodigde inspanningen door zowel iRvN als de gemeenten. Bijzondere aandacht verdient daarbij het opstellen van de tot nu toe ontbrekende (beleids)kaders voor informatiebeveiliging. Overweeg als raad de zienswijzen op dit meerjarenbeleidsplan gezamenlijk met de andere raden voor te bereiden.
c. Vraag het college om het DB van de MGR voortaan, op basis van het meerjarenbeleidsplan en -uitvoeringsprogramma, een jaarlijks uitvoeringsprogramma (collectieve DVO) vast te laten stellen. Vraag het college om het DB in de jaarstukken verantwoording af te laten leggen over de doelstellingen.

Besteed meer bestuurlijke aandacht aan informatiebeveiliging en privacybescherming in de regio
Versterk en verduidelijk de governance op regionaal niveau. Vraag het college om in MGR-verband voldoende gewicht te geven aan de rol van IRvN bij de informatiebeveiliging in de gemeenten (en bij iRvN zelf). Dat betekent periodieke aandacht in het AB en in de Agendacommissie van de MGR voor informatiebeveiliging, zowel als het gaat om beleidsplan en jaarplannen (Plan) en rapportages (Check). Ook (of: juist) als de
aansturing van iRvN bij de gemeentesecretarissen en/of hoofden bedrijfsvoering ligt, zorg dan voor noodzakelijke bestuurlijke besluitvorming in het AB. Vraag aan het college om de instelling van een aparte bestuurscommissie voor iRvN in het AB van de MGR te overwegen. Het voordeel van een bestuurscommissie ten opzichte van het werken in het portefeuillehoudersoverleg ICT is immers dat op deze manier de
besluitvorming bestuurlijk is ingebed in de MGR, transparanter is en meer garanties geeft voor betrokkenheid van de gemeenteraden. Vraag het college de raad te informeren over de gehanteerde afwegingen en besluitvorming.

Overweeg als raden een regionale aanpak
Versterk elkaar als raden en stel bijvoorbeeld een regionale raadswerkgroep in, of gebruik de agendacommissie van de MGR daarvoor. Zo’n gezelschap wordt dan de voorhoede van de gemeenteraden, en de leden ervan houden hun eigen raad goed op de hoogte. Organiseer in die werkgroep de onderlinge uitwisseling en kennisvermeerdering, en stem bijvoorbeeld de controle-activiteiten richting de colleges met elkaar af.

Kaderstellende rol gemeenteraad / PS

Stel als raad het beleid voor informatiebeveiliging en privacybescherming vast
Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming ter besluitvorming aan de raad voor te leggen. De raad moet die documenten dan ook agenderen, en de gelegenheid aangrijpen om zich te laten informeren.

Overweeg als raden een regionale aanpak
Versterk elkaar als raden en stel bijvoorbeeld een regionale raadswerkgroep in, of gebruik de agendacommissie van de MGR daarvoor. Zo’n gezelschap wordt dan de voorhoede van de gemeenteraden, en de leden ervan houden hun eigen raad goed op de hoogte. Organiseer in die werkgroep de onderlinge uitwisseling en kennisvermeerdering, en stem bijvoorbeeld de controle-activiteiten richting de colleges met elkaar af.

Verhelder het beleid voor informatiebeveiliging en privacybescherming

• Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming te versterken door het in ieder geval aan te vullen met een visie, ambitie en speerpunten. Dit vormt ook de basis voor de bewustwording in de organisatie. Vraag het college het beleidsplan ter besluitvorming aan de raad voor te leggen.
• Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Overweeg de accountant de opdracht te geven voor een IT-audit
De gemeenteraad is opdrachtgever van de accountant. Overweeg vanuit die rol de accountant een IT-audit te laten uitvoeren. Maak bij het formuleren van die opdracht gebruik van de ervaringen die de raad van Nijmegen hiermee de afgelopen vier jaar heeft opgedaan. Vraag de accountant om consistente rapportages, zodat je als raad van jaar tot jaar kunt zien of aanbevelingen al dan niet zijn opgevolgd.

informatie voor college / GS

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

informatie voor de raad / PS

Leg vast hoe je gaat toetsen en rapporteren
Vraag het college om in het beleid op te nemen hoe je als gemeente wilt gaan toetsen en rapporteren. Neem de PDCA-cyclus als uitgangspunt en expliciteer de momenten waarop getoetst en gerapporteerd wordt. Belangrijk bij het toetsen is dat periodiek pentesten worden uitgevoerd en periodiek extern getoetst wordt. Belangrijk bij het rapporteren is dat - na overleg met de raad - ook wordt aangegeven hoe en wanneer aan de raad gerapporteerd wordt. Maak in het college (en ook in de raad) in elk geval meer werk van de jaarlijkse verantwoordingsrapportages over informatieveiligheid (ENSIA) en privacybescherming (jaarverslag FG). Nodig de CISO en FG uit voor een toelichting en bespreking.

Laat je als raad informeren en ondersteunen
Neem als raad zelf het initiatief om je te laten informeren over het belang en de ‘basics’ van goede informatiebeveiliging en privacybescherming. Doel is om in de daaropvolgende jaren beter te weten waar je op moet letten en naar moet vragen. Nodig het college en ook de CISO en FG voor zo’n sessie uit. Ook een
externe deskundige die meedenkt over het soort vragen dat je moet stellen, kan nuttig zijn. Gezien de snelle ontwikkelingen in risico’s, dreigingen en techniek, is het verstandig dergelijke sessies met enige regelmaat te organiseren, al dan niet ter voorbereiding op de behandeling van voorstellen of verantwoordingsrapportages die door het college worden voorgelegd. Waarom hier niet een regionaal initiatief van maken?

Richt als raad je controlerende rol beter in
Vraag de griffie om in een beknopte nota vast te leggen:

• waarover je als raad wilt worden geïnformeerd: de stand van zaken rond doelen, risico’s en maatregelen, de resultaten van testen en toetsen, de toereikendheid van middelen, etc.
• op welke manier je als raad wilt worden geïnformeerd: enkel via de P&C-cyclus, of ook via periodieke informatiebrieven of voortgangsrapportages, via de auditcommissie (desnoods in beslotenheid), etc.
• dat je in ieder geval de jaarlijkse rapportages (ENSIA, privacyjaarverslag) wilt ontvangen en dat die moeten worden voorzien van een begeleidende toelichting. Voor beide rapportages geldt dat daarin inhoudelijk moet worden gerapporteerd op het voldoen aan de vereisten: voor informatiebeveiliging (ENSIA) zijn dat de BIO-normen en voor privacybescherming de AVG. Verwijs in de nota bijvoorbeeld naar het goede voorbeeld in Hilversum.
• hoe je als raad die informatie agendeert en behandelt, en hoe je de vinger aan de pols houdt. Overweeg om een externe toets of second opinion te vragen, of een adviseur in te schakelen.

Overweeg de accountant de opdracht te geven voor een IT-audit
De gemeenteraad is opdrachtgever van de accountant. Overweeg vanuit die rol de accountant een IT-audit te laten uitvoeren. Maak bij het formuleren van die opdracht gebruik van de ervaringen die de raad van Nijmegen hiermee de afgelopen vier jaar heeft opgedaan. Vraag de accountant om consistente rapportages, zodat je als raad van jaar tot jaar kunt zien of aanbevelingen al dan niet zijn opgevolgd.

organisatie, werkprocessen en uitvoering

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

Ga systematisch DPIA’s uitvoeren
Vraag het college om systematisch invulling te gaan geven aan DPIA’s. Pak het planmatig aan: bepaal wat de meest noodzakelijke DPIA’s zijn en neem deze op in het jaarplan.

Zorg intern voor onafhankelijk ondersteuning en toezicht
Vraag het college om de FG als interne toezichthouder duidelijk in de 3e lijn te positioneren en indien nodig capaciteit toe te voegen aan de 2e lijn (in de vorm van een Privacy Officer). Vraag het college om ook de CISO bij voorkeur in de 3e lijn te positioneren en indien nodig capaciteit (in de vorm van een Security Officer) toe te voegen aan de 2e lijn.

calamiteiten en risicobeheersing

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Voer zo snel mogelijk een organisatiebrede risicoanalyse uit
Vraag het college om zo snel mogelijk een organisatiebrede risicoanalyse te (laten) uitvoeren voor zowel informatiebeveiliging als privacybescherming. Kom op basis hiervan tot bestuurlijke besluitvorming over risico’s die (niet) acceptabel worden gevonden en vraag het college deze te gebruiken voor het op te stellen meerjaren-uitvoeringsprogramma.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

bewustwording, kennis en kunde in de organisatie

Zet volop en systematisch in op bewustwording
Vraag het college om door te gaan op de weg van het vergroten van de bewustwording van medewerkers en dit meer systematisch aan te pakken, door ook hierbij te werken op basis van een risicoanalyse en volgens de
PDCA-cyclus. Vraag het college bewustwording vanaf 2023 op te nemen als onderdeel van de jaarplannen
voor informatiebeveiliging en privacybescherming, en daarbij ook aandacht te hebben voor bewustwordingsmaatregelen voor specifieke groepen medewerkers.

beveiliging en autorisatie

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

Ga systematisch DPIA’s uitvoeren
Vraag het college om systematisch invulling te gaan geven aan DPIA’s. Pak het planmatig aan: bepaal wat de meest noodzakelijke DPIA’s zijn en neem deze op in het jaarplan.

Zorg intern voor onafhankelijk ondersteuning en toezicht
Vraag het college om de FG als interne toezichthouder duidelijk in de 3e lijn te positioneren en indien nodig capaciteit toe te voegen aan de 2e lijn (in de vorm van een Privacy Officer). Vraag het college om ook de CISO bij voorkeur in de 3e lijn te positioneren en indien nodig capaciteit (in de vorm van een Security Officer) toe te voegen aan de 2e lijn.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

kwetsbaarheid ICT en Informatiesystemen

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Voer zo snel mogelijk een organisatiebrede risicoanalyse uit
Vraag het college om zo snel mogelijk een organisatiebrede risicoanalyse te (laten) uitvoeren voor zowel informatiebeveiliging als privacybescherming. Kom op basis hiervan tot bestuurlijke besluitvorming over risico’s die (niet) acceptabel worden gevonden en vraag het college deze te gebruiken voor het op te stellen meerjaren-uitvoeringsprogramma.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Verhelder het beleid voor informatiebeveiliging en privacybescherming

• Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming te versterken door het in ieder geval aan te vullen met een visie, ambitie en speerpunten. Dit vormt ook de basis voor de bewustwording in de organisatie. Vraag het college het beleidsplan ter besluitvorming aan de raad voor te leggen.
• Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

budget en personele inzet

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Stel voldoende middelen beschikbaar
Vraag het college om de raad voor te leggen wat er nodig is qua financiële en personele middelen, op basis van het op te stellen meerjarenuitvoeringsprogramma en de jaarplannen. Die belangrijke documenten vragen om bespreking en besluitvorming in het college.

Geef de CISO en FG de beschikking over een eigen budget
Vraag het college om in lijn met het advies van de IBD het budget waarover de CISO kan beschikken te specificeren in het jaarplan en de begroting. Doe dat ook voor de FG. Op deze manier kunnen CISO en FG hun rol vanuit de 3e lijn beter waarmaken.

Sturende rol college / GS

Besteed meer bestuurlijke aandacht aan informatiebeveiliging en privacybescherming in de gemeente
Vraag het college - in lijn met VNG-resolutie 2021 en de 10 bestuurlijke principes voor informatiebeveiliging - om de portefeuilles informatiebeveiliging en privacybescherming voldoende gewicht te geven en systematisch aandacht te besteden in de collegevergaderingen aan zaken zoals risico’s, beleid, prioritering, benodigde middelen, jaarplannen, monitoring, voortgangs- en verantwoordingsrapportages en de eigen bewustwording. Het is verstandig regelmatig de CISO en FG uit te nodigen voor een toelichting.

betrokkenheid samenwerkende gemeenten

Overweeg om het pad in te slaan van gezamenlijk informatiebeveiligingsbeleid in de regio. Vraag het college om bestuurlijk de discussie aan te gaan om toch tot een gezamenlijk informatiebeveiligingsbeleid in de regio te komen. Voor de hand ligt om iRvN daarvoor te gebruiken: de organisatie staat al, en is bestuurlijk ingebed in de MGR. Een gezamenlijk beleid, waarin onder meer is vastgelegd welk gedeeld volwassenheidsniveau de gemeenten nastreven, is de beste manier om de informatiebeveiliging in onze gemeenten te vergroten en de risico’s te verminderen. Laat je als raad informeren over de mogelijke keuzes en implicaties daarvan. Bij het bepalen van je standpunt hierover kun je je als gemeenteraad extern laten adviseren. Overweeg dat in regionaal verband te doen.

Zorg voor heldere afspraken tussen de gemeenten en iRvN over informatiebeveiliging
a. Vraag het college om zo snel mogelijk te zorgen voor een heldere taakafbakening tussen gemeenten en iRvN inzake informatiebeveiliging. Dit voorkomt risico’s als gevolg van onduidelijkheid hierover, en stelt iRvN in staat de gemeenten beter en efficiënter te ondersteunen. Vraag het college over een jaar te rapporteren, liefst op basis van een extern onderzoek.
b. Vraag het college om in MGR-verband een meerjarenbeleidsplan voor de ICT-module op te stellen met daarin duidelijke doelstellingen. Vraag het college dit beleidsplan op hoofdlijnen uit te werken in een (meerjaren)uitvoeringsprogramma, waarin wordt ingegaan op de benodigde inspanningen door zowel iRvN als de gemeenten. Bijzondere aandacht verdient daarbij het opstellen van de tot nu toe ontbrekende (beleids)kaders voor informatiebeveiliging. Overweeg als raad de zienswijzen op dit meerjarenbeleidsplan gezamenlijk met de andere raden voor te bereiden.
c. Vraag het college om het DB van de MGR voortaan, op basis van het meerjarenbeleidsplan en -uitvoeringsprogramma, een jaarlijks uitvoeringsprogramma (collectieve DVO) vast te laten stellen. Vraag het college om het DB in de jaarstukken verantwoording af te laten leggen over de doelstellingen.

Besteed meer bestuurlijke aandacht aan informatiebeveiliging en privacybescherming in de regio
Versterk en verduidelijk de governance op regionaal niveau. Vraag het college om in MGR-verband voldoende gewicht te geven aan de rol van IRvN bij de informatiebeveiliging in de gemeenten (en bij iRvN zelf). Dat betekent periodieke aandacht in het AB en in de Agendacommissie van de MGR voor informatiebeveiliging, zowel als het gaat om beleidsplan en jaarplannen (Plan) en rapportages (Check). Ook (of: juist) als de
aansturing van iRvN bij de gemeentesecretarissen en/of hoofden bedrijfsvoering ligt, zorg dan voor noodzakelijke bestuurlijke besluitvorming in het AB. Vraag aan het college om de instelling van een aparte bestuurscommissie voor iRvN in het AB van de MGR te overwegen. Het voordeel van een bestuurscommissie ten opzichte van het werken in het portefeuillehoudersoverleg ICT is immers dat op deze manier de
besluitvorming bestuurlijk is ingebed in de MGR, transparanter is en meer garanties geeft voor betrokkenheid van de gemeenteraden. Vraag het college de raad te informeren over de gehanteerde afwegingen en besluitvorming.

Overweeg als raden een regionale aanpak
Versterk elkaar als raden en stel bijvoorbeeld een regionale raadswerkgroep in, of gebruik de agendacommissie van de MGR daarvoor. Zo’n gezelschap wordt dan de voorhoede van de gemeenteraden, en de leden ervan houden hun eigen raad goed op de hoogte. Organiseer in die werkgroep de onderlinge uitwisseling en kennisvermeerdering, en stem bijvoorbeeld de controle-activiteiten richting de colleges met elkaar af.

Kaderstellende rol gemeenteraad / PS

Stel als raad het beleid voor informatiebeveiliging en privacybescherming vast
Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming ter besluitvorming aan de raad voor te leggen. De raad moet die documenten dan ook agenderen, en de gelegenheid aangrijpen om zich te laten informeren.

Overweeg als raden een regionale aanpak
Versterk elkaar als raden en stel bijvoorbeeld een regionale raadswerkgroep in, of gebruik de agendacommissie van de MGR daarvoor. Zo’n gezelschap wordt dan de voorhoede van de gemeenteraden, en de leden ervan houden hun eigen raad goed op de hoogte. Organiseer in die werkgroep de onderlinge uitwisseling en kennisvermeerdering, en stem bijvoorbeeld de controle-activiteiten richting de colleges met elkaar af.

Verhelder het beleid voor informatiebeveiliging en privacybescherming

• Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming te versterken door het in ieder geval aan te vullen met een visie, ambitie en speerpunten. Dit vormt ook de basis voor de bewustwording in de organisatie. Vraag het college het beleidsplan ter besluitvorming aan de raad voor te leggen.
• Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Overweeg de accountant de opdracht te geven voor een IT-audit
De gemeenteraad is opdrachtgever van de accountant. Overweeg vanuit die rol de accountant een IT-audit te laten uitvoeren. Maak bij het formuleren van die opdracht gebruik van de ervaringen die de raad van Nijmegen hiermee de afgelopen vier jaar heeft opgedaan. Vraag de accountant om consistente rapportages, zodat je als raad van jaar tot jaar kunt zien of aanbevelingen al dan niet zijn opgevolgd.

informatie voor college / GS

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

informatie voor de raad / PS

Leg vast hoe je gaat toetsen en rapporteren
Vraag het college om in het beleid op te nemen hoe je als gemeente wilt gaan toetsen en rapporteren. Neem de PDCA-cyclus als uitgangspunt en expliciteer de momenten waarop getoetst en gerapporteerd wordt. Belangrijk bij het toetsen is dat periodiek pentesten worden uitgevoerd en periodiek extern getoetst wordt. Belangrijk bij het rapporteren is dat - na overleg met de raad - ook wordt aangegeven hoe en wanneer aan de raad gerapporteerd wordt. Maak in het college (en ook in de raad) in elk geval meer werk van de jaarlijkse verantwoordingsrapportages over informatieveiligheid (ENSIA) en privacybescherming (jaarverslag FG). Nodig de CISO en FG uit voor een toelichting en bespreking.

Laat je als raad informeren en ondersteunen
Neem als raad zelf het initiatief om je te laten informeren over het belang en de ‘basics’ van goede informatiebeveiliging en privacybescherming. Doel is om in de daaropvolgende jaren beter te weten waar je op moet letten en naar moet vragen. Nodig het college en ook de CISO en FG voor zo’n sessie uit. Ook een
externe deskundige die meedenkt over het soort vragen dat je moet stellen, kan nuttig zijn. Gezien de snelle ontwikkelingen in risico’s, dreigingen en techniek, is het verstandig dergelijke sessies met enige regelmaat te organiseren, al dan niet ter voorbereiding op de behandeling van voorstellen of verantwoordingsrapportages die door het college worden voorgelegd. Waarom hier niet een regionaal initiatief van maken?

Richt als raad je controlerende rol beter in
Vraag de griffie om in een beknopte nota vast te leggen:

• waarover je als raad wilt worden geïnformeerd: de stand van zaken rond doelen, risico’s en maatregelen, de resultaten van testen en toetsen, de toereikendheid van middelen, etc.
• op welke manier je als raad wilt worden geïnformeerd: enkel via de P&C-cyclus, of ook via periodieke informatiebrieven of voortgangsrapportages, via de auditcommissie (desnoods in beslotenheid), etc.
• dat je in ieder geval de jaarlijkse rapportages (ENSIA, privacyjaarverslag) wilt ontvangen en dat die moeten worden voorzien van een begeleidende toelichting. Voor beide rapportages geldt dat daarin inhoudelijk moet worden gerapporteerd op het voldoen aan de vereisten: voor informatiebeveiliging (ENSIA) zijn dat de BIO-normen en voor privacybescherming de AVG. Verwijs in de nota bijvoorbeeld naar het goede voorbeeld in Hilversum.
• hoe je als raad die informatie agendeert en behandelt, en hoe je de vinger aan de pols houdt. Overweeg om een externe toets of second opinion te vragen, of een adviseur in te schakelen.

Overweeg de accountant de opdracht te geven voor een IT-audit
De gemeenteraad is opdrachtgever van de accountant. Overweeg vanuit die rol de accountant een IT-audit te laten uitvoeren. Maak bij het formuleren van die opdracht gebruik van de ervaringen die de raad van Nijmegen hiermee de afgelopen vier jaar heeft opgedaan. Vraag de accountant om consistente rapportages, zodat je als raad van jaar tot jaar kunt zien of aanbevelingen al dan niet zijn opgevolgd.

organisatie, werkprocessen en uitvoering

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

Ga systematisch DPIA’s uitvoeren
Vraag het college om systematisch invulling te gaan geven aan DPIA’s. Pak het planmatig aan: bepaal wat de meest noodzakelijke DPIA’s zijn en neem deze op in het jaarplan.

Zorg intern voor onafhankelijk ondersteuning en toezicht
Vraag het college om de FG als interne toezichthouder duidelijk in de 3e lijn te positioneren en indien nodig capaciteit toe te voegen aan de 2e lijn (in de vorm van een Privacy Officer). Vraag het college om ook de CISO bij voorkeur in de 3e lijn te positioneren en indien nodig capaciteit (in de vorm van een Security Officer) toe te voegen aan de 2e lijn.

calamiteiten en risicobeheersing

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Voer zo snel mogelijk een organisatiebrede risicoanalyse uit
Vraag het college om zo snel mogelijk een organisatiebrede risicoanalyse te (laten) uitvoeren voor zowel informatiebeveiliging als privacybescherming. Kom op basis hiervan tot bestuurlijke besluitvorming over risico’s die (niet) acceptabel worden gevonden en vraag het college deze te gebruiken voor het op te stellen meerjaren-uitvoeringsprogramma.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

bewustwording, kennis en kunde in de organisatie

Zet volop en systematisch in op bewustwording
Vraag het college om door te gaan op de weg van het vergroten van de bewustwording van medewerkers en dit meer systematisch aan te pakken, door ook hierbij te werken op basis van een risicoanalyse en volgens de
PDCA-cyclus. Vraag het college bewustwording vanaf 2023 op te nemen als onderdeel van de jaarplannen
voor informatiebeveiliging en privacybescherming, en daarbij ook aandacht te hebben voor bewustwordingsmaatregelen voor specifieke groepen medewerkers.

beveiliging en autorisatie

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

Ga systematisch DPIA’s uitvoeren
Vraag het college om systematisch invulling te gaan geven aan DPIA’s. Pak het planmatig aan: bepaal wat de meest noodzakelijke DPIA’s zijn en neem deze op in het jaarplan.

Zorg intern voor onafhankelijk ondersteuning en toezicht
Vraag het college om de FG als interne toezichthouder duidelijk in de 3e lijn te positioneren en indien nodig capaciteit toe te voegen aan de 2e lijn (in de vorm van een Privacy Officer). Vraag het college om ook de CISO bij voorkeur in de 3e lijn te positioneren en indien nodig capaciteit (in de vorm van een Security Officer) toe te voegen aan de 2e lijn.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

kwetsbaarheid ICT en Informatiesystemen

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Voer zo snel mogelijk een organisatiebrede risicoanalyse uit
Vraag het college om zo snel mogelijk een organisatiebrede risicoanalyse te (laten) uitvoeren voor zowel informatiebeveiliging als privacybescherming. Kom op basis hiervan tot bestuurlijke besluitvorming over risico’s die (niet) acceptabel worden gevonden en vraag het college deze te gebruiken voor het op te stellen meerjaren-uitvoeringsprogramma.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Aan de gemeenteraden:
De aanbeveling van de Rekenkamer BEL uit 2015 over de uitvoering van een GAP- en risicoanalyse met betrekking tot digitale veiligheid is nog steeds actueel. Vraag het college om de CISO de GAP- en risicoanalyse te laten uitvoeren en laat u informeren over de uitkomst.

informatie voor college / GS

-

informatie voor de raad / PS

Aan de gemeenteraden:

• De aanbeveling van de Rekenkamer BEL uit 2015 over de uitvoering van een GAP- en risicoanalyse met betrekking tot digitale veiligheid is nog steeds actueel. Vraag het college om de CISO de GAP- en risicoanalyse te laten uitvoeren en laat u informeren over de uitkomst.

• Vraag het college om managementinformatie over de risico’s rond privacy en informatiebeveiliging.

organisatie, werkprocessen en uitvoering

Aan de colleges van B en W:
Onderzoek de werking en toepassing van het privacyprotocol in de praktijk. Breng in kaart waar de gemeentelijke uitvoeringsorganisatie knelpunten ervaart.

calamiteiten en risicobeheersing

Aan de colleges van B en W:
Breid het beveiligd mailen uit tot alle relevante ketenpartners in het sociaal domein. Evalueer de toepassing van het beveiligd mailen en betrek daarbij zowel de ervaring van de gemeenten als van de ketenpartners.

bewustwording, kennis en kunde in de organisatie

Aan de colleges van B en W:
Stimuleer het ‘veilig’ melden van datalekken. Zorg voor registratie van voorvallen en bijnavoorvallen met betrekking tot privacy, met uitsluitend als doel om daarvan te leren en te verbeteren. Medewerkers moeten te allen tijde incidenten kunnen melden zonder risico op persoonlijke consequenties.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Aan de colleges van B en W:

• Breid het beveiligd mailen uit tot alle relevante ketenpartners in het sociaal domein. Evalueer de toepassing van het beveiligd mailen en betrek daarbij zowel de ervaring van de gemeenten als van de ketenpartners.

• Onderzoek in hoeverre er verschillen zijn tussen de privacyreglementen van ketenpartners en het privacyprotocol van de BEL-gemeenten. Breng in kaart waar de ketenpartners knelpunten ervaren. Leg vast dat ook voor ketenpartners het privacyprotocol van de BELgemeenten als richtlijn geldt.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

Verzoek het college om voldoende budget voor een goede inbedding en uitvoering van een gemeentebreed strategisch informatieveiligheidsbeleid ter beschikking te stellen.

Sturende rol college / GS

Verzoek het college van B&W om in 2016-begin 2017 te komen tot de uitvoering van een strategisch gemeentebrede informatiebeveiligingsaanpak; om in deze zo spoedig mogelijk te gaan voldoen aan alle BIG normen en aan alle privacynormen/regels, zoals die landelijk zijn vastgesteld. En om in 2017 zo goed mogelijk voorbereid te zijn op de normen die in de nieuwe Europese Algemene Verordening gegevensbescherming zijn opgenomen (waar gemeenten per 1 mei 2018 aan moeten voldoen).
Verzoek in deze om aan alle digitale en technische beveiligingsnormen te gaan voldoen, maar ook om informatiebeveiliging en privacybescherming een integraal onderdeel van ieder beleidsproces en beleidsterrein te maken en alle gegevens te classificeren op beschermingsniveau, opdat alle gegevens waar de gemeente Breda verantwoordelijk voor is, goed beveiligd zijn. Verzoek het college om voldoende budget voor een goede inbedding en uitvoering van een gemeentebreed strategisch informatieveiligheidsbeleid ter beschikking te stellen. En verzoek het college periodiek te toetsen hoe het staat met de voortgang van de verschillende aspecten van het integrale informatiebeveiligingsbeleid.

Verzoek het College om de privacyprotocollen en de werkprocessen in het sociaal domein verder uit te schrijven en op basis van een op te stellen Privacyhandvest periodiek te toetsen hoe het staat met de privacybescherming ten aanzien van gegevens van burgers, waar de gemeente de beschikking c.q. de verantwoordelijkheid over heeft.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Verzoek het college van B&W om in 2016-begin 2017 te komen tot de uitvoering van een strategisch gemeentebrede informatiebeveiligingsaanpak; om in deze zo spoedig mogelijk te gaan voldoen aan alle BIG normen en aan alle privacynormen/regels, zoals die landelijk zijn vastgesteld. En om in 2017 zo goed mogelijk voorbereid te zijn op de normen die in de nieuwe Europese Algemene Verordening gegevensbescherming zijn opgenomen (waar gemeenten per 1 mei 2018 aan moeten voldoen).
Verzoek in deze om aan alle digitale en technische beveiligingsnormen te gaan voldoen, maar ook om informatiebeveiliging en privacybescherming een integraal onderdeel van ieder beleidsproces en beleidsterrein te maken en alle gegevens te classificeren op beschermingsniveau, opdat alle gegevens waar de gemeente Breda verantwoordelijk voor is, goed beveiligd zijn. Verzoek het college om voldoende budget voor een goede inbedding en uitvoering van een gemeentebreed strategisch informatieveiligheidsbeleid ter beschikking te stellen. En verzoek het college periodiek te toetsen hoe het staat met de voortgang van de verschillende aspecten van het integrale informatiebeveiligingsbeleid.

Verzoek het College om de privacyprotocollen en de werkprocessen in het sociaal domein verder uit te schrijven en op basis van een op te stellen Privacyhandvest periodiek te toetsen hoe het staat met de privacybescherming ten aanzien van gegevens van burgers, waar de gemeente de beschikking c.q. de verantwoordelijkheid over heeft.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Verzoek het meldsysteem naar alle medewerkers toe te verbeteren met betrekking tot (risico’s op) incidenten, virussen, phishing mails e.d en verzoek een meldsysteem ten aanzien van datalekken op te zetten en te zorgen dat alle medewerkers de benodigde kennis hebben welke datalekken gemeld moeten worden, aan wie en op welke manier.

informatie voor college / GS

Verzoek het college van B&W om in 2016-begin 2017 te komen tot de uitvoering van een strategisch gemeentebrede informatiebeveiligingsaanpak; om in deze zo spoedig mogelijk te gaan voldoen aan alle BIG normen en aan alle privacynormen/regels, zoals die landelijk zijn vastgesteld. En om in 2017 zo goed mogelijk voorbereid te zijn op de normen die in de nieuwe Europese Algemene Verordening gegevensbescherming zijn opgenomen (waar gemeenten per 1 mei 2018 aan moeten voldoen).
Verzoek in deze om aan alle digitale en technische beveiligingsnormen te gaan voldoen, maar ook om informatiebeveiliging en privacybescherming een integraal onderdeel van ieder beleidsproces en beleidsterrein te maken en alle gegevens te classificeren op beschermingsniveau, opdat alle gegevens waar de gemeente Breda verantwoordelijk voor is, goed beveiligd zijn. Verzoek het college om voldoende budget voor een goede inbedding en uitvoering van een gemeentebreed strategisch informatieveiligheidsbeleid ter beschikking te stellen. En verzoek het college periodiek te toetsen hoe het staat met de voortgang van de verschillende aspecten van het integrale informatiebeveiligingsbeleid.

informatie voor de raad / PS

Stel als raad vast of u voldoende informatie ontvangt over de verschillende aspecten van het informatiebeveiligingsbeleid, welke informatie u eventueel verder nodig acht over informatiebeveiliging en privacybescherming , op welke strategische punten en op welke momenten de raad een verantwoordingsverslag wenst te hebben/te bespreken en welke documenten de raad zelf wenst vast te stellen (b.v. periodieke rapportage, Jaarplan Informatieveiligheid, privacy-beleidsplan). Overweeg in deze om via een aparte rapportage over informatieveiligheid en een aparte rapportage over privacybescherming geïnformeerd te worden om aan beide voldoende aandacht te kunnen geven. Spreek als raad ook af welke kaders en eventuele leertrajecten de gemeenteraad zelf nodig heeft om veilig en bewust om te gaan met informatie(systemen) en welke informatie de raad hiertoe nodig heeft.

organisatie, werkprocessen en uitvoering

Verzoek het college van B&W om in 2016-begin 2017 te komen tot de uitvoering van een strategisch gemeentebrede informatiebeveiligingsaanpak; om in deze zo spoedig mogelijk te gaan voldoen aan alle BIG normen en aan alle privacynormen/regels, zoals die landelijk zijn vastgesteld. En om in 2017 zo goed mogelijk voorbereid te zijn op de normen die in de nieuwe Europese Algemene Verordening gegevensbescherming zijn opgenomen (waar gemeenten per 1 mei 2018 aan moeten voldoen).
Verzoek in deze om aan alle digitale en technische beveiligingsnormen te gaan voldoen, maar ook om informatiebeveiliging en privacybescherming een integraal onderdeel van ieder beleidsproces en beleidsterrein te maken en alle gegevens te classificeren op beschermingsniveau, opdat alle gegevens waar de gemeente Breda verantwoordelijk voor is, goed beveiligd zijn. Verzoek het college om voldoende budget voor een goede inbedding en uitvoering van een gemeentebreed strategisch informatieveiligheidsbeleid ter beschikking te stellen. En verzoek het college periodiek te toetsen hoe het staat met de voortgang van de verschillende aspecten van het integrale informatiebeveiligingsbeleid.

Verzoek het College van B&W om het informatiebeveiligingsbeleid en de benodigde acties goed in te bedden in de bredere organisatie en beter te gaan verankeren op de diverse afdelingen, om de versnippering in verantwoordelijkheden tegen te gaan en een Chief Information Security Officer, zoals bedoeld in de BIG, in de organisatie te benoemen om meer centrale sturing te geven aan de informatiebeveiliging bij de afdelingen en gemeentebreed.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Verzoek het College van B&W om zo snel mogelijk bewustwordings- en leertrajecten omtrent informatiebeveiliging en privacybescherming naar alle gemeentelijke medewerkers in te zetten, zodat de regels en benodigde acties bij iedereen bekend zijn en iedereen weet op welke manier zij veilig om kunnen gaan met informatie, i.c. met vertrouwelijke en privacygevoelige informatie, welke risico’s bestaan en wanneer eventueel een datalek of beveiligingsrisico gemeld moet worden. Verzoek in deze om een helder gedragsprotocol met gedragsrichtlijnen op te stellen en een zogeheten ‘nettiquette’, zodat de regels, richtlijnen en procedures en risico’s met betrekking tot informatieveiligheid voor alle medewerkers, raadsleden en externe organisaties duidelijk zijn en medewerkers e.a. weten op welke punten het gedrag getoetst wordt.

Verzoek het meldsysteem naar alle medewerkers toe te verbeteren met betrekking tot (risico’s op) incidenten, virussen, phishing mails e.d en verzoek een meldsysteem ten aanzien van datalekken op te zetten en te zorgen dat alle medewerkers de benodigde kennis hebben welke datalekken gemeld moeten worden, aan wie en op welke manier.

Verzoek het College om het informatiebewustzijn en het gedrag regelmatig te toetsen, systematisch te werken aan het leren in de organisatie en de kennis en alertheid van medewerkers voortdurend up-to-date te houden.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Verzoek in deze om aan alle digitale en technische beveiligingsnormen te gaan voldoen, maar ook om informatiebeveiliging en privacybescherming een integraal onderdeel van ieder beleidsproces en beleidsterrein te maken en alle gegevens te classificeren op beschermingsniveau, opdat alle gegevens waar de gemeente Breda verantwoordelijk voor is, goed beveiligd zijn.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Verzoek het College om alle contracten en overeenkomsten met leveranciers, partners, externen en andere ingehuurde bedrijven/organisaties te toetsen of deze voldoende clausules en afspraken omtrent informatieveiligheid en privacy bevatten en verzoek het College om te toetsen in hoeverre die afspraken en clausules nageleefd worden door de organisaties en bedrijven. Verzoek het College in kaart te brengen waar verbeteringen nodig zijn en de CISO een coördinerende en controlerende taak te geven.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

De raadsleden zijn niet allemaal op de hoogte van de stand van zaken van informatiebeveiliging. Ook voor de raadsleden is het van belang dat zij bewuster worden van hun bijdrage aan een veilige dienstverlening van de gemeente ten aanzien van privacy en informatie. Ook zij zullen dus zorgvuldig met bijvoorbeeld wachtwoorden en het delen van informatie moeten omgaan.

De rekenkamer is van mening dat dit onderzoek aanleiding geeft om ook als raad meer betrokken te zijn op het thema, bijvoorbeeld door vragen te stellen, door periodiek in gesprek te gaan met de uitvoerend medewerkers over dit thema of door eisen te stellen aan de informatievoorziening op dit vlak.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

De controles die op dit moment zijn ingericht op de informatiebeveiliging, zijn zelfaudits. We raden aan om periodiek ook een externe partij mee te laten kijken naar de wijze waarop de informatiebeveiliging geregeld is.

informatie voor college / GS

-

informatie voor de raad / PS

De informatieverstrekking lijkt op orde, maar dat wordt door de raadsleden niet zo ervaren. De raad stelt weinig vragen over informatieveiligheid.
De rekenkamer is van mening dat dit onderzoek aanleiding geeft om ook als raad meer betrokken te zijn op het thema, bijvoorbeeld door vragen te stellen, door periodiek in gesprek te gaan met de uitvoerend medewerkers over dit thema of door eisen te stellen aan de informatievoorziening op dit vlak. De raad kan een meer gedetailleerd beeld van de acties vanuit het college vragen in een uitgebreide raadsinformatiebrief. Aandacht van de raad kan gewekt worden door een bijeenkomst specifiek over dit onderwerp. Omdat het onderwerp niet leeft, is het goed om een inspirerend spreker uit te nodigen. Dit kan raadsleden inspireren om hun rol te pakken op dit onderwerp.

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

Vergroot de onderlinge bekendheid en verminder de anonimiteit van medewerkers door iedereen op intranet zijn of haar foto te laten plaatsen en door in het digitale profiel in Outlook een foto te laten hangen.

Laat een bezoekersregister bijhouden en laat bezoekers een bezoekerspas dragen.

De raadsleden zijn niet allemaal op de hoogte van de stand van zaken van informatiebeveiliging. Ook voor de raadsleden is het van belang dat zij bewuster worden van hun bijdrage aan een veilige dienstverlening van de gemeente ten aanzien van privacy en informatie. Ook zij zullen dus zorgvuldig met bijvoorbeeld wachtwoorden en het delen van informatie moeten omgaan.

bewustwording, kennis en kunde in de organisatie

Bewustwording van informatieveiligheid is een blijvend belangrijk aandachtspunt. Er wordt al veel aandacht aanbesteed, maar we signaleren nog een aantal kwetsbaarheden. De e-learning modules leveren zeker een bijdrage aan de bewustwording. Gezien de bevindingen zal een combinatie
gevonden moeten worden met andere bewustwording versterkende maatregelen gecombineerd met technische maatregelen. Dit moet natuurlijk nog worden uitgewerkt op basis van deze bevindingen, maar te denken valt aan een communicatietraject op intranet, het nog meer uitdragen
door de managers en agenderen op werkoverleggen, medewerkers (en raadsleden) persoonlijk aanspreken op verkeerd handelen en dergelijke

beveiliging en autorisatie

Ter verbetering van de informatieveiligheid kan technisch gedacht worden aan multifactorauthenticatie (zo wel intern als extern), nog sterkere wachtwoorden afdwingen, verplicht stellen van het gebruik van een wachtwoordmanager, verbeterde toegangscontrole en fysieke beveiligingsmaatregelen gemeentehuizen.

Vergroot de onderlinge bekendheid en verminder de anonimiteit van medewerkers door iedereen op intranet zijn of haar foto te laten plaatsen en door in het digitale profiel in Outlook een foto te laten hangen.
Laat een bezoekersregister bijhouden en laat bezoekers een bezoekerspas dragen.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

Aanbeveling aan het college:
Zorg voor voldoende middelen en capaciteit om IB ook in de toekomst te kunnen blijven realiseren.

Sturende rol college / GS

Aanbeveling aan het college:

• Scherp het IB-beleid en eventuele uitvoeringsrichtlijnen aan om ongewenste interpretatie van het IB-beleid te voorkomen en om ongewenste handelingen met gevoelige (persoons)gegevens tegen te gaan, bijvoorbeeld voor de volgende onderwerpen: het vanuit huis of elders extern werken in de basisregistratie; het “open, tenzij”principe voor de toegang tot de directory-structuur; het vrijelijk kunnen gebruiken van Universal Serial Bus (USB) poorten; het oneigenlijke gebruik van het Burger Service Nummer (BSN); het meesturen van gevoelige informatie in bijlagen bij e-mail; de fysieke toegang tot ruimtes met vertrouwelijke informatie; het samenwerken aan (beleids)documenten buiten de gemeentelijke IT-infrastructuur om.

• Formuleer richtsnoeren voor de medewerkers inzake de omgang met en het aanspreken van onbekenden op de werkvloer.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Aanbeveling aan de raad:
Zie erop toe dat het college conform de wettelijke voorschriften en toepasselijke normen invulling geeft aan het IB-beleid.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Aanbeveling aan het college:

• Plan het regelmatig plaatsvinden van externe en interne pentesten.

• Train medewerkers in het herkennen van phishing e-mails en andere pogingen tot het verkrijgen van oneigenlijke toegang tot de werkvloer en de systemen van de gemeente. Onderzoek regelmatig de uitvoering van IB in de praktijk, bijvoorbeeld door phishing mails acties en door mystery guests in te zetten.

informatie voor college / GS

-

informatie voor de raad / PS

Aanbeveling aan de raad:
Spreek met het college af dat zij de raad actief informeert als zich bestuurlijk risicovolle gebeurtenissen of calamiteiten op IB-gebied voordoen.

organisatie, werkprocessen en uitvoering

Aanbeveling aan het college:

• Beleg zo spoedig als mogelijk de functies FG en CISO bij verschillende personen.
• Formuleer richtsnoeren hoe de FG moet handelen in geval van een belangenconflict gedurende de periode dat de FG ook de functie van CISO vervult.

calamiteiten en risicobeheersing

Aanbeveling aan de raad:

• Spreek met het college af dat zij de raad actief informeert als zich bestuurlijk risicovolle gebeurtenissen of calamiteiten op IB-gebied voordoen.
• Laat u gericht voorlichten inzake de risico’s van phishing activiteiten. Zorg dat u deze activiteiten herkent en weet wat u moet doen.

Aanbeveling aan het college:

• Scherp het IB-beleid en eventuele uitvoeringsrichtlijnen aan om ongewenste interpretatie van het IB-beleid te voorkomen en om ongewenste handelingen met gevoelige (persoons)gegevens tegen te gaan, bijvoorbeeld voor de volgende onderwerpen: het vanuit huis of elders extern werken in de basisregistratie; het “open, tenzij”principe voor de toegang tot de directory-structuur; het vrijelijk kunnen gebruiken van Universal Serial Bus (USB) poorten; het oneigenlijke gebruik van het Burger Service Nummer (BSN); het meesturen van gevoelige informatie in bijlagen bij e-mail; de fysieke toegang tot ruimtes met vertrouwelijke informatie; het samenwerken aan (beleids)documenten buiten de gemeentelijke IT-infrastructuur om.

bewustwording, kennis en kunde in de organisatie

Aanbeveling aan het college:

• Draag duidelijk uit dat informatiebeveiliging een gezamenlijke verantwoordelijkheid is, van de gehele organisatie. Draag duidelijk uit dat informatiebeveiliging tevens een individuele verantwoordelijkheid van elke leidinggevende en medewerker is in de uitoefening van zijn of haar functie.

• Zorg dat leidinggevenden medewerkers consequent en consistent begeleiden bij en bewustmaken op het gebied van informatiebeveiliging.

• Zorg dat er zo min mogelijk interpretatieverschil is tussen het, door het college vastgestelde, IB-beleid en de uitvoering daarvan. Als interpretatie van het IB-beleid toch keuzevrijheid laat ten aanzien van de uitvoering van het IB-beleid, evalueer en zo nodig corrigeer keuzes als deze het IB-beleid niet blijken te ondersteunen.

• Train medewerkers in het herkennen van phishing e-mails en andere pogingen tot het verkrijgen van oneigenlijke toegang tot de werkvloer en de systemen van de gemeente. Onderzoek regelmatig de uitvoering van IB in de praktijk, bijvoorbeeld door phishing mails acties en door mystery guests in te zetten.

beveiliging en autorisatie

Aanbeveling aan het college:

• Creëer een eenduidig Identity and Access Managementsysteem.

• Maak een eenduidig en herkenbaar toegangssysteem voor gasten op de werkvloer.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Aanbeveling aan het college:
Formuleer richtsnoeren met betrekking tot de beveiliging van gevoelige (persoons)gegevens die opgevraagd, verwerkt (en in sommige gevallen gedeeld) worden door de 100%-deelnemingen. Formuleer hierin hoe toezicht en controle worden uitgeoefend.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

Aansporing aan de colleges: zet voldoende middelen en formatie in, teneinde de opdracht en uitdagingen die de drie gemeenten hebben op informatiebeveiligingsbeleid en AVG te adresseren.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Aanbeveling aan de colleges:
koppel de informatie uit het ISMS aan de leer- of PDCA-cyclus.

zet een incidentenregistratiesysteem en een Computer emergency response team (CERT) op, bij voorkeur gezamenlijk voor de drie gemeenten bij het GemCC.

Checks - Audits - Evaluatie - Risicoanalyse

Aanbeveling voor de colleges:
maak meer werk van aandacht voor het risicobewustzijn op informatiebeveiliging bij de medewerkers. Test vaker de awareness en voer pentesten uit om te checken hoe inbraakgevoelig de digitale en fysieke toegang is en of medewerkers zich aan de veiligheidsregels houden.

informatie voor college / GS

-

informatie voor de raad / PS

Aanbeveling voor de raden:
formuleer op welke wijze en met welke regelmaat u geïnformeerd wil worden om er zeker van te zijn dat uw gemeente in control is op informatiebeveiliging en gegevensbescherming.

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

Aanbeveling aan de colleges:
update de risicoanalyses en adresseer het aardbevingsrisico expliciet in het kader van informatiebeveiligingsbeleid.

Breng het continuïteitsplan van het GemCC uptodate, zodanig dat het ook als continuïteitsplan voor de drie gemeenten kan gelden in aanloop tot de herindeling.

bewustwording, kennis en kunde in de organisatie

Aansporing aan de colleges:
Zorg dat de kennis, ook de extern ingehuurde kennis, zoveel als mogelijk geborgd wordt in de organisatie. In aanloop tot de herindeling bij voorkeur gezamenlijk via het GemCC.

maak meer werk van aandacht voor het risicobewustzijn op informatiebeveiliging bij de medewerkers. Test vaker de awareness en voer pentesten uit om te checken hoe inbraakgevoelig de digitale en fysieke toegang is en of medewerkers zich aan de veiligheidsregels houden.

beveiliging en autorisatie

Aanbeveling voor de colleges:
zorg voor een periodieke check op de autorisaties van medewerkers door de applicatiebeheerders, bij voorkeur eens per kwartaal.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

Aanbeveling voor de colleges:
zet stap 3 en 4 van de aansluiting op de IBD, of zorg dat GemCC deze aansluiting realiseert.

inschakeling externen, (keten)partners én controle

Aanbeveling voor de colleges:
sluit met alle partijen die ten behoeve van de gemeenten gegevens van burgers verwerken verwerkersovereenkomsten af. Laat deze door de CISO checken op risico’s op informatiebeveiliging en door de FG op privacyaspecten.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

College: geef prioriteit aan het afronden van het privacybeleid. Vanuit deze kaders kan de organisatie
vervolgens aan het werk.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

De gemeenteraad van Dronten stelt geen kaders vast ten aanzien van privacy en informatieveiligheid.

Controlerende rol gemeenteraad / PS

De gemeenteraad van Dronten stelt geen kaders vast ten aanzien van privacy en informatieveiligheid. Dat neemt niet weg dat de raad ook op dit terrein een controlerende rol te vervullen heeft, waarmee urgentie en eigenaarschap meegegeven kan worden aan de organisatie. Neem de kosten voor het waarborgen van privacy én informatieveiligheid mee in de P&C-cyclus, zodat een eventuele toename in kosten inzichtelijk wordt.

Laat privacy en informatieveiligheid ook een onderwerp van evaluatie/monitoring zijn en zorg dat het met enige regelmaat een discussiepunt op de agenda is. Evalueer over enige tijd (2-3 jaar) opnieuw de stand van zaken rondom privacy en informatieveiligheid en de ontwikkeling in de gemaakte kosten.

werkprocessen monitoren, bewaken en verbeteren

Aanbeveling aan de raad:
Laat privacy en informatieveiligheid ook een onderwerp van evaluatie/monitoring zijn.

Checks - Audits - Evaluatie - Risicoanalyse

Aanbeveling aan de raad:
Laat privacy en informatieveiligheid ook een onderwerp van evaluatie/monitoring zijn.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Aanbeveling aan het college:
Het borgen van privacy en informatieveiligheid is afhankelijk van de aandacht voor het thema in de dagelijkse praktijk én van de aandacht die hier vanuit de gebruikelijke sturingsstructuren voor is. Geef privacy en informatieveiligheid tijdelijk prioriteit, zodat iedereen zich verantwoordelijk gaat voelen voor de thema's. Concreet kan daarbij aan het volgende worden gedacht:
Medewerkers: Betrek medewerkers bij het opstellen van bijvoorbeeld werkafspraken rondom privacy en zorg dat voor iedereen duidelijk is waar zij met hun vragen over privacy en informatieveiligheid terecht kunnen, zodat signalen uit de praktijk niet verloren gaan. Hetzelfde geldt voor externe partners: ook zij hebben relevante informatie over privacy in de praktijk.
MT: inventariseer per afdeling of team welke knelpunten er worden ervaren ten aanzien van privacy en informatieveiligheid, en vergelijk dit met elkaar. Mogelijk zijn er aandachtspunten die in gezamenlijkheid opgepakt kunnen worden. Beoordeel tevens of de organisatie van personen met een verantwoordelijkheid op het gebied van privacy naar tevredenheid is. Er is voor 0,2 fte een FG aangesteld, maar de taken van de FG vragen om meer tijd. Breng deze twee aspecten met elkaar in lijn.

Door privacy en informatieveiligheid regelmatig te behandelen ontstaat grip op deze thema's. Vanuit deze positie kan een leercyclus ingericht worden. Informatie over bijvoorbeeld deelnemersaantallen en slagingspercentages van e-learning modules kunnen gebruikt worden om aandachtspunten te inventariseren, en om een keuze te maken over de benodigde acties. De deelnemersaantallen van dergelijke e-learning modules zijn nu (te) laag: maak deze modules verplicht, zodat medewerkers zich ontwikkelen op dit thema en signalen van alle afdelingen gehoord worden. Vanuit deze positie kunt u keuzes maken over de inrichting van een privacybewuste gemeente Dronten.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Betrek medewerkers bij het opstellen van bijvoorbeeld werkafspraken rondom privacy en zorg dat voor iedereen duidelijk is waar zij met hun vragen over privacy en informatieveiligheid terecht kunnen, zodat signalen uit de praktijk niet verloren gaan. Hetzelfde geldt voor externe partners: ook zij hebben relevante informatie over privacy in de praktijk.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het is raadzaam om de vaststelling van een beleid door het College en de directieraad in het document zelf op te nemen. Zo is voor de lezer duidelijk wat de status van het document is.

Het is raadzaam om dit periodiek (jaarlijks) te evalueren en waar nodig te actualiseren. Zorg dat het nieuwe beleid verwijst naar het huidige normenkader (BIO).

Een IB-beleid (en elk ander beleid) werkt het best als het voor en door de organisatie zelf wordt opgesteld en aansluit bij de actuele praktijk, cultuur en uitgangspunten van de organisatie. Aangepast beleid mag nog meer aansluiten op het normenkader van de BIO.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Stel een calamiteitenplan op waarin duidelijke processen, rollen en beslissingsbevoegdheden van actoren beschreven staan. Plan een periodieke oefening (inclusief evaluatie) om te waarborgen dat het plan in praktijk functioneert.

Periodiek testen van IT omgeving, waarbij onafhankelijkheid van testen geborgd is door een combinatie van intern en extern testen.

Checks - Audits - Evaluatie - Risicoanalyse

Periodiek (minimaal jaarlijks) dient er een controle uitgevoerd te worden op de naleving van eisen m.b.t. informatiebeveiliging.

Stel een calamiteitenplan op waarin duidelijke processen, rollen en beslissingsbevoegdheden van actoren beschreven staan. Plan een periodieke oefening (inclusief evaluatie) om te waarborgen dat het plan in praktijk functioneert.

Periodiek testen van IT omgeving, waarbij onafhankelijkheid van testen geborgd is door een combinatie van intern en extern testen.

informatie voor college / GS

Vanuit de organisatie investeren op het bestuur meer te betrekken, door bijvoorbeeld rapportages en informatievoorziening.

informatie voor de raad / PS

Vanuit de organisatie investeren op het bestuur meer te betrekken, door bijvoorbeeld rapportages en informatievoorziening.

organisatie, werkprocessen en uitvoering

Een IB-beleid (en elk ander beleid) werkt het best als het voor en door de organisatie zelf wordt opgesteld en aansluit bij de actuele praktijk, cultuur en uitgangspunten van de organisatie. Aangepast beleid mag nog meer aansluiten op het normenkader van de BIO.

Stel een calamiteitenplan op waarin duidelijke processen, rollen en beslissingsbevoegdheden van actoren beschreven staan. Plan een periodieke oefening (inclusief evaluatie) om te waarborgen dat het plan in praktijk functioneert.

Taken en verantwoordelijkheden (m.b.t. informatiebeveiliging en privacy) ook beleggen en mandateren.

Ga verder met het creëren van een duidelijke scheiding in adviserende en onafhankelijk toetsende en toezichthoudende functies. “Tone at the top” en commitment vanuit de directie is hierbij van groot belang.

Leg mandaat en bevoegdheden van functies formeel vast. Zorg dat implementatie van maatregelen via de lijn worden geaccordeerd.

Heldere verdeling en afbakening van taken en verantwoordelijkheden op strategisch, tactisch en operationeel niveau en een formele vastlegging hiervan.

Functies DISO en PO centraal in organisatie beleggen i.p.v. per sector.

RACI opstellen en implementeren voor alle applicaties en processen.

calamiteiten en risicobeheersing

Stel een calamiteitenplan op waarin duidelijke processen, rollen en beslissingsbevoegdheden van actoren beschreven staan. Plan een periodieke oefening (inclusief evaluatie) om te waarborgen dat het plan in praktijk functioneert.

Inhaalslag blijven maken met DPIA’s en monitoren van reeds gestarte verwerkingen. Tijdig opstellen van DPIA’s in processen formaliseren.

Onderzoek of een efficiëntere werkwijze voor bijvoorbeeld het uitwerken van DPIA’s mogelijk is.

Implementatie van risicomanagement en uitvoeren van dreigingsanalyses en deze periodiek actualiseren.

Implementatie van risicomanagement en uitvoeren van dreigingsanalyses en deze periodiek actualiseren.

Een ISMS dient aan te sluiten op het beleid en de strategie van de organisatie en dient geïntegreerd te worden in de bestaande processen. Het doel van een ISMS is (vertrouwelijke) informatie beter te beveiligen.

bewustwording, kennis en kunde in de organisatie

Breng het kennistekort in kaart en leid medewerkers op tot het niveau waarop zij voldoende vakkennis bezitten. Indien gewenst overweeg inhuur van expertise.

Advies van externe adviseurs blijven toetsen aan de interne expertise en eigen praktijk en de interne organisatie nauwer betrekken bij de oplossingen.

Verhoog het bewustzijn onder medewerkers over wat het beveiliging beleid voorschrijft op het gebied van wachtwoorden. Schenk tevens aandacht aan het hoe en waarom.

Leer medewerkers hoe zij phishing emails kunnen herkennen. Zorg dat medewerkers weten hoe te handelen in geval van twijfel.

beveiliging en autorisatie

Zorg ervoor dat het systeem de eisen waar een wachtwoord aan dient te voldoen technisch afdwingt. Neem medewerkers mee in het hoe en waarom; waarom is een complex wachtwoord belangrijk en hoe is deze het beste vorm te geven?

kwetsbaarheid ICT en Informatiesystemen

Bij elke aanschaf moet worden voldaan aan de eisen m.b.t. informatiebeveiliging. De eisen dienen voor het sectorhoofd/de inkoper helder en vindbaar te zijn.

Breid document bedrijfsapplicaties per domein uit met een concreet business recovery plan voor de bedrijf kritische applicaties.

Het is in eerste instantie zaak om alle hard- en software op het gewenste patch niveau te krijgen.
Daarnaast dient er een degelijk proces ingericht te worden om op ambitie niveau n -1 te blijven

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Verzoek GS meer aandacht te besteden aan de borging van het beleid zodat het beleid actueel en de uitvoering in lijn met beleid blijft.

De beheersing van de informatieveiligheid bij de provincie voldoet nog niet. Zo is het beleid niet vastgesteld door de directie, was de monitoring van maatregelen de afgelopen jaren beperkt en is er niet structureel verantwoording afgelegd aan directie en bestuur.

budget en personele inzet

-

Sturende rol college / GS

Verzoek GS verantwoording af te leggen over informatieveiligheid en dat ook binnen de organisatie beter te borgen.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Verzoek GS de controle op informatieveiligheid te versterken door:

• te zorgen voor een goede monitoring waardoor zicht ontstaat op de daadwerkelijke uitvoering van beveiligingsmaatregelen.
• regelmatig testen uit te laten voeren om te bezien of de beveiligingsmaatregelen in de praktijk voldoende bescherming bieden.

Checks - Audits - Evaluatie - Risicoanalyse

Verzoek GS de controle op informatieveiligheid te versterken door:

• te zorgen voor een goede monitoring waardoor zicht ontstaat op de daadwerkelijke uitvoering van beveiligingsmaatregelen.
• regelmatig testen uit te laten voeren om te bezien of de beveiligingsmaatregelen in de praktijk voldoende bescherming bieden.

informatie voor college / GS

De beheersing van de informatieveiligheid bij de provincie voldoet nog niet. Zo is het beleid niet vastgesteld door de directie, was de monitoring van maatregelen de afgelopen jaren beperkt en is er niet structureel verantwoording afgelegd aan directie en bestuur.

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Verzoek GS meer aandacht te besteden aan de borging van het beleid zodat het beleid actueel en de uitvoering in lijn met beleid blijft.

Verzoek GS verantwoording af te leggen over informatieveiligheid en dat ook binnen de organisatie beter te borgen.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Verzoek GS om aandacht te blijven schenken aan het vergroten van de bewustwording van medewerkers rondom informatieveiligheid.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Naast de vier belangrijke algemene aanbevelingen, zijn er door nieuwe AVG en door veranderingen bij de USD (Uitvoeringsorganisatie Sociaal Domein Gooise Meren), voldoende aanleidingen om het onderwerp privacy op korte termijn te agenderen in de raad en het gesprek te voeren over de toekomstige eisen die aan het beleid zullen worden gesteld en de keuzen die de gemeente, en daarmee uiteindelijk de raad, daarin wil maken.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Hoe vaak en hoe wil de organisatie steekproefsgewijs controles uitvoeren op loggings op regiesysteem Topicus en GWS (GWS-Suite, een cliëntvolgsysteem waarin de elektronische cliëntdossiers worden opgebouwd)?

Checks - Audits - Evaluatie - Risicoanalyse

Bij de USD (Uitvoeringsorganisatie Sociaal Domein Gooise Meren) blijft het onderwerp zeker nog een rol spelen. De organisatie wil de processen opnieuw inrichten waarbij enkelvoudige vragen direct door een specialist behandeld worden en niet meer eerst door een vraagverhelderaar worden uitgediept. Bij dat herontwerp komen privacyvraagstukken vanzelf weer boven drijven. Medewerkers én cliënten kunnen daar in meedenken. Dat helpt om het privacybewustzijn te verhogen en privacy te borgen in de nieuwe processen. Een nieuwe PIA (Privacy Impact Assessment) sluit het herontwerp op een goede manier af.

informatie voor college / GS

-

informatie voor de raad / PS

Open de black box van privacy in het sociaal domein en laat zien wat je als gemeente deed, doet en van plan bent om de privacy te waarborgen. Geef daarbij expliciet aandacht aan hoe medewerkers in staat worden gesteld om bekwaam te opereren. Leg daarover verantwoording af aan de gemeenteraad. (Dus raadsleden: vraag hier om). Zo toon je je professionaliteit naar buiten toe en bouw je aan vertrouwen bij burgers en bij samenwerkingspartners in het sociaal domein.

organisatie, werkprocessen en uitvoering

De komende tijd zal de toepassing van de AVG nog veel aandacht vragen. De gemeente zal een Functionaris Gegevensbescherming aanstellen die in afstemming met de CISO’s de vraagstukken rondom privacy kan oppakken. Daar hoort ook bij dat de werkwijzen en procedures van de gemeente nog in concrete werkinstructies gegoten moeten worden. Uit het onderzoek blijkt dat twee vragen daarbij extra aandacht verdienen.

• Wat zijn de afspraken rondom de gezondheidsgegevens van cliënten Participatiewet?
• En hoe vaak en hoe wil de organisatie steekproefsgewijs controles uitvoeren op loggings op regiesysteem Topicus en GWS (GWS-Suite, een cliëntvolgsysteem waarin de elektronische cliëntdossiers worden opgebouwd)?

Bij de USD (Uitvoeringsorganisatie Sociaal Domein Gooise Meren) blijft het onderwerp zeker nog een rol spelen. De organisatie wil de processen opnieuw inrichten waarbij enkelvoudige vragen direct door een specialist behandeld worden en niet meer eerst door een vraagverhelderaar worden uitgediept. Bij dat herontwerp komen privacyvraagstukken vanzelf weer boven drijven. Medewerkers én cliënten kunnen daar in meedenken. Dat helpt om het privacybewustzijn te verhogen en privacy te borgen in de nieuwe processen. Een nieuwe PIA (Privacy Impact Assessment) sluit het herontwerp op een goede manier af.

Tot slot ligt er nog een aantal vragen rondom privacy voor de organisatie die aandacht behoeven. Is er naast de kwaliteitsmedewerker en de abonnementen op landelijke kennisbanen, ook behoefte aan een juridisch medewerker die vragen kan oppakken rondom privacy? En wat hebben medewerkers nodig om op hun nieuwe open (maar ook gehorige) flexplekken in het gemeentehuis zorgvuldig met persoonlijke gegevens te kunnen werken? Ook deze vragen dienen nog door de gemeentelijke organisatie opgepakt en beantwoord te worden.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Houd privacy hoog op de agenda bij medewerkers en maak een plan om dat gestructureerd te doen. Op dit onderwerp mag de aandacht niet verslappen. Dat kan bijvoorbeeld door het onderwerp met enige regelmaat te agenderen in werkoverleggen en daar casussen en ‘lastige situaties’ te bespreken. Of door geplande organisatiebrede opfrisacties. Het is belangrijk dat medewerkers automatisch aan het onderwerp toekomen en dat zij zo ruimte krijgen om hun professionele aanpak te borgen. Zorg dat privacy leeft! Ook een volgroeide boom heeft aandacht nodig

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Open de black box van privacy in het sociaal domein en laat zien wat je als gemeente deed, doet en van plan bent om de privacy te waarborgen. Geef daarbij expliciet aandacht aan hoe medewerkers in staat worden gesteld om bekwaam te opereren. Leg daarover verantwoording af aan de gemeenteraad. (Dus raadsleden: vraag hier om). Zo toon je je professionaliteit naar buiten toe en bouw je aan vertrouwen bij burgers en bij samenwerkingspartners in het sociaal domein.

communicatie en betrokkenheid burgers

Ga in gesprek met cliënten en burgers om een goed beeld te krijgen van hun ervaringen, vragen en zorgen rond privacy en ga na wat de gemeente kan doen om daar op een goede manier mee om te gaan. Neem hiervoor de rapporten van Samenkracht! als basis.

Verbeter de gemeentelijke voorlichting over privacy in het sociaal domein. Neem cliënten als uitgangspunt en bedenk waar, wanneer en op welke manier zij het beste geïnformeerd kunnen worden. Pas in ieder geval de website aan en maak folders die mensen thuis nog eens na kunnen lezen. Zorg dat de informatie voor iedereen toegankelijk en begrijpelijk is.

Open de black box van privacy in het sociaal domein en laat zien wat je als gemeente deed, doet en van plan bent om de privacy te waarborgen. Geef daarbij expliciet aandacht aan hoe medewerkers in staat worden gesteld om bekwaam te opereren. Leg daarover verantwoording af aan de gemeenteraad. (Dus raadsleden: vraag hier om). Zo toon je je professionaliteit naar buiten toe en bouw je aan vertrouwen bij burgers en bij samenwerkingspartners in het sociaal domein.

Wat zijn de afspraken rondom de gezondheidsgegevens van cliënten Participatiewet?

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

Naar aanleiding van bovenstaande punten op korte termijn het budget, de capaciteit en de benodigde competenties die beschikbaar zijn voor informatiebeveiliging te heroverwegen.

Sturende rol college / GS

Het informatiebeveiligingsbeleid zo spoedig mogelijk, doch uiterlijk in het eerste kwartaal van 2019 opnieuw te laten vaststellen door het college.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

Over de implementatie en uitvoering van het beleid dient structureel verantwoordingsinformatie te worden opgesteld en ook de aansturing van het beleid door directie en bestuur moet traceerbaar zijn.

informatie voor de raad / PS

De raadsinformatie over informatiebeveiliging te verbeteren door naast de verplichte paragraaf en de ENSIA verklaring:

• De gemeenteraad middels een (zo nodig geheime) nota inhoudelijk te informeren over de mate van compliancy aan wet en regelgeving en het eigen beleid aan de hand van een jaarlijkse samenvatting met duiding van de scores op de ENSIA-zelfevaluatievragenlijst.
• Aan de hand van een objectieve maatstaf (bijvoorbeeld het volwassenheidsniveau) te rapporteren over de ontwikkeling van de verschillende onderdelen van de informatievoorziening , waaronder informatiebeveiliging.

organisatie, werkprocessen en uitvoering

Vóór eind 2019 daadkrachtige en volledige implementatie van het eigen informatiebeveiligingsbeleid te realiseren door onder meer:

• Een nieuwe gap-analyse uit te voeren om in beeld te krijgen welke, volgens relevante weten regelgeving en het eigen beleid voorgeschreven, maatregelen nog niet zijn geïmplementeerd. Hieruit wordt ook zichtbaar wat er sinds 2014 al is gerealiseerd.
• Het informatiebeveiligingsbeleid zo spoedig mogelijk, doch uiterlijk in het eerste kwartaal van 2019 opnieuw te laten vaststellen door het college.
• Naar aanleiding van bovenstaande punten op korte termijn het budget, de capaciteit en de benodigde competenties die beschikbaar zijn voor informatiebeveiliging te heroverwegen.
• Hiervoor een plan van aanpak met tijdpad en verantwoordelijken op te stellen en de voortgang van de implementatie te laten bewaken door de IT-auditor.
• Over de implementatie en uitvoering van het beleid dient structureel verantwoordingsinformatie te worden opgesteld en ook de aansturing van het beleid door directie en bestuur moet traceerbaar zijn.

calamiteiten en risicobeheersing

Vóór eind 2019 daadkrachtige en volledige implementatie van het eigen informatiebeveiligingsbeleid te realiseren door onder meer:

• Een nieuwe gap-analyse uit te voeren om in beeld te krijgen welke, volgens relevante weten regelgeving en het eigen beleid voorgeschreven, maatregelen nog niet zijn geïmplementeerd. Hieruit wordt ook zichtbaar wat er sinds 2014 al is gerealiseerd.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

De informatiesystemen weerbaarder te maken tegen cybercrime door:

• De resterende kwetsbaarheden uit de penetratietesten overeenkomstig de aanbevelingen van Hoffmann te verhelpen.
• Vóór de zomer van 2019 een hertest te laten uitvoeren op de gevonden kwetsbaarheden en de gemeenteraad hierover te informeren en deze periodiek en met verschillende invalshoeken te herhalen.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Aan het college:
Tijdig vaststellen van het strategisch informatiebeveiligingsbeleid.

Aansporing om verder te gaan met het bedrijfscontinuïteitsplan en het vastleggen van de diverse protocollen en richtlijnen.

budget en personele inzet

-

Sturende rol college / GS

Aan het college:
Tijdig vaststellen van het strategisch informatiebeveiligingsbeleid.

Aansporing om verder te gaan met het bedrijfscontinuïteitsplan en het vastleggen van de diverse protocollen en richtlijnen.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Aan de raad:
Geef het college de opdracht de raad over 6 maanden een plan van aanpak voor te leggen waarin bovenstaande aanbevelingen worden geadresseerd.

Ga met het college het gesprek aan over de wijze waarop het college de vrije ruimte binnen ENSIA invult om de raad in zijn controlerende rol te ondersteunen.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Aan het college:
Zorg ervoor dat het ISMS gevuld wordt, gekoppeld wordt aan de PDCA-cyclus en beschikbaar komt voor het onderdeel privacy.

Checks - Audits - Evaluatie - Risicoanalyse

Aan het college:
Het informatiebeveiligingsplan tijdig vaststellen op basis van een risicoanalyse en - afweging.

Gestructureerd inventariseren op welke processen DPIA’s uitgevoerd moeten worden en deze vervolgens systematisch uitvoeren.

Pak de aandachts- en verbeterpunten op, die naar voren zijn gekomen uit de inlooptest in het kader van het rekenkameronderzoek.

informatie voor college / GS

-

informatie voor de raad / PS

Aan het college:
Neem de raad vaker mee in rapportages over de voortgang op informatiebeveiliging en privacy.

Aan de raad:
Bepaal wanneer en hoe je als raad geïnformeerd wilt worden over de voortgang op informatiebeveiliging en privacy.

organisatie, werkprocessen en uitvoering

Aan het college:
Bestuurlijk een ambitie vaststellen op welke termijn de gemeentelijke organisatie naar het volgende volwassenheidsniveau moet ontwikkelen. Stel op basis daarvan een plan van aanpak op.

Het informatiebeveiligingsplan tijdig vaststellen op basis van een risicoanalyse en - afweging.

Aansporing om verder te gaan met het bedrijfscontinuïteitsplan en het vastleggen van de diverse protocollen en richtlijnen.

Positioneer de functionarissen op informatiebeveiliging en privacy onafhankelijk van de lijn. En zorg ervoor dat zij meer vanuit hun strategische en adviserend rol kunnen opereren.

calamiteiten en risicobeheersing

Aan het college:
Pak de aandachts- en verbeterpunten op, die naar voren zijn gekomen uit de inlooptest in het kader van het rekenkameronderzoek.

bewustwording, kennis en kunde in de organisatie

Aan het college:
Stel deelname aan de e-learning verplicht voor alle medewerkers. En zorg ervoor dat het management daarop stuurt.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Aan het college:
Stel jaarlijks de ambitie vast ten aanzien van informatiebeveiliging en privacy en voorzie die ambitie van de nodige middelen.

Aan de raad:
Geef het college de opdracht om binnen 4 maanden de aanbevelingen aan het college in een plan van aanpak aan u te presenteren.

budget en personele inzet

Aan het college:
Stel jaarlijks de ambitie vast ten aanzien van informatiebeveiliging en privacy en voorzie die ambitie van de nodige middelen.

Versterk de capaciteit op de tactische kant van informatiebeveiliging, een eerste stap met het werven van een TISO is gezet, en evalueer de capaciteit en inzet op de tactische kant van privacy.

Sturende rol college / GS

Aan het college:
Stel jaarlijks de ambitie vast ten aanzien van informatiebeveiliging en privacy en voorzie die ambitie van de nodige middelen.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Aan de raad:
Geef het college de opdracht om binnen 4 maanden de aanbevelingen aan het college in een plan van aanpak aan u te presenteren.

Controlerende rol gemeenteraad / PS

Aan de raad:
Geef nadere invulling van uw taak als controleur van de uitvoering van het beleid op informatiebeveiliging en privacy.

Houd een vinger aan de pols bij de turbulente ontwikkelingen van het zogenoemde datagedreven werken waarbij algoritmes in beeld komen.

werkprocessen monitoren, bewaken en verbeteren

Aan het college:
Neem noodzakelijke maatregelen, op basis van een risicoanalyse. Gebruik hierbij mede de pentesten die in het kader van het rekenkameronderzoek zijn uitgevoerd op de systemen (techniek) en de mens.

Maak een keuze voor een informatiemanagementsysteem dat door de gehele organisatie wordt gebruikt.

Besteed aandacht aan de protocollen/procedures, zoals het incidentmanagement en het integrale bedrijfscontinuïteitsplan.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Aan de raad:
Geef nadere invulling van uw taak als controleur van de uitvoering van het beleid op informatiebeveiliging en privacy door:

• Met het college afspraken te maken wanneer en waarover u ten aanzien van informatiebeveiliging en privacy geïnformeerd wil worden;
• Om toezending te vragen van de halfjaarlijkse rapportages van de FG en de CISO en deze in de raad te bespreken;
• Afspraken te maken met het college over de 'vrije ruimte' in de ENSIA-rapportage voor de verantwoording aan u als raad;
• U te laten bijstaan door de FG en CISO als 'externe' adviseurs en u indien gewenst voor een second opinion door een andere externe adviseur te laten bijstaan.

organisatie, werkprocessen en uitvoering

Aan het college:
Neem in deze ambitie ten aanzien van informatiebeveiliging en privacy versterking van het volwassenheidsniveau van de organisatie mee.

Ondersteun het proceseigenaarschap van het lijnmanagement, zodat deze in staat is het opdrachtgeverschap op informatiebeveiliging en privacy in te vullen.

Maak een keuze voor een informatiemanagementsysteem dat door de gehele organisatie wordt gebruikt.

Besteed aandacht aan de protocollen/procedures, zoals het incidentmanagement en het integrale bedrijfscontinuïteitsplan.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Aan het college:
Blijf investeren in leren over en bewustzijn ten aanzien van informatieveiligheid en privacy bij medewerkers.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Aan het college:
Breid de standaard controle op aanbestedingen en contracten op informatiebeveiliging en 'privacy by design' uit naar contracten met een bedrag dat lager is dan €50.000.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

Zorg voor adequate financiering van ICT en informatiebeveiliging, met een eigen toereikend budget voor de CISO.

Sturende rol college / GS

Voer een dialoog over de portefeuilleverdeling in het college. Informatieveiligheid is 'chefsache' voor de burgemeester, ICT bij een wethouder die hier echt affiniteit mee heeft.

betrokkenheid samenwerkende gemeenten

Aansporing:
Neem als raad het initiatief om het gesprek aan te gaan over cultuur met het bestuur. Ga daarna als raad met ambtelijke organisatie het gesprek over de gewenste cultuur voeren, neem als raad het college mee en houdt als raad zelf de regie op dit proces. Neem daarbij als raad ook jezelf onder de loep. In hoeverre ben je als raad zelf in staat om dit onderwerp op de bestuurlijke agenda te houden?

Verzoek als raad het college de mogelijkheden te onderzoeken om samen te werken op functies (FG en CISO) met buurgemeenten. En onderzoek de mogelijkheden om op systeembeheer samen te werken, bijvoorbeeld met een gemeente die gastheer wil zijn of via een shared servicecentrum. Regel daarbij de governance adequaat in.

Kaderstellende rol gemeenteraad / PS

Organiseer tegenmacht binnen de organisatie, tussen organisatie en bestuur en tussen bestuur en raad:

• Positioneer je als raad in je controlerende en ook kaderstellende rol en neem regie. De ICT-werkgroep is daar een goed middel voor. Aanbevolen wordt dat de raad meer dan alleen maar meedenkt. Draag via een eigen geoormerkt budget in de begroting zorg dat je als raad of commissie een advies of second opinion op raadsvoorstellen kan inwinnen, zonder advisering vanuit de ambtelijke organisatie. Laat eventueel vanuit de ICT-werkgroep pentesten door een externe uitvoeren.
• Geef de accountant de opdracht ICT, informatiebeveiliging en privacy consistent te monitoren en te rapporteren, ook direct aan de raad. Laat rapporteren over de voortgang op de opvolging van de adviezen en geef hierin de griffie een rol om dat te administreren, te bewaken en terug te koppelen aan de raad.

Aansporing:
Neem als raad het initiatief om het gesprek aan te gaan over cultuur met het bestuur. Ga daarna als raad met ambtelijke organisatie het gesprek over de gewenste cultuur voeren, neem als raad het college mee en houdt als raad zelf de regie op dit proces. Neem daarbij als raad ook jezelf onder de loep. In hoeverre ben je als raad zelf in staat om dit onderwerp op de bestuurlijke agenda te houden?

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Monitor op de werking van het informatiebeveiligingsbeleid.

• Richt de sturingsinformatie in op uitvoering en vastlegging van activiteiten op informatiebeveiliging, maak daarbij gebruik van een ISMS.
• Voer elk jaar pentesten uit op de techniek en de systemen, de accounts en AD audits op wachtwoordenbeleid en phishing mails enz. Laat dit uitvoeren door steeds andere externen die de externe dienstverleners en elkaar controleren.
• Maak gebruik van de vrije ruimte die ENSIA biedt om de horizontale verantwoording richting de gemeenteraad in te richten. College en raad moeten daarover met elkaar in gesprek welke informatie de raad nodig heeft om zijn kaderstellende en controlerende rol te kunnen nemen.

Geef de accountant de opdracht ICT, informatiebeveiliging en privacy consistent te monitoren en te rapporteren, ook direct aan de raad. Laat rapporteren over de voortgang op de opvolging van de adviezen en geef hierin de griffie een rol om dat te administreren, te bewaken en terug te koppelen aan de raad.

Checks - Audits - Evaluatie - Risicoanalyse

Voer elk jaar pentesten uit op de techniek en de systemen, de accounts en AD audits op wachtwoordenbeleid en phishing mails enz. Laat dit uitvoeren door steeds andere externen die de externe dienstverleners en elkaar controleren.

informatie voor college / GS

-

informatie voor de raad / PS

Maak gebruik van de vrije ruimte die ENSIA biedt om de horizontale verantwoording richting de gemeenteraad in te richten. College en raad moeten daarover met elkaar in gesprek welke informatie de raad nodig heeft om zijn kaderstellende en controlerende rol te kunnen nemen.

Geef de accountant de opdracht ICT, informatiebeveiliging en privacy consistent te monitoren en te rapporteren, ook direct aan de raad. Laat rapporteren over de voortgang op de opvolging van de adviezen en geef hierin de griffie een rol om dat te administreren, te bewaken en terug te koppelen aan de raad.

Aansporing:
Neem als raad het initiatief om het gesprek aan te gaan over cultuur met het bestuur. Ga daarna als raad met ambtelijke organisatie het gesprek over de gewenste cultuur voeren, neem als raad het college mee en houdt als raad zelf de regie op dit proces. Neem daarbij als raad ook jezelf onder de loep. In hoeverre ben je als raad zelf in staat om dit onderwerp op de bestuurlijke agenda te houden?

organisatie, werkprocessen en uitvoering

Organiseer de controle op regievoering van externen en doe dit op drie niveaus (strategisch, tactisch en operationeel),

• Regiebureau in de staf onder directeur is daarbij goed begin.
• Plaats de CIS- rechtstreeks onder de gemeentesecretaris.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Zorg dat kennis op ICT en informatiebeveiliging in de gemeente geborgd is door:

• In de ambtelijke organisatie de juiste competenties en kennis op ICT en informatieveiligheid te borgen;
• Het bestuur (college en raad) te 'scholen' zodat ze op het terrein van ICT en informatieveiligheid de goede vragen kan stellen en kunnen doorvragen.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Voer elk jaar pentesten uit op de techniek en de systemen, de accounts en AD audits op wachtwoordenbeleid en phishing mails enz. Laat dit uitvoeren door steeds andere externen die de externe dienstverleners en elkaar controleren.

Organiseer de controle op regievoering van externen en doe dit op drie niveaus (strategisch, tactisch en operationeel),

• Regiebureau in de staf onder directeur is daarbij goed begin.
• Plaats de CIS- rechtstreeks onder de gemeentesecretaris.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Het op zeer korte termijn vastleggen van informatiebeveiligingsbeleid dat is geactualiseerd op het nieuwe informatiebeleid en uit te voeren risicoanalyse. Neem daarin de aandachtspunten uit dit vooronderzoek mee.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Richt een risicomanagementproces in voor het identificeren, analyseren en evalueren van risico’s en voor het bepalen van de risicohouding: accepteren of maatregelen treffen. Dit dient een continu proces te zijn. Maak hierbij o.a. gebruik van de best practices van de IBD en andere gemeenten, betrek hierin ook de eisen uit de BIO (Baseline informatiebeveiliging overheid) die als opvolger van de BIG de minimumnorm voor de komende jaren zal zijn.

Checks - Audits - Evaluatie - Risicoanalyse

Wij adviseren de gemeente nadrukkelijk een afhankelijkheden- en kwetsbaarheden analyse uit te voeren om vast te stellen welke systemen kritiek zijn en specifieke beveiligingsmaatregelen vergen om de beschikbaarheid, betrouwbaarheid en vertrouwelijkheid te kunnen garanderen. Dit is tevens noodzakelijk voor het kunnen formuleren van adequaat informatiebeveiligingsbeleid. Met de uitkomsten van de analyse, en het geformuleerde beleid in de hand, kan de gemeente ook haar huidige continuïteitsmaatregelen evalueren in relatie tot de beschikbaarheidseisen.

Laat een nieuwe nulmeting informatiebeveiliging uitvoeren aan de hand van het nieuwe beleid om vast te stellen welke risico’s en aandachtspunten aanwezig zijn. Stel daaropvolgend een goed implementatieplan op en leg de overwegingen rond de selectie van te nemen maatregelen vast.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Leg procedures rond kritieke beheertaken als wijzigingenbeheer, toegangsbeheer en incidentenbeheer vast. Overweeg de uitvoering van periodieke audits op de werking van deze beheersmaatregelen. Deels kan hier gebruik worden gemaakt van de uitkomsten van de audit voor de jaarrekeningcontrole en de DigiD assessment.

Tevens adviseren wij de portefeuillehouder, in samenwerking met de CISO, meer inhoudelijk een beeld te vormen van de huidige status van de implementatie van de AVG maatregelen. Mogelijk dat een nulmeting AVG hierbij een goede eerste aanzet kan zijn.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Completeer de bewerkersovereenkomsten met leveranciers en besteedt daarbij aandacht aan de mogelijkheid onderzoeken te doen bij de leveranciers, of beter nog: het ontvangen van (onafhankelijke) Assurance rapporten over de kwaliteit van beveiligingsmaatregelen bij die leveranciers (opzet, bestaan en werking).

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De rekenkamer beveelt Gedeputeerde Staten aan om, gezien de risico’s en mogelijke gevolgen van beveiligingsinbreuken voor de provincie, haar toenemende aandacht voor informatieveiligheid voort te zetten, in lijn daarmee haar inspanningen op dit gebied te intensiveren en daarbij:

• met kracht in te zetten op het voldoen aan het gekozen basisambitieniveau; de IBI, onder ander door de procedures, processen en maatregelen op korte termijn te verwerken in het nieuwe managementsysteem en de andere voorgenomen maatregelen voortvarender te implementeren en te sturen op de realisatie daarvan.
• de voorgenomen periodieke penetratietesten uit te voeren en op basis daarvan, samen met de aandachtpunten uit de jaarlijkse IBI-analyse, informatiebeveiligingsincidenten en dergelijke, de te nemen maatregelen vast te stellen met inschatting van de daarvoor benodigde capaciteit en financiële middelen, deze te prioriteren en te sturen op realisatie daarvan.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Provinciale Staten roepen we op, mede met het oog op hun controlerende rol, om alert te blijven op de informatieverstrekking door Gedeputeerde Staten over informatieveiligheid en/of zelf meer structureel aandacht te vragen voor het onderwerp.

Controlerende rol gemeenteraad / PS

Provinciale Staten roepen we op, mede met het oog op hun controlerende rol, om alert te blijven op de informatieverstrekking door Gedeputeerde Staten over informatieveiligheid en/of zelf meer structureel aandacht te vragen voor het onderwerp.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

De rekenkamer beveelt Gedeputeerde Staten aan om, gezien de risico’s en mogelijke gevolgen van beveiligingsinbreuken voor de provincie, haar toenemende aandacht voor informatieveiligheid voort te zetten, in lijn daarmee haar inspanningen op dit gebied te intensiveren en daarbij:

• de voorgenomen periodieke penetratietesten uit te voeren en op basis daarvan, samen met de aandachtpunten uit de jaarlijkse IBI-analyse, informatiebeveiligingsincidenten en dergelijke, de te nemen maatregelen vast te stellen met inschatting van de daarvoor benodigde capaciteit en financiële middelen, deze te prioriteren en te sturen op realisatie daarvan.

informatie voor college / GS

-

informatie voor de raad / PS

Provinciale Staten roepen we op, mede met het oog op hun controlerende rol, om alert te blijven op de informatieverstrekking door Gedeputeerde Staten over informatieveiligheid en/of zelf meer structureel aandacht te vragen voor het onderwerp.

organisatie, werkprocessen en uitvoering

De rekenkamer beveelt Gedeputeerde Staten aan om, gezien de risico’s en mogelijke gevolgen van beveiligingsinbreuken voor de provincie, haar toenemende aandacht voor informatieveiligheid voort te zetten, in lijn daarmee haar inspanningen op dit gebied te intensiveren en daarbij:

• met kracht in te zetten op het voldoen aan het gekozen basisambitieniveau; de IBI, onder ander door de procedures, processen en maatregelen op korte termijn te verwerken in het nieuwe managementsysteem en de andere voorgenomen maatregelen voortvarender te implementeren en te sturen op de realisatie daarvan.

calamiteiten en risicobeheersing

De rekenkamer beveelt Gedeputeerde Staten aan om, gezien de risico’s en mogelijke gevolgen van beveiligingsinbreuken voor de provincie, haar toenemende aandacht voor informatieveiligheid voort te zetten, in lijn daarmee haar inspanningen op dit gebied te intensiveren.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De rekenkamer beveelt Gedeputeerde Staten aan om, gezien de risico’s en mogelijke gevolgen van beveiligingsinbreuken voor de provincie haar handelen intensief voort te blijven zetten.

budget en personele inzet

Aanbeveling aan GS:
zorgen voor voldoende capaciteit op kwetsbare functies die nu door één persoon (gaan) worden ingevuld, waaronder voor de verplichte audits door het cluster Concern.

Provinciale Staten roepen we op om:
GS financieel in staat te blijven stellen om de ingeslagen weg voort te kunnen zetten.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Provinciale Staten roepen we op om:
mede met het oog op hun controlerende rol, zelf meer structureel aandacht te vragen voor het onderwerp. Grijp bijvoorbeeld de werkgroep Versterking Positie PS aan om de dialoog met GS aan te gaan over informatieveiligheid en de verkiezingen 2023 om in het introductieprogramma voor (nieuwe) Statenleden ook aandacht te besteden aan informatieveiligheid.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Aanbeveling aan GS:
ervoor zorgen dat ze PS jaarlijks blijven informeren over ontwikkelingen en de uitvoering van het informatieveiligheidsbeleid.

Provinciale Staten roepen we op om:
mede met het oog op hun controlerende rol, zelf meer structureel aandacht te vragen voor het onderwerp. Grijp bijvoorbeeld de werkgroep Versterking Positie PS aan om de dialoog met GS aan te gaan over informatieveiligheid en de verkiezingen 2023 om in het introductieprogramma voor (nieuwe) Statenleden ook aandacht te besteden aan informatieveiligheid.

organisatie, werkprocessen en uitvoering

Aanbeveling aan GS:

• ervoor zorgen dat een nieuw bewustwordingsprogramma voor medewerkers en bestuurders wordt opgesteld en uitgevoerd; nu het oude programma dit jaar wordt afgerond en de mens doorgaans de zwakste schakel van elk beveiligingssysteem is;
• zorgen voor voldoende capaciteit op kwetsbare functies die nu door één persoon (gaan) worden ingevuld, waaronder voor de verplichte audits door het cluster Concern.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

-

Sturende rol college / GS

De Rekenkamercommissie ervaart de persoonlijke betrokkenheid van de portefeuillehouder van Maasdriel, dat is burgemeester Henny van Kooten, maar zou graag zien dat het onderwerp vaker en explicieter letterlijk op de agenda van het college van Maasdriel staat, mede met de intentie om

• doorlopend ook de andere collegeleden bij de opzet en werking van het geïmplementeerde instrumentarium betrokken te houden en
• doorlopend gericht te kunnen schakelen in de zeshoek portefeuillehouder Maasdriel – portefeuillehouder Zaltbommel – algemeen directeur Maasdriel – algemeen directeur Zaltbommel – teammanager informatisering en automatisering van de Bedrijfsvoeringseenheid – CISO.

Uit het frequent agenderen van het onderwerp volgt logischerwijs ook dat de andere collegeleden vaker een halfuurtje in een afdelings- of teambespreking aanschuiven, waarin het onderwerp aan de hand van dagelijkse casuïstiek of dilemma’s aan de orde komt. Informatiebeveiliging is van iedereen en gaat iedereen binnen de gemeente Maasdriel immers in hoge mate aan.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Aanbeveling aan de raad:
De Rekenkamercommissie stelt graag vast – maar dat kan pas feitelijk bij de behandeling van dit memorandum – in hoeverre de raad de eerder in dit memorandum bedoelde controle

• met de vereiste diepgang kan uitoefenen en
• dat ook aantoonbaar doet, bijvoorbeeld door het stellen van vragen aan het college of het bijwonen van presentaties of informatiebijeenkomsten.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

De Rekenkamercommissie ervaart de persoonlijke betrokkenheid van de portefeuillehouder van Maasdriel, dat is burgemeester Henny van Kooten, maar zou graag zien dat het onderwerp vaker en explicieter letterlijk op de agenda van het college van Maasdriel staat, mede met de intentie om

• doorlopend ook de andere collegeleden bij de opzet en werking van het geïmplementeerde instrumentarium betrokken te houden en
• doorlopend gericht te kunnen schakelen in de zeshoek portefeuillehouder Maasdriel – portefeuillehouder Zaltbommel – algemeen directeur Maasdriel – algemeen directeur Zaltbommel – teammanager informatisering en automatisering van de Bedrijfsvoeringseenheid – CISO.

Uit het frequent agenderen van het onderwerp volgt logischerwijs ook dat de andere collegeleden vaker een halfuurtje in een afdelings- of teambespreking aanschuiven, waarin het onderwerp aan de hand van dagelijkse casuïstiek of dilemma’s aan de orde komt. Informatiebeveiliging is van iedereen en gaat iedereen binnen de gemeente Maasdriel immers in hoge mate aan.

informatie voor de raad / PS

Aanbeveling aan de raad:
De Rekenkamercommissie stelt graag vast – maar dat kan pas feitelijk bij de behandeling van dit memorandum – in hoeverre de raad de eerder in dit memorandum bedoelde controle

• met de vereiste diepgang kan uitoefenen en
• dat ook aantoonbaar doet, bijvoorbeeld door het stellen van vragen aan het college of het bijwonen van presentaties of informatiebijeenkomsten.

organisatie, werkprocessen en uitvoering

Aanbeveling aan de raad:
Hoewel in zekere zin een operationeel punt: de Rekenkamercommissie adviseert de raad bij het college te vragen naar de wijze waarop voor de komende jaren structureel wordt voorzien in een blijvend adequate invulling van de CISO-positie (logischerwijs blijvend binnen de Bedrijfsvoeringseenheid Bommelerwaard).

calamiteiten en risicobeheersing

Aanbeveling aan de raad:
Aanvullend adviseert de Rekenkamercommissie de raad om via de griffie te (laten) vaststellen op welke manier ook raadsleden risico’s en onverhoopte incidenten kunnen melden, bespreken en in leerpunten kunnen omzetten.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Verhelder het beleid voor informatiebeveiliging en privacybescherming

• Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming te versterken door het in ieder geval aan te vullen met een visie, ambitie en speerpunten. Dit vormt ook de basis voor de bewustwording in de organisatie. Vraag het college het beleidsplan ter besluitvorming aan de raad voor te leggen.
• Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

budget en personele inzet

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Stel voldoende middelen beschikbaar
Vraag het college om de raad voor te leggen wat er nodig is qua financiële en personele middelen, op basis van het op te stellen meerjarenuitvoeringsprogramma en de jaarplannen. Die belangrijke documenten vragen om bespreking en besluitvorming in het college.

Geef de CISO en FG de beschikking over een eigen budget
Vraag het college om in lijn met het advies van de IBD het budget waarover de CISO kan beschikken te specificeren in het jaarplan en de begroting. Doe dat ook voor de FG. Op deze manier kunnen CISO en FG hun rol vanuit de 3e lijn beter waarmaken.

Sturende rol college / GS

Besteed meer bestuurlijke aandacht aan informatiebeveiliging en privacybescherming in de gemeente
Vraag het college - in lijn met VNG-resolutie 2021 en de 10 bestuurlijke principes voor informatiebeveiliging - om de portefeuilles informatiebeveiliging en privacybescherming voldoende gewicht te geven en systematisch aandacht te besteden in de collegevergaderingen aan zaken zoals risico’s, beleid, prioritering, benodigde middelen, jaarplannen, monitoring, voortgangs- en verantwoordingsrapportages en de eigen bewustwording. Het is verstandig regelmatig de CISO en FG uit te nodigen voor een toelichting.

betrokkenheid samenwerkende gemeenten

Overweeg om het pad in te slaan van gezamenlijk informatiebeveiligingsbeleid in de regio. Vraag het college om bestuurlijk de discussie aan te gaan om toch tot een gezamenlijk informatiebeveiligingsbeleid in de regio te komen. Voor de hand ligt om iRvN daarvoor te gebruiken: de organisatie staat al, en is bestuurlijk ingebed in de MGR. Een gezamenlijk beleid, waarin onder meer is vastgelegd welk gedeeld volwassenheidsniveau de gemeenten nastreven, is de beste manier om de informatiebeveiliging in onze gemeenten te vergroten en de risico’s te verminderen. Laat je als raad informeren over de mogelijke keuzes en implicaties daarvan. Bij het bepalen van je standpunt hierover kun je je als gemeenteraad extern laten adviseren. Overweeg dat in regionaal verband te doen.

Zorg voor heldere afspraken tussen de gemeenten en iRvN over informatiebeveiliging
a. Vraag het college om zo snel mogelijk te zorgen voor een heldere taakafbakening tussen gemeenten en iRvN inzake informatiebeveiliging. Dit voorkomt risico’s als gevolg van onduidelijkheid hierover, en stelt iRvN in staat de gemeenten beter en efficiënter te ondersteunen. Vraag het college over een jaar te rapporteren, liefst op basis van een extern onderzoek.
b. Vraag het college om in MGR-verband een meerjarenbeleidsplan voor de ICT-module op te stellen met daarin duidelijke doelstellingen. Vraag het college dit beleidsplan op hoofdlijnen uit te werken in een (meerjaren)uitvoeringsprogramma, waarin wordt ingegaan op de benodigde inspanningen door zowel iRvN als de gemeenten. Bijzondere aandacht verdient daarbij het opstellen van de tot nu toe ontbrekende (beleids)kaders voor informatiebeveiliging. Overweeg als raad de zienswijzen op dit meerjarenbeleidsplan gezamenlijk met de andere raden voor te bereiden.
c. Vraag het college om het DB van de MGR voortaan, op basis van het meerjarenbeleidsplan en -uitvoeringsprogramma, een jaarlijks uitvoeringsprogramma (collectieve DVO) vast te laten stellen. Vraag het college om het DB in de jaarstukken verantwoording af te laten leggen over de doelstellingen.

Besteed meer bestuurlijke aandacht aan informatiebeveiliging en privacybescherming in de regio
Versterk en verduidelijk de governance op regionaal niveau. Vraag het college om in MGR-verband voldoende gewicht te geven aan de rol van IRvN bij de informatiebeveiliging in de gemeenten (en bij iRvN zelf). Dat betekent periodieke aandacht in het AB en in de Agendacommissie van de MGR voor informatiebeveiliging, zowel als het gaat om beleidsplan en jaarplannen (Plan) en rapportages (Check). Ook (of: juist) als de
aansturing van iRvN bij de gemeentesecretarissen en/of hoofden bedrijfsvoering ligt, zorg dan voor noodzakelijke bestuurlijke besluitvorming in het AB. Vraag aan het college om de instelling van een aparte bestuurscommissie voor iRvN in het AB van de MGR te overwegen. Het voordeel van een bestuurscommissie ten opzichte van het werken in het portefeuillehoudersoverleg ICT is immers dat op deze manier de
besluitvorming bestuurlijk is ingebed in de MGR, transparanter is en meer garanties geeft voor betrokkenheid van de gemeenteraden. Vraag het college de raad te informeren over de gehanteerde afwegingen en besluitvorming.

Overweeg als raden een regionale aanpak
Versterk elkaar als raden en stel bijvoorbeeld een regionale raadswerkgroep in, of gebruik de agendacommissie van de MGR daarvoor. Zo’n gezelschap wordt dan de voorhoede van de gemeenteraden, en de leden ervan houden hun eigen raad goed op de hoogte. Organiseer in die werkgroep de onderlinge uitwisseling en kennisvermeerdering, en stem bijvoorbeeld de controle-activiteiten richting de colleges met elkaar af.

Kaderstellende rol gemeenteraad / PS

Stel als raad het beleid voor informatiebeveiliging en privacybescherming vast
Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming ter besluitvorming aan de raad voor te leggen. De raad moet die documenten dan ook agenderen, en de gelegenheid aangrijpen om zich te laten informeren.

Overweeg als raden een regionale aanpak
Versterk elkaar als raden en stel bijvoorbeeld een regionale raadswerkgroep in, of gebruik de agendacommissie van de MGR daarvoor. Zo’n gezelschap wordt dan de voorhoede van de gemeenteraden, en de leden ervan houden hun eigen raad goed op de hoogte. Organiseer in die werkgroep de onderlinge uitwisseling en kennisvermeerdering, en stem bijvoorbeeld de controle-activiteiten richting de colleges met elkaar af.

Verhelder het beleid voor informatiebeveiliging en privacybescherming

• Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming te versterken door het in ieder geval aan te vullen met een visie, ambitie en speerpunten. Dit vormt ook de basis voor de bewustwording in de organisatie. Vraag het college het beleidsplan ter besluitvorming aan de raad voor te leggen.
• Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Overweeg de opdracht aan de accountant voor een IT-audit te continueren
De gemeenteraad is opdrachtgever van de accountant. In de afgelopen raadsperiode was het uitvoeren van een IT-audit onderdeel van die opdracht. Overweeg die opdracht te continueren bij de aanbesteding die in najaar van 2022 aan de orde is voor de jaarrekeningcontrole door de accountant.

informatie voor college / GS

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

informatie voor de raad / PS

Leg vast hoe je gaat toetsen en rapporteren
Vraag het college om in het beleid op te nemen hoe je als gemeente wilt gaan toetsen en rapporteren. Neem de PDCA-cyclus als uitgangspunt en expliciteer de momenten waarop getoetst en gerapporteerd wordt. Belangrijk bij het toetsen is dat periodiek pentesten worden uitgevoerd en periodiek extern getoetst wordt. Belangrijk bij het rapporteren is dat - na overleg met de raad - ook wordt aangegeven hoe en wanneer aan de raad gerapporteerd wordt. Maak in het college (en ook in de raad) in elk geval meer werk van de jaarlijkse verantwoordingsrapportages over informatieveiligheid (ENSIA) en privacybescherming (jaarverslag FG). Nodig de CISO en FG uit voor een toelichting en bespreking.

Laat je als raad informeren en ondersteunen
Neem als raad zelf het initiatief om je te laten informeren over het belang en de ‘basics’ van goede informatiebeveiliging en privacybescherming. Doel is om in de daaropvolgende jaren beter te weten waar je op moet letten en naar moet vragen. Nodig het college en ook de CISO en FG voor zo’n sessie uit. Ook een
externe deskundige die meedenkt over het soort vragen dat je moet stellen, kan nuttig zijn. Gezien de snelle ontwikkelingen in risico’s, dreigingen en techniek, is het verstandig dergelijke sessies met enige regelmaat te organiseren, al dan niet ter voorbereiding op de behandeling van voorstellen of verantwoordingsrapportages die door het college worden voorgelegd. Waarom hier niet een regionaal initiatief van maken?

Richt als raad je controlerende rol beter in
Vraag de griffie om in een beknopte nota vast te leggen:

• waarover je als raad wilt worden geïnformeerd: de stand van zaken rond doelen, risico’s en maatregelen, de resultaten van testen en toetsen, de toereikendheid van middelen, etc.
• op welke manier je als raad wilt worden geïnformeerd: enkel via de P&C-cyclus, of ook via periodieke informatiebrieven of voortgangsrapportages, via de auditcommissie (desnoods in beslotenheid), etc.
• dat je in ieder geval de jaarlijkse rapportages (ENSIA, privacyjaarverslag) wilt ontvangen en dat die moeten worden voorzien van een begeleidende toelichting. Voor beide rapportages geldt dat daarin inhoudelijk moet worden gerapporteerd op het voldoen aan de vereisten: voor informatiebeveiliging (ENSIA) zijn dat de BIO-normen en voor privacybescherming de AVG. Verwijs in de nota bijvoorbeeld naar het goede voorbeeld in Hilversum.
• hoe je als raad die informatie agendeert en behandelt, en hoe je de vinger aan de pols houdt. Overweeg om een externe toets of second opinion te vragen, of een adviseur in te schakelen.

Overweeg de accountant de opdracht te geven voor een IT-audit
De gemeenteraad is opdrachtgever van de accountant. Overweeg vanuit die rol de accountant een IT-audit te laten uitvoeren. Maak bij het formuleren van die opdracht gebruik van de ervaringen die de raad van Nijmegen hiermee de afgelopen vier jaar heeft opgedaan. Vraag de accountant om consistente rapportages, zodat je als raad van jaar tot jaar kunt zien of aanbevelingen al dan niet zijn opgevolgd.

organisatie, werkprocessen en uitvoering

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

calamiteiten en risicobeheersing

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Voer zo snel mogelijk een organisatiebrede risicoanalyse uit
Vraag het college om zo snel mogelijk een organisatiebrede risicoanalyse te (laten) uitvoeren voor zowel informatiebeveiliging als privacybescherming. Kom op basis hiervan tot bestuurlijke besluitvorming over risico’s die (niet) acceptabel worden gevonden en vraag het college deze te gebruiken voor het op te stellen meerjaren-uitvoeringsprogramma.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

bewustwording, kennis en kunde in de organisatie

Zet volop en systematisch in op bewustwording
Vraag het college om door te gaan op de weg van het vergroten van de bewustwording van medewerkers en dit meer systematisch aan te pakken, door ook hierbij te werken op basis van een risicoanalyse en volgens de
PDCA-cyclus. Vraag het college bewustwording vanaf 2023 op te nemen als onderdeel van de jaarplannen
voor informatiebeveiliging en privacybescherming, en daarbij ook aandacht te hebben voor bewustwordingsmaatregelen voor specifieke groepen medewerkers.

beveiliging en autorisatie

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

kwetsbaarheid ICT en Informatiesystemen

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Voer zo snel mogelijk een organisatiebrede risicoanalyse uit
Vraag het college om zo snel mogelijk een organisatiebrede risicoanalyse te (laten) uitvoeren voor zowel informatiebeveiliging als privacybescherming. Kom op basis hiervan tot bestuurlijke besluitvorming over risico’s die (niet) acceptabel worden gevonden en vraag het college deze te gebruiken voor het op te stellen meerjaren-uitvoeringsprogramma.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

De rekenkamer beveelt Gedeputeerde Staten aan om, gezien de risico’s en mogelijke gevolgen van beveiligingsinbreuken voor de provincie, op de ingeslagen weg verder te gaan en daarbij wat betreft:

• Kaders en richtlijnen: voorkom bij de op handen zijnde actualisatie van het informatie(beveiligings)beleid, zoveel als mogelijk, versplintering over meerdere documenten en geef in de documenten duidelijkheid over de status ervan en de samenhang met andere documenten.
• Uitvoering: zorg voor voldoende continuïteit in de ingevulde verruimde capaciteit, daadwerkelijk en voortvarend doorzetten van voorgenomen (verbeter)acties (waaronder bewustwording) en strakkere sturing op naleving van kaders, richtlijnen, procedures en werkafspraken.

budget en personele inzet

Aanveling aan GS:

• Uitvoering: zorg voor voldoende continuïteit in de ingevulde verruimde capaciteit.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Provinciale Staten roepen we op, mede met het oog op hun controlerende rol, om alert te blijven op de informatieverstrekking door Gedeputeerde Staten over informatieveiligheid en/of zelf meer structureel aandacht te vragen voor het onderwerp.

Controlerende rol gemeenteraad / PS

Provinciale Staten roepen we op, mede met het oog op hun controlerende rol, om alert te blijven op de informatieverstrekking door Gedeputeerde Staten over informatieveiligheid en/of zelf meer structureel aandacht te vragen voor het onderwerp.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Provinciale Staten roepen we op, mede met het oog op hun controlerende rol, om alert te blijven op de informatieverstrekking door Gedeputeerde Staten over informatieveiligheid en/of zelf meer structureel aandacht te vragen voor het onderwerp.

organisatie, werkprocessen en uitvoering

De rekenkamer beveelt Gedeputeerde Staten aan om, gezien de risico’s en mogelijke gevolgen van beveiligingsinbreuken voor de provincie, op de ingeslagen weg verder te gaan en daarbij wat betreft:

• Uitvoering: zorg voor voldoende continuïteit in de ingevulde verruimde capaciteit, daadwerkelijk en voortvarend doorzetten van voorgenomen (verbeter)acties (waaronder bewustwording) en strakkere sturing op naleving van kaders, richtlijnen, procedures en werkafspraken.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

De rekenkamer beveelt Gedeputeerde Staten aan om, gezien de risico’s en mogelijke gevolgen van beveiligingsinbreuken voor de provincie, op de ingeslagen weg verder te gaan en daarbij wat betreft:

• Uitvoering: zorg voor voldoende continuïteit in de ingevulde verruimde capaciteit, daadwerkelijk en voortvarend doorzetten van voorgenomen (verbeter)acties (waaronder bewustwording) en strakkere sturing op naleving van kaders, richtlijnen, procedures en werkafspraken.

Ook bevelen we PS aan om gebruik te maken van het aanbod van Gedeputeerde Staten om een sessie te organiseren voor PS in het kader van bewustwording.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

Provinciale Staten roepen we op om:
GS financieel in staat te blijven stellen om de ingeslagen weg voort te kunnen zetten.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

Provinciale Staten roepen we op om:
zelf structureel aandacht te blijven schenken aan informatieveiligheid. Bewaak de toezegging van GS met betrekking tot informatieverstrekking en voorlichting en grijp bijvoorbeeld de verkiezingen 2023 aan om in het introductieprogramma voor (nieuwe) Statenleden aandacht te besteden aan informatieveiligheid.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Provinciale Staten roepen we op om:
zelf structureel aandacht te blijven schenken aan informatieveiligheid. Bewaak de toezegging van GS met betrekking tot informatieverstrekking en voorlichting en grijp bijvoorbeeld de verkiezingen 2023 aan om in het introductieprogramma voor (nieuwe) Statenleden aandacht te besteden aan informatieveiligheid.

organisatie, werkprocessen en uitvoering

-

calamiteiten en risicobeheersing

De rekenkamer beveelt Gedeputeerde Staten aan om, gezien de risico’s en mogelijke gevolgen van beveiligingsinbreuken voor de provincie, haar handelen op de ingeslagen weg voort te zetten en continuïteit van de ingevulde verruimde capaciteit te waarborgen.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Aanbeveling aan de raad:
Verzoek het College het informatieveiligheidsbeleid te herijken en daarbij te voldoen aan de verplichte BIO en stel dit beleid op basis daarvan als Raad vast. Herhaal dit elke raadsperiode en heb in dit beleid oog voor mens, organisatie en techniek.

budget en personele inzet

Aanbeveling aan het college en de raad:
Neem de geldelijke waardering van het risico op informatieveiligheid realistisch op in de risicoparagraaf van de gemeentelijke begroting en in de jaarrekening. Denk bij het inschatten van dit risico bijvoorbeeld aan de kosten van

• forensisch onderzoek
• onderzoek welke data is nu precies gestolen is
• vervanging van alle buitgemaakte gegevens van documenten (bijvoorbeeld paspoorten of rijbewijzen van burgers)
• het inrichten van een call center
• het opnieuw opstarten of zelfs opnieuw inrichten van systemen

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Aanbeveling aan de raad:
Verzoek het College het informatieveiligheidsbeleid te herijken en daarbij te voldoen aan de verplichte BIO en stel dit beleid op basis daarvan als Raad vast. Herhaal dit elke raadsperiode en heb in dit beleid oog voor mens, organisatie en techniek.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Aanbeveling aan de raad:
Verzoek het College jaarlijks een risicoanalyse op het onderwerp informatieveiligheid te maken en de raad over de risico’s en de acties die het College daarop onderneemt te informeren.

Aanbeveling aan het college en de raad:
Neem de geldelijke waardering van het risico op informatieveiligheid realistisch op in de risicoparagraaf van de gemeentelijke begroting en in de jaarrekening. Denk bij het inschatten van dit risico bijvoorbeeld aan de kosten van

• forensisch onderzoek
• onderzoek welke data is nu precies gestolen is
• vervanging van alle buitgemaakte gegevens van documenten (bijvoorbeeld paspoorten of rijbewijzen van burgers)
• het inrichten van een call center
• het opnieuw opstarten of zelfs opnieuw inrichten van systemen

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Aanbeveling aan de raad:
Verzoek het College het risicobewustzijn bij de medewerkers te verbeteren. Denk daarbij bijvoorbeeld aan thuiswerken, koop niet in zonder de CISO of de functionaris gegevensverwerking te raadplegen en verbeter de uitvoering van het toegangsbeleid voor het gemeentehuis.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Aanbevelingen aan de raad:
Verzoek het College het informatieveiligheidsbeleid te herijken en daarbij te voldoen aan de verplichte BIO en stel dit beleid op basis daarvan als Raad vast. Herhaal dit elke raadsperiode en heb in dit beleid oog voor mens, organisatie en techniek.

Verzoek het College het risicobewustzijn bij de medewerkers te verbeteren. Denk daarbij bijvoorbeeld aan thuiswerken, koop niet in zonder de CISO of de functionaris gegevensverwerking te raadplegen en verbeter de uitvoering van het toegangsbeleid voor het gemeentehuis.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Aanbeveling aan de raad:
Verzoek het College het informatieveiligheidsbeleid te herijken en daarbij te voldoen aan de verplichte BIO en stel dit beleid op basis daarvan als Raad vast. Herhaal dit elke raadsperiode en heb in dit beleid oog voor mens, organisatie en techniek.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Aanbeveling aan het college en de raad:
Eis van De Som dat zij alle relevante certificaten, normeringen en Service Level Agreement heeft en houdt. Neem hierin de bestuurlijke en financiële verantwoordelijkheid die de eigen gemeente ook heeft. Overweeg, als De Som niet aan deze eis kan of wil voldoen, een andere partner te zoeken voor de taken die bij De Som zijn belegd.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Zorg dat ICT over de benodigde middelen beschikt om documentatie op orde te brengen en te houden en er periodiek hersteltesten uitgevoerd kunnen worden zodat vastgesteld kan worden of backups succesvol teruggeplaatst kunnen worden of dat de overeengekomen afspraken ook daadwerkelijk gerealiseerd kunnen worden (Service Niveau Overeenkomst & Producten en Diensten Catalogus).

Sturende rol college / GS

Dit dient op korte termijn (< 3 maanden) ontwikkeld en uitgevoerd te worden:
Maak duidelijk welke verwachtingen het college heeft van de lijnmanagers ten aanzien van informatiebeveiliging en zorg ervoor dat zij met behulp van kennisoverdracht ook in staat zijn om hun taken, verantwoordelijkheden en bevoegdheden ten aanzien van informatiebeveiliging uit te voeren. Zij kunnen hierin geadviseerd en ondersteund worden door de CISO en ISO.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Dit dient op korte termijn (< 3 maanden) ontwikkeld en uitgevoerd te worden:
Geadviseerd wordt om het college te vragen om een uitgebreid plan (roadmap) op te laten stellen waarin zij beschrijft hoe de naleving van de BIO en daarmee ook de volwassenheid ten aanzien van informatiebeveiliging op korte termijn aantoonbaar wordt verbeterd.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Dit dient op korte termijn (< 3 maanden) ontwikkeld en uitgevoerd te worden:
Introduceer integraal risicomanagement zodat alle risico’s, dus niet alleen in het kader van informatiebeveiliging, op dezelfde manier worden geïdentificeerd, geclassificeerd en behandeld. Voer zo snel mogelijk risicoanalyses uit voor de bedrijfskritische processen en bedrijfsmiddelen zodat deze adequaat beheerst kunnen worden.

Dit dient op korte termijn (< 3 maanden) ontwikkeld en uitgevoerd te worden:
Zorg dat de basisprocessen van ICT op orde worden gebracht en monitor deze nauwlettend om ongewenste situaties te voorkomen. De Informatiebeveiligingsdienst (IBD) biedt advies en hulpmiddelen aan die kunnen helpen om dit proces te versnellen. De BIO is niet heel technisch van aard, daarom wordt sterk aanbevolen om minimaal de zes basismaatregelen van het Center for Internet Security (CIS)13 volledig te implementeren. Wanneer aan deze basis wordt voldaan kan ongeveer 80% van de meest voorkomende cyberaanvallen worden afgewend.

Checks - Audits - Evaluatie - Risicoanalyse

Dit dient op korte termijn (< 3 maanden) ontwikkeld en uitgevoerd te worden:
Voer op korte termijn een nieuwe penetratietest uit op de ICT-infrastructuur om inzicht te verkrijgen in (mogelijke) kwetsbaarheden. Daarnaast wordt sterk aanbevolen om geautomatiseerde kwetsbaarhedenscans uit te voeren waarmee periodiek gemonitord wordt op kwetsbaarheden. Met name vanwege een tekort aan detectiemogelijkheden is het tijdig verhelpen van kwetsbaarheden van essentieel belang om misbruik te voorkomen.

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Zorg dat duidelijk is op welke locaties zich bedrijfsmiddelen van Overbetuwe bevinden, zodat daar adequate beveiliging op kan worden toegepast. Voer risicoanalyses uit om inzicht te verkrijgen in fysieke beveiligingsrisico’s. Zorg er daarnaast voor dat er voor iedere locatie een verantwoordelijke is voor fysieke (toegangs)beveiliging.

informatie voor college / GS

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Betrek het college en de raad meer en vaker bij het onderwerp informatiebeveiliging. Zorg ervoor dat zij vaker pro-actief worden geïnformeerd worden over de status van informatiebeveiliging en op de hoogte worden gehouden van de belangrijkste ontwikkelingen daarin.

informatie voor de raad / PS

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Betrek het college en de raad meer en vaker bij het onderwerp informatiebeveiliging. Zorg ervoor dat zij vaker pro-actief worden geïnformeerd worden over de status van informatiebeveiliging en op de hoogte worden gehouden van de belangrijkste ontwikkelingen daarin.

organisatie, werkprocessen en uitvoering

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Integreer informatiebeveiliging nadrukkelijker in het indiensttredingsproces zodat nieuwe medewerkers ‘secure-by-design’ worden ingewerkt. Laat hen bijvoorbeeld kennisnemen van geldend beleid, processen en procedures en laat hen een verklaring ondertekenen waarin zij verklaren kennis te hebben genomen van en dit zullen naleven. Hiermee wordt ook direct aantoonbaarheid geborgd. De CISO kan hierbij ondersteunen.

Dit dient op korte termijn (< 3 maanden) ontwikkeld en uitgevoerd te worden:
Identificeer de kritische bedrijfsmiddelen, voorzie deze van de betrouwbaarheidseisen en koppel deze aan eigenaren. Zo weet het management waar adequate beveiliging de hoogste prioriteit heeft en heeft het lijnmanagement scherp waarvoor zij verantwoordelijk is.

Dit dient op korte termijn (< 3 maanden) ontwikkeld en uitgevoerd te worden:
Geadviseerd wordt om minimaal de verplichte beleidsstukken van de BIO op te stellen en formeel vast te stellen waarmee op een gedetailleerder niveau invulling gegeven wordt aan de strategische doelstellingen van Overbetuwe. Daarnaast stelt dit het management in staat om gericht controlewerkzaamheden uit te voeren waarmee vastgesteld kan worden of de gewenste resultaten zijn bereikt.

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Zorg ervoor dat de planning met betrekking tot informatiebeveiliging alle verplichte activiteiten bevat voor het continu verbeteren daarvan. Denk hierbij aan documentatiereview, risicomanagement, interne - en externe audits, concretiseren van doelstellingen, leveranciersmanagement en in - en externe onderwerpen die van invloed kunnen zijn op het managementsysteem voor informatiebeveiliging, et cetera.

calamiteiten en risicobeheersing

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Zorg ervoor dat bewijslast (‘evidence’), waarmee aangetoond kan worden dat wordt voldaan aan BIO-eisen, wordt vastgelegd op een centrale locatie, zodat een helder overzicht ontstaat van de tekortkomingen ten opzichte van de BIO. Het management is zo beter in staat om gericht actie te ondernemen waar nodig.

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Zorg dat duidelijk is op welke locaties zich bedrijfsmiddelen van Overbetuwe bevinden, zodat daar adequate beveiliging op kan worden toegepast. Voer risicoanalyses uit om inzicht te verkrijgen in fysieke beveiligingsrisico’s. Zorg er daarnaast voor dat er voor iedere locatie een verantwoordelijke is voor fysieke (toegangs)beveiliging.

Dit dient op langere termijn (< 12 maanden) ontwikkeld en uitgevoerd te worden:
Overweeg om de Crime Prevention Through Environmental Design (CPTED) principes toe te passen om gewenst gedrag te stimuleren en om ongewenst gedrag te beperken. CPTED maakt op slimme wijze gebruik van de omgeving om beveiligingsrisico’s te verkleinen.

bewustwording, kennis en kunde in de organisatie

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Hou vast aan de huidige aanpak van het structureel verhogen van het beveiligingsbewustzijn onder alle medewerkers. Zorg ervoor dat wordt vastgelegd welke basiskennis noodzakelijk is voor welke functies en of rollen. Afhankelijk van de functie of rol kan het benodigde beveiligingsbewustzijn variëren. Leg daarnaast vast welke medewerkers aan welke bewustwordingsactiviteiten hebben deelgenomen om de aantoonbaarheid te borgen en om medewerkers te kunnen aanspreken die niet hebben deelgenomen. Het implementeren van een Leermanagementsysteem (LMS) kan bijdragen aan het verbeteren en borgen van de aanbevelingen uit de categorie ‘Mens’.

beveiliging en autorisatie

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Zorg dat duidelijk is op welke locaties zich bedrijfsmiddelen van Overbetuwe bevinden, zodat daar adequate beveiliging op kan worden toegepast. Voer risicoanalyses uit om inzicht te verkrijgen in fysieke beveiligingsrisico’s. Zorg er daarnaast voor dat er voor iedere locatie een verantwoordelijke is voor fysieke (toegangs)beveiliging.

kwetsbaarheid ICT en Informatiesystemen

Dit dient binnen een redelijke termijn (< 6 maanden) te worden ontwikkeld en uitgevoerd:
Zorg dat ICT over de benodigde middelen beschikt om documentatie op orde te brengen en te houden en er periodiek hersteltesten uitgevoerd kunnen worden zodat vastgesteld kan worden of backups succesvol teruggeplaatst kunnen worden of dat de overeengekomen afspraken ook daadwerkelijk gerealiseerd kunnen worden (Service Niveau Overeenkomst & Producten en Diensten Catalogus).

aansluiting op Informatiebeveiligingsdienst (IBD)

Dit dient op korte termijn (< 3 maanden) ontwikkeld en uitgevoerd te worden:
Zorg dat de basisprocessen van ICT op orde worden gebracht en monitor deze nauwlettend om ongewenste situaties te voorkomen. De Informatiebeveiligingsdienst (IBD) biedt advies en hulpmiddelen aan die kunnen helpen om dit proces te versnellen.

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Verzoek GS meer aandacht te besteden aan de borging van het beleid zodat de uitvoering in lijn met het beleid is en het beleid actueel en volledig blijft.

budget en personele inzet

Verzoek GS de capaciteit en verankering van informatieveiligheid in de organisatie in overeenstemming te brengen met de ambities.

Sturende rol college / GS

Verzoek GS verantwoording af te leggen over informatieveiligheid en dat ook binnen de organisatie beter te borgen.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Verzoek GS vaart te maken met de implementatie van een Information Security Management System. Besteed daarbij in ieder geval aandacht aan de onderdelen ‘check’ en ‘act’ uit de Plan-do-check-act-cyclus.

Verzoek GS regie te houden op informatieveiligheid door dit bij (externe) dienstverleners actief te (laten) controleren en de opvolging te monitoren.

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Verzoek GS meer aandacht te besteden aan de borging van het beleid zodat de uitvoering in lijn met het beleid is en het beleid actueel en volledig blijft.

Verzoek GS verantwoording af te leggen over informatieveiligheid en dat ook binnen de organisatie beter te borgen.

Verzoek GS de capaciteit en verankering van informatieveiligheid in de organisatie in overeenstemming te brengen met de ambities.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Verzoek GS aandacht te blijven schenken aan het vergroten van bewustwording van medewerkers rondom informatieveiligheid. Besteed hierbij extra aandacht aan medewerkers die werken met vertrouwelijke informatie.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Verzoek GS regie te houden op informatieveiligheid door dit bij (externe) dienstverleners actief te (laten) controleren en de opvolging te monitoren.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Borg de samenhang in het beleid.
Zorg voor samenhang in beleid. Maak duidelijk hoe de PDCA-cyclus voor privacy concreet in elkaar steekt. Expliciteer daarbij welke sturingsinstrumenten en momenten er zijn (bijvoorbeeld in de vorm van rapportages, presentaties, (management)reviews, etc).

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Betrek de gemeenteraad:
Stel de raad in de gelegenheid kennis te nemen van de volle breedte van het privacy- en informatiebeveiligingsbeleid, en geef daarbij aan welke afwegingen er zijn gemaakt, bijvoorbeeld tussen enerzijds het belang van privacy en anderzijds dienstverlening. Ga daarbij vooral in op hoe privacy is geregeld in het sociaal domein en bij andere vitale onderdelen zoals de BRP. Laat zien hoe de 'governance', de privacy-organisatie, werkt. Laat zien hoe de rechten van de burgers zijn geregeld. Maak van zaken aangaande privacy en beveiliging een paragraaf in de bestuursrapportages. Geef de nieuwe raad de gelegenheid zich op dit onderwerp bij te scholen. Geef de raad tevens handvatten voor het invullen van de controlerende verantwoordelijkheden bij het privacybeleid en informatiebeveiliging, in het bijzonder op het sociaal domein.

Controlerende rol gemeenteraad / PS

Betrek de gemeenteraad:
Stel de raad in de gelegenheid kennis te nemen van de volle breedte van het privacy- en informatiebeveiligingsbeleid, en geef daarbij aan welke afwegingen er zijn gemaakt, bijvoorbeeld tussen enerzijds het belang van privacy en anderzijds dienstverlening. Ga daarbij vooral in op hoe privacy is geregeld in het sociaal domein en bij andere vitale onderdelen zoals de BRP. Laat zien hoe de 'governance', de privacy-organisatie, werkt. Laat zien hoe de rechten van de burgers zijn geregeld. Maak van zaken aangaande privacy en beveiliging een paragraaf in de bestuursrapportages. Geef de nieuwe raad de gelegenheid zich op dit onderwerp bij te scholen. Geef de raad tevens handvatten voor het invullen van de controlerende verantwoordelijkheden bij het privacybeleid en informatiebeveiliging, in het bijzonder op het sociaal domein.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

-

informatie voor de raad / PS

Laat zien wat je doet:
Laat zien waarom privacy belangrijk is en een kernwaarde van de gemeentelijke organisatie is. Geef aan wat de uitgangspunten van het beleid zijn en hoe het uitgevoerd en gecontroleerd wordt. Maak van dit hele stelsel een begrijpelijk overzicht voor de gemeenteraad, Adviesraad Sociaal Domein, belangstellende burgers en de eigen medewerkers. Betrek ook op die manier de gemeenteraad bij dit onderwerp.

organisatie, werkprocessen en uitvoering

Maak werkinstructies voor de uitvoering:
Tijdens de gesprekken met medewerkers sociaal domein zijn verschillende vragen gerezen over de wijze waarop in sommige situaties gehandeld moet worden. Licht daarom samen met medewerkers de processen door op privacy-aspecten, breng in kaart waar die vragen leven en borg de antwoorden waar nodig in (specifiek) beleid. Wij bevelen aan om te beginnen met het uitvoeren van PIA’s en daarna maatregelen uit te werken en werkinstructies op te stellen of aan te passen. Deze dienen vervolgens geïmplementeerd te worden, bijvoorbeeld door ze toe te lichten tijdens werkoverleggen.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Houd privacy levend in de organisatie:
Houd privacy hoog op de agenda bij medewerkers en maak een plan om dat gestructureerd te doen. Dat kan bijvoorbeeld door het onderwerp met enige regelmaat te agenderen in werkoverleggen en daar casussen en ‘lastige situaties’ te bespreken. Of door geplande organisatiebrede opfrisacties. Dat gebeurt nu, in het kader van de AVG, maar moet onderdeel worden van de leer- en verbetercyclus. Het is belangrijk dat medewerkers automatisch aan het onderwerp toekomen en dat zij zo ruimte krijgen om hun professionele aanpak te borgen. Zorg dat privacy leeft! Ook een volgroeide boom heeft aandacht nodig.

Laat zien wat je doet:
Laat zien waarom privacy belangrijk is en een kernwaarde van de gemeentelijke organisatie is. Geef aan wat de uitgangspunten van het beleid zijn en hoe het uitgevoerd en gecontroleerd wordt. Maak van dit hele stelsel een begrijpelijk overzicht voor de gemeenteraad, Adviesraad Sociaal Domein, belangstellende burgers en de eigen medewerkers. Betrek ook op die manier de gemeenteraad bij dit onderwerp.

beveiliging en autorisatie

Regel autorisaties en controle:
Autorisaties van medewerkers dienen zo strak mogelijk ingeregeld te worden, met de werkbaarheid in acht genomen. De gemeente moet voorkomen systemen volledig open te zetten voor alle medewerkers van een team of afdeling enkel en alleen omdat dit handig is; er moet een duidelijke noodzaak zijn voor ruime autorisaties. De regels voor wie wanneer persoonsgegevens mag inzien moeten duidelijk worden opgenomen in de werkinstructies. Wanneer er noodzaak is voor ruimte in de autorisaties dan is het van belang om de toegang tot informatie periodiek en/of steekproefsgewijs te controleren. Op deze manier kan de naleving van het privacybeleid en de genomen maatregelen getoetst worden.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

Verbeter de informatie aan burgers, maak werk van de actieve informatieplicht:
Verbeter de informatievoorziening aan de burgers. In dat verband kan allereerst worden gewezen op het uitbrengen van een folder in eenvoudige (B1-)taal. Daarnaast moet informatie op schrift worden gegeven voor specifieke procedures, zoals in het sociaal domein of bij het opvragen van eigen gegevens door inwoners uit de BRP. Tenslotte moeten medewerkers met cliëntencontacten worden geïnstrueerd in het actief verschaffen van maatwerk-informatie over de rechten van de betrokkene en op welke manier hun informatie gedeeld wordt. Raadpleeg de Adviesraad Sociaal Domein of cliëntenpanels voor de manier waarop cliënten het beste geïnformeerd kunnen worden.

Ga in gesprek met burgers / cliënten:
Investeer actief in het verkrijgen van een goed beeld van ervaringen, vragen en zorgen van burgers met betrekking tot privacy. Ga tevens na wat de gemeente kan doen om daar op een goede manier mee om te gaan. Neem het onderwerp op in cliëntervaringsonderzoeken en bevraag hierover de cliëntenvertegenwoordiging.

Laat zien wat je doet:
Laat zien waarom privacy belangrijk is en een kernwaarde van de gemeentelijke organisatie is. Geef aan wat de uitgangspunten van het beleid zijn en hoe het uitgevoerd en gecontroleerd wordt. Maak van dit hele stelsel een begrijpelijk overzicht voor de gemeenteraad, belangstellende burgers en de eigen medewerkers. Betrek ook op die manier de gemeenteraad bij dit onderwerp.

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

-

Sturende rol college / GS

Aanbeveling voor het college:
Breng de I-organisatie op orde:
Op dit moment zijn te veel taken belegd bij de CISO (Chief Information Security Officer) en de Privacy Officer. Dat is om meerdere redenen kwetsbaar: vanuit het oogpunt van vervangbaarheid, maar ook omdat daarmee een aanspreekpunt/verantwoordelijke op de afdelingen ontbreekt. Vanuit de CISO en de Privacy Officer komt het signaal dat zij taken niet kwijt kunnen op de afdelingen. We raden daarom aan om de organisatiestructuur uit te bouwen met verantwoordelijken voor informatiebeveiliging op de afdelingen (Information Security Officers).
Ten aanzien van de organisatie raden we ook aan om opnieuw afspraken te maken over de verantwoordingslijn uitvoerend medewerkers – directie BAR-organisatie – college. Er zijn nu uiteenlopende beelden over of de informatiestromen voldoende zijn en of informatie over informatiebeveiligingsrisico’s op het goede niveau wordt behandeld.

Aanbeveling voor het college:
Breng in kaart welke processen door automatisering veiliger zouden worden:
Uit het onderzoek blijkt dat er processen zijn waar door veel verschillende personen handmatig iets wordt veranderd. Een voorbeeld van een proces waar dit nu goed geregeld wordt, zijn de autorisaties voor de toegang tot systemen. Dit verliep voorheen handmatig: op het moment dat er een wijziging werd doorgevoerd, ontvingen alle applicatiebeheerders hier een melding van. Vervolgens was het aan de applicatiebeheerders zelf om de wijzigingen door te voeren. De afgelopen maanden is er gewerkt aan een nieuw Identity Access Management-systeem, waarin de stappen automatisch worden gezet. Naar aanleiding van dit onderzoek gaat de rekenkamer ervan uit dat er meerdere processen zijn waar deze professionaliseringsslag gemaakt kan worden. Wij raden aan om deze processen in kaart te brengen en waar mogelijk de handmatige handelingen overbodig te maken.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Aanbeveling aan de raad:
Vergroot de betrokkenheid van de raadsleden op de thema’s privacy en informatieveiligheid:
De raad stelt weinig vragen over de thema’s privacy en informatieveiligheid. De rekenkamer is van mening dat dit onderzoek aanleiding geeft om ook als raad meer betrokken te zijn op het thema, bijvoorbeeld door vragen te stellen, door periodiek in gesprek te gaan met de uitvoerend medewerkers over dit thema of door eisen te stellen aan de informatievoorziening op dit vlak.

Controlerende rol gemeenteraad / PS

Aanbeveling aan de raad:
Vergroot de betrokkenheid van de raadsleden op de thema’s privacy en informatieveiligheid:
De raad stelt weinig vragen over de thema’s privacy en informatieveiligheid. De rekenkamer is van mening dat dit onderzoek aanleiding geeft om ook als raad meer betrokken te zijn op het thema, bijvoorbeeld door vragen te stellen, door periodiek in gesprek te gaan met de uitvoerend medewerkers over dit thema of door eisen te stellen aan de informatievoorziening op dit vlak.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Aanbeveling voor het college:
Laat een externe partij tweejaarlijks de staat van informatiebeveiliging controleren:
De controles die op dit moment zijn ingericht op de informatiebeveiliging, zijn zelfaudits. We raden aan om periodiek ook een externe partij mee te laten kijken naar de wijze waarop de informatiebeveiliging geregeld is in Ridderkerk.

informatie voor college / GS

-

informatie voor de raad / PS

Aanbeveling aan de raad:
Vergroot de betrokkenheid van de raadsleden op de thema’s privacy en informatieveiligheid:
De raad stelt weinig vragen over de thema’s privacy en informatieveiligheid. De rekenkamer is van mening dat dit onderzoek aanleiding geeft om ook als raad meer betrokken te zijn op het thema, bijvoorbeeld door vragen te stellen, door periodiek in gesprek te gaan met de uitvoerend medewerkers over dit thema of door eisen te stellen aan de informatievoorziening op dit vlak.

organisatie, werkprocessen en uitvoering

Aanbeveling voor het college:
Breng de I-organisatie op orde:
Op dit moment zijn te veel taken belegd bij de CISO (Chief Information Security Officer) en de Privacy Officer. Dat is om meerdere redenen kwetsbaar: vanuit het oogpunt van vervangbaarheid, maar ook omdat daarmee een aanspreekpunt/verantwoordelijke op de afdelingen ontbreekt. Vanuit de CISO en de Privacy Officer komt het signaal dat zij taken niet kwijt kunnen op de afdelingen. We raden daarom aan om de organisatiestructuur uit te bouwen met verantwoordelijken voor informatiebeveiliging op de afdelingen (Information Security Officers).
Ten aanzien van de organisatie raden we ook aan om opnieuw afspraken te maken over de verantwoordingslijn uitvoerend medewerkers – directie BAR-organisatie – college. Er zijn nu uiteenlopende beelden over of de informatiestromen voldoende zijn en of informatie over informatiebeveiligingsrisico’s op het goede niveau wordt behandeld.

Aanbeveling voor het college:
Breng in kaart welke processen door automatisering veiliger zouden worden:
Uit het onderzoek blijkt dat er processen zijn waar door veel verschillende personen handmatig iets wordt veranderd. Een voorbeeld van een proces waar dit nu goed geregeld wordt, zijn de autorisaties voor de toegang tot systemen. Dit verliep voorheen handmatig: op het moment dat er een wijziging werd doorgevoerd, ontvingen alle applicatiebeheerders hier een melding van. Vervolgens was het aan de applicatiebeheerders zelf om de wijzigingen door te voeren. De afgelopen maanden is er gewerkt aan een nieuw Identity Access Management-systeem, waarin de stappen automatisch worden gezet. Naar aanleiding van dit onderzoek gaat de rekenkamer ervan uit dat er meerdere processen zijn waar deze professionaliseringsslag gemaakt kan worden. Wij raden aan om deze processen in kaart te brengen en waar mogelijk de handmatige handelingen overbodig te maken.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

Aanbeveling voor het college:
Breng in kaart welke processen door automatisering veiliger zouden worden:
Uit het onderzoek blijkt dat er processen zijn waar door veel verschillende personen handmatig iets wordt veranderd. Een voorbeeld van een proces waar dit nu goed geregeld wordt, zijn de autorisaties voor de toegang tot systemen. Dit verliep voorheen handmatig: op het moment dat er een wijziging werd doorgevoerd, ontvingen alle applicatiebeheerders hier een melding van. Vervolgens was het aan de applicatiebeheerders zelf om de wijzigingen door te voeren. De afgelopen maanden is er gewerkt aan een nieuw Identity Access Management-systeem, waarin de stappen automatisch worden gezet. Naar aanleiding van dit onderzoek gaat de rekenkamer ervan uit dat er meerdere processen zijn waar deze professionaliseringsslag gemaakt kan worden. Wij raden aan om deze processen in kaart te brengen en waar mogelijk de handmatige handelingen overbodig te maken.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Aanbeveling voor het college:
Richt het toezicht op externe partijen verder in:
Op het moment dat de gemeente een overeenkomst sluit met een externe partij waarbij gegevens van inwoners worden verwerkt, wordt er een verwerkersovereenkomst afgesloten. De gemeente mag ervan uit gaan dat de externe partij zich aan die overeenkomst houdt.
Maar: het is wat de rekenkamercommissie betreft te gemakkelijk om de organisaties blindelings te vertrouwen en verder geen vorm te geven aan het toezicht op externe partijen. Met oog voor de haalbaarheid raden wij aan om het toezicht op externe partijen in te richten.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Pas de in het beleid voorgeschreven dataclassificaties op alle informatiesystemen volledig en juist toe.

budget en personele inzet

Stel voor de uit te voeren beveiligingsmaatregelen de benodigde middelen ter beschikking, voer de maatregelen daadwerkelijk onverkort uit en laat per kwartaal rapporteren over de voortgang en de resultaten daarvan. Grijp in als de resultaten afwijken van de verwachting.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Zorg voor een krachtige centrale sturing op informatiebeveiliging binnen de gemeente.

• Draag zorg voor voldoende ‘awareness’ en expertise bij het lijnmanagement en de medewerkers die verantwoordelijk zijn voor de informatiehuishouding;
• Beoordeel of de CISO in financieel en functioneel opzicht effectieve doorzettingsmacht heeft om op decentraal niveau goede informatiebeveiliging en compliance aan centrale voorschriften af te dwingen.
• Laat regelmatig onafhankelijke audits uitvoeren op de beveiliging van informatiehuishouding en handel naar de bevindingen.

Leg vast welke informatiesystemen voor misbruik kwetsbare gegevens bevatten.
Maak voor deze systemen periodiek een risicoanalyse, waarbij:

• een inschatting wordt gemaakt van de kans dat een risico zich voordoet;
• een inschatting wordt gemaakt van de impact als een risico zich voordoet; hierbij gaat het niet alleen om gevolgen voor de gemeentelijke organisatie, maar met name ook voor de burgers;
• bij de risico’s behorende beveiligingsmaatregelen en inschatting van de benodigde financiële middelen worden geformuleerd.

Pak systematisch en gericht de diverse kwetsbaarheden aan die uit de interne penetratietest naar voren zijn gekomen en monitor dit door middel van een kwartaalrapportage. Beoordeel uiterlijk na een jaar aan de hand van een nieuwe interne penetratietest uit of de kwetsbaarheden naar behoren zijn aangepakt.

Versterk het bewustzijn van medewerkers ten aanzien van informatiebeveiliging.
Beoordeel met testen in welke mate het awareness programma effectief is geweest.

Beoordeel uiterlijk na een jaar met een nieuwe externe penetratietest of er nog kwetsbaarheden in de beveiliging tegen cyberaanvallen zitten en neem eventuele passende maatregelen.

Verbeter de informatiebeveiliging van de onderzochte applicaties in lijn met de BIG en daarmee het gemeentelijk beleid. Realiseer daartoe in ieder geval het volgende:

• Zorg voor actieve betrokkenheid van het management als (gemandateerde) eigenaars van de gegevens.
• Richt volwassen servicemanagement in, inclusief verantwoording, zodat de algemene beheersing over de applicatie beoordeeld kan worden.
• Vul eigenaarschap van gegevens in, zoals bijvoorbeeld het beheer over het aanmaken, wijzigen, raadplegen, verwijderen, inclusief de vertrouwelijkheidsclassificatie.
• Voer periodiek een risicoanalyse uit.

informatie voor college / GS

Stel voor de uit te voeren beveiligingsmaatregelen de benodigde middelen ter beschikking, voer de maatregelen daadwerkelijk onverkort uit en laat per kwartaal rapporteren over de voortgang en de resultaten daarvan. Grijp in als de resultaten afwijken van de verwachting.

Pak systematisch en gericht de diverse kwetsbaarheden aan die uit de interne penetratietest naar voren zijn gekomen en monitor dit door middel van een kwartaalrapportage. Beoordeel uiterlijk na een jaar aan de hand van een nieuwe interne penetratietest uit of de kwetsbaarheden naar behoren zijn aangepakt.

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Zorg voor een krachtige centrale sturing op informatiebeveiliging binnen de gemeente.

• Draag zorg voor voldoende ‘awareness’ en expertise bij het lijnmanagement en de medewerkers die verantwoordelijk zijn voor de informatiehuishouding;
• Beoordeel of de CISO in financieel en functioneel opzicht effectieve doorzettingsmacht heeft om op decentraal niveau goede informatiebeveiliging en compliance aan centrale voorschriften af te dwingen.
• Laat regelmatig onafhankelijke audits uitvoeren op de beveiliging van informatiehuishouding en handel naar de bevindingen.

Pas de in het beleid voorgeschreven dataclassificaties op alle informatiesystemen volledig en juist toe.

Neem alle mogelijke organisatorische en technische maatregelen om (onbewust) slordig omgaan met vertrouwelijke informatie door medewerkers, en daarmee een soortgelijk datalek als in februari 2016, te voorkomen.

Neem maatregelen tegen de kwetsbaarheden die uit de externe penetratietest van de rekenkamer naar voren zijn gekomen.

Verbeter de informatiebeveiliging van de onderzochte applicaties in lijn met de BIG en daarmee het gemeentelijk beleid. Realiseer daartoe in ieder geval het volgende:

• Zorg voor actieve betrokkenheid van het management als (gemandateerde) eigenaars van de gegevens.
• Richt volwassen servicemanagement in, inclusief verantwoording, zodat de algemene beheersing over de applicatie beoordeeld kan worden.
• Vul eigenaarschap van gegevens in, zoals bijvoorbeeld het beheer over het aanmaken, wijzigen, raadplegen, verwijderen, inclusief de vertrouwelijkheidsclassificatie.
• Voer periodiek een risicoanalyse uit.

calamiteiten en risicobeheersing

Leg vast welke informatiesystemen voor misbruik kwetsbare gegevens bevatten.
Maak voor deze systemen periodiek een risicoanalyse, waarbij:

• een inschatting wordt gemaakt van de kans dat een risico zich voordoet;
• een inschatting wordt gemaakt van de impact als een risico zich voordoet; hierbij gaat het niet alleen om gevolgen voor de gemeentelijke organisatie, maar met name ook voor de burgers;
• bij de risico’s behorende beveiligingsmaatregelen en inschatting van de benodigde financiële middelen worden geformuleerd.

Neem alle mogelijke organisatorische en technische maatregelen om (onbewust) slordig omgaan met vertrouwelijke informatie door medewerkers, en daarmee een soortgelijk datalek als in februari 2016, te voorkomen.

Neem maatregelen tegen de kwetsbaarheden die uit de externe penetratietest van de rekenkamer naar voren zijn gekomen.

bewustwording, kennis en kunde in de organisatie

Zorg voor een krachtige centrale sturing op informatiebeveiliging binnen de gemeente.

• Draag zorg voor voldoende ‘awareness’ en expertise bij het lijnmanagement en de medewerkers die verantwoordelijk zijn voor de informatiehuishouding;
• Beoordeel of de CISO in financieel en functioneel opzicht effectieve doorzettingsmacht heeft om op decentraal niveau goede informatiebeveiliging en compliance aan centrale voorschriften af te dwingen.
• Laat regelmatig onafhankelijke audits uitvoeren op de beveiliging van informatiehuishouding en handel naar de bevindingen.

Versterk het bewustzijn van medewerkers ten aanzien van informatiebeveiliging.
Beoordeel met testen in welke mate het awareness programma effectief is geweest.

beveiliging en autorisatie

Verbeter de toegangsbeveiliging op kantoorlocaties, daarbij gebruikmakend van de uitkomsten van de inlooptesten van de rekenkamer. Beoordeel uiterlijk na een jaar met nieuwe inlooptesten of de zwakke plekken zijn verholpen.

kwetsbaarheid ICT en Informatiesystemen

Leg vast welke informatiesystemen voor misbruik kwetsbare gegevens bevatten.
Maak voor deze systemen periodiek een risicoanalyse, waarbij:

• een inschatting wordt gemaakt van de kans dat een risico zich voordoet;
• een inschatting wordt gemaakt van de impact als een risico zich voordoet; hierbij gaat het niet alleen om gevolgen voor de gemeentelijke organisatie, maar met name ook voor de burgers;
• bij de risico’s behorende beveiligingsmaatregelen en inschatting van de benodigde financiële middelen worden geformuleerd.

Neem alle mogelijke organisatorische en technische maatregelen om (onbewust) slordig omgaan met vertrouwelijke informatie door medewerkers, en daarmee een soortgelijk datalek als in februari 2016, te voorkomen.

Neem maatregelen tegen de kwetsbaarheden die uit de externe penetratietest van de rekenkamer naar voren zijn gekomen.

Verbeter de informatiebeveiliging van de onderzochte applicaties in lijn met de BIG en daarmee het gemeentelijk beleid. Realiseer daartoe in ieder geval het volgende:

• Zorg voor actieve betrokkenheid van het management als (gemandateerde) eigenaars van de gegevens.
• Richt volwassen servicemanagement in, inclusief verantwoording, zodat de algemene beheersing over de applicatie beoordeeld kan worden.
• Vul eigenaarschap van gegevens in, zoals bijvoorbeeld het beheer over het aanmaken, wijzigen, raadplegen, verwijderen, inclusief de vertrouwelijkheidsclassificatie.
• Voer periodiek een risicoanalyse uit.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

-

Sturende rol college / GS

Aanbeveling aan het college:
integraal privacybeleid vast te stellen.

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

Aansporing aan gemeente:
het instellen van automatische logging in de systemen en dit meenemen bij de aanbesteding van nieuwe systemen te implementeren;

Aanbeveling aan het college:

• zorg te dragen dat er een ISMS/PMS wordt geïmplementeerd, mogelijk als aanvullende module op al bestaande applicatie en deze te koppelen aan de PDCA-cyclus;
• het wijzigingsbeheer procesmatig aan te laten pakken;
• zorg te dragen voor logging op de cruciale applicaties en systemen.

Checks - Audits - Evaluatie - Risicoanalyse

Aanbeveling aan het college:
door te gaan met het uitvoeren van pen-testendoor externe ethische hackers en daarmee het interne en externe beveiligingsniveau op het gewenste peil te brengen.

informatie voor college / GS

-

informatie voor de raad / PS

Aanbeveling aan de raad:

• met het college in gesprek te gaan over de wijze waarop de raad geïnformeerd wil worden in het kader van ENSIA, vooral over het vormvrije deel (verbetermaatregelen, meerjarenbeleid en datalekken);
• het college de opdracht te geven in het kader van ENSIA jaarlijks aan de gemeenteraad te rapporteren over de bovenstaande aansporingen en aanbevelingen.

organisatie, werkprocessen en uitvoering

Aanbeveling aan het college:
de positie en capaciteit van de CISO-functie te versterken. Enerzijds door een uitbreiding van de functie van de CISO bij Dienst Dommelvallei, anderzijds door snel een privacy beheerder voorde gemeente Son en Breugel aan te stellen.

calamiteiten en risicobeheersing

Aansporing aan gemeente:
een risicoanalyse en een Jaarplan informatiebeveiliging voor en in 2020 op te stellen, met maatregelen en aangeven van de prioriteiten.

Aanbeveling aan het college:
een integraal continuïteitsplan op te stellen, mede op basis van de ervaringen uit de coronacrisis, en informatiebeveiliging- en privacyaspecten daarin mee te nemen.

bewustwording, kennis en kunde in de organisatie

Aansporing aan gemeente:
in te blijven zetten op vergroting van risicobewustzijn bij medewerkers, management en bestuur.

Aanbeveling aan het college:
een integraal continuïteitsplan op te stellen, mede op basis van de ervaringen uit de coronacrisis, en informatiebeveiliging- en privacyaspecten daarin mee te nemen.

beveiliging en autorisatie

Aansporing aan gemeente:
aan de slag te gaan met de verbetermaatregelen uit de evaluatie van het autorisatieproces

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

Versnel het uitvoeren van de maatregelen in de roadmap. Voor verdere maatregelen is het ook nodig om na te gaan of eerder getroffen maatregelen hebben gewerkt. Zet daarbij het extra geld voor gegevensbescherming en de uitbreiding van de DISO-capaciteit effectief in. Zorg ook binnen de organisatieonderdelen voor voldoende capaciteit.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

-

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Neem de benodigde maatregelen tegen de technische risico’s die bekend zijn. Benut daarbij ook de uitkomsten van (interne en externe) pentesten van het rekenkameronderzoek.

Voer alle benodigde risicoanalyses uit om een totaalbeeld op te kunnen maken van de huidige stand van de risico’s. Benut daarbij de inzet van de extra DISO-capaciteit.

informatie voor college / GS

-

informatie voor de raad / PS

-

organisatie, werkprocessen en uitvoering

Versnel het uitvoeren van de maatregelen in de roadmap. Voor verdere maatregelen is het ook nodig om na te gaan of eerder getroffen maatregelen hebben gewerkt. Zet daarbij het extra geld voor gegevensbescherming en de uitbreiding van de DISO-capaciteit effectief in. Zorg ook binnen de organisatieonderdelen voor voldoende capaciteit.

calamiteiten en risicobeheersing

Neem de benodigde maatregelen tegen de technische risico’s die bekend zijn. Benut daarbij ook de uitkomsten van (interne en externe) pentesten van het rekenkameronderzoek.

Structureer en verhelder zoveel mogelijk de procedure voor het melden van beveiligingsproblemen en -incidenten. Maak deze breed bekend en benadruk (nogmaals) de urgentie ervan.

bewustwording, kennis en kunde in de organisatie

Investeer structureel in het bewustzijn van medewerkers over informatieveiligheid. Besteed daarbij ook aandacht aan tijdelijke en externe medewerkers.

beveiliging en autorisatie

Verbeter de beveiliging van gemeentelijke gebouwen om de toegang voor onbevoegden te voorkomen.

Verbeter het toezicht op en de technische beveiligingsmaatregelen voor informatieveiligheid in de thuiswerksituatie.

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

-

budget en personele inzet

Neem in de gemeentelijke programmabegroting een paragraaf op over de informatiebeveiligingsrisico’s en beheersingsmaatregelen. Neem in de overleggen met de verbonden partij informatiebeveiliging en privacy op als vast agendapunt. Maak met alle partijen afspraken over de gegevensverstrekking, waaronder de uitwisseling van persoonsgegevens.

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Aanbeveling aan de raad:
Vergroot de betrokkenheid van de raad bij informatiebeveiliging en privacy. Dit door (periodiek) in gesprek te gaan met de uitvoerende medewerkers over deze thema’s of door eisen te stellen aan de informatievoorziening op dit vlak.

Controlerende rol gemeenteraad / PS

Aanbeveling aan de raad:
Geef aan het college aan welke informatie nodig is om als effectieve toezichthouder op de informatiebeveiliging en privacybescherming te kunnen functioneren. Laat via de reguliere P&C-producten rapporteren over de voortgang. Agendeer jaarlijks een speciale vergadering gewijd aan informatiebeveiliging.

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Voer minimaal jaarlijks risicoanalyses uit op het gebied van informatiebeveiliging en pas op basis van de uitkomsten het informatiebeveiligingsbeleid aan. Maak hierbij gebruik van de ondersteuningsproducten van de IBD om de onderlinge samenwerking tussen gemeenten en verbonden partijen te stimuleren. Dat geldt ook voor technische risico’s door nieuwe kwetsbaarheden, die dagelijks ontstaan door de voortschrijdende technologie en de inventiviteit van hackers.

informatie voor college / GS

-

informatie voor de raad / PS

Aanbeveling aan de raad:
Geef aan het college aan welke informatie nodig is om als effectieve toezichthouder op de informatiebeveiliging en privacybescherming te kunnen functioneren. Laat via de reguliere P&C-producten rapporteren over de voortgang. Agendeer jaarlijks een speciale vergadering gewijd aan informatiebeveiliging.

Aanbeveling aan de raad:
Volg net als de ambtelijke organisatie als raad tenminste jaarlijks een training in bewustwording over informatiebeveiliging en privacy. Dit kan bijvoorbeeld door hier jaarlijks een raadsinformatiebijeenkomst voor te reserveren en/of door jaarlijks een actuele e-learning module op het onderwerp te doorlopen.

organisatie, werkprocessen en uitvoering

Richt het procesmanagement van de informatiebeveiliging in volgens de PlanDo-Check-Act (PDCA)-cyclus. Dit borgt een gezonde verhouding tussen bedrijfsvoering en beveiligingsmaatregelen door het centraal stellen van risicomanagement en het aldus reduceren van informatiebeveiligingsrisico’s tot een acceptabel niveau. ‘In control’ zijn betekent immers niet ‘geen risico lopen’.

calamiteiten en risicobeheersing

Richt het procesmanagement van de informatiebeveiliging in volgens de PlanDo-Check-Act (PDCA)-cyclus. Dit borgt een gezonde verhouding tussen bedrijfsvoering en beveiligingsmaatregelen door het centraal stellen van risicomanagement en het aldus reduceren van informatiebeveiligingsrisico’s tot een acceptabel niveau. ‘In control’ zijn betekent immers niet ‘geen risico lopen’.

bewustwording, kennis en kunde in de organisatie

-

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

Los de kwetsbaarheden op die uit de penetratietesten zijn gebleken en laat vervolgens periodiek audits en penetratietesten uitvoeren door gespecialiseerde bureaus. Installeer (security) software updates zo snel mogelijk na verschijning. Schakel de verouderde cipher suites uit en schakel moderne veilige cipher suites in. Configureer de security headers op een correcte wijzen en maak gebruik van HSTS-headers en anti-caching headers.

Deel het netwerk in met verschillende logische zones naar gelang de kwetsbaarheid en gevoeligheid van de informatie. Beperk de onderlinge toegang tussen de zones. Stel een patch- en hardeningsbeleid op (voor zover nog niet aanwezig) en monitor de naleving hiervan.

aansluiting op Informatiebeveiligingsdienst (IBD)

Voer minimaal jaarlijks risicoanalyses uit op het gebied van informatiebeveiliging en pas op basis van de uitkomsten het informatiebeveiligingsbeleid aan. Maak hierbij gebruik van de ondersteuningsproducten van de IBD om de onderlinge samenwerking tussen gemeenten en verbonden partijen te stimuleren. Dat geldt ook voor technische risico’s door nieuwe kwetsbaarheden, die dagelijks ontstaan door de voortschrijdende technologie en de inventiviteit van hackers.

inschakeling externen, (keten)partners én controle

Richt het toezicht op de naleving van verwerkersovereenkomsten in. Als verwerkingsverantwoordelijke is de gemeente verantwoordelijk voor de gehele verwerking en keten van (sub)verwerkers. Actief toezicht op het nakomen van de gemaakte afspraken, waaronder de naleving van de beveiligingsmaatregelen, is noodzakelijk. In de regel geschiedt dit door eens per jaar om een verantwoording te vragen bij de verwerker.

Betrek de relevante verbonden partijen bij het (regionaal) overleg voor CISO’s en/of FG’s ten behoeve van kennis- en ervaring uitwisseling. De bij dit onderzoek betrokken organisaties zijn op het gebied van informatiebeveiliging en privacy met dezelfde zaken bezig en er valt de nodige winst te behalen door elkaar meer op te zoeken en met elkaar af te stemmen.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Verhelder het beleid voor informatiebeveiliging en privacybescherming

• Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming te versterken door het in ieder geval aan te vullen met een visie, ambitie en speerpunten. Dit vormt ook de basis voor de bewustwording in de organisatie. Vraag het college het beleidsplan ter besluitvorming aan de raad voor te leggen.
• Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

budget en personele inzet

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Stel voldoende middelen beschikbaar
Vraag het college om de raad voor te leggen wat er nodig is qua financiële en personele middelen, op basis van het op te stellen meerjarenuitvoeringsprogramma en de jaarplannen. Die belangrijke documenten vragen om bespreking en besluitvorming in het college.

Geef de CISO en FG de beschikking over een eigen budget
Vraag het college om in lijn met het advies van de IBD het budget waarover de CISO kan beschikken te specificeren in het jaarplan en de begroting. Doe dat ook voor de FG. Op deze manier kunnen CISO en FG hun rol vanuit de 3e lijn beter waarmaken.

Sturende rol college / GS

Besteed meer bestuurlijke aandacht aan informatiebeveiliging en privacybescherming in de gemeente
Vraag het college - in lijn met VNG-resolutie 2021 en de 10 bestuurlijke principes voor informatiebeveiliging - om de portefeuilles informatiebeveiliging en privacybescherming voldoende gewicht te geven en systematisch aandacht te besteden in de collegevergaderingen aan zaken zoals risico’s, beleid, prioritering, benodigde middelen, jaarplannen, monitoring, voortgangs- en verantwoordingsrapportages en de eigen bewustwording. Het is verstandig regelmatig de CISO en FG uit te nodigen voor een toelichting.

betrokkenheid samenwerkende gemeenten

Overweeg om het pad in te slaan van gezamenlijk informatiebeveiligingsbeleid in de regio. Vraag het college om bestuurlijk de discussie aan te gaan om toch tot een gezamenlijk informatiebeveiligingsbeleid in de regio te komen. Voor de hand ligt om iRvN daarvoor te gebruiken: de organisatie staat al, en is bestuurlijk ingebed in de MGR. Een gezamenlijk beleid, waarin onder meer is vastgelegd welk gedeeld volwassenheidsniveau de gemeenten nastreven, is de beste manier om de informatiebeveiliging in onze gemeenten te vergroten en de risico’s te verminderen. Laat je als raad informeren over de mogelijke keuzes en implicaties daarvan. Bij het bepalen van je standpunt hierover kun je je als gemeenteraad extern laten adviseren. Overweeg dat in regionaal verband te doen.

Besteed meer bestuurlijke aandacht aan informatiebeveiliging en privacybescherming in de regio
Versterk en verduidelijk de governance op regionaal niveau. Vraag het college om in MGR-verband voldoende gewicht te geven aan de rol van IRvN bij de informatiebeveiliging in de gemeenten (en bij iRvN zelf). Dat betekent periodieke aandacht in het AB en in de Agendacommissie van de MGR voor informatiebeveiliging, zowel als het gaat om beleidsplan en jaarplannen (Plan) en rapportages (Check). Ook (of: juist) als de
aansturing van iRvN bij de gemeentesecretarissen en/of hoofden bedrijfsvoering ligt, zorg dan voor noodzakelijke bestuurlijke besluitvorming in het AB. Vraag aan het college om de instelling van een aparte bestuurscommissie voor iRvN in het AB van de MGR te overwegen. Het voordeel van een bestuurscommissie ten opzichte van het werken in het portefeuillehoudersoverleg ICT is immers dat op deze manier de
besluitvorming bestuurlijk is ingebed in de MGR, transparanter is en meer garanties geeft voor betrokkenheid van de gemeenteraden. Vraag het college de raad te informeren over de gehanteerde afwegingen en besluitvorming.

Overweeg als raden een regionale aanpak
Versterk elkaar als raden en stel bijvoorbeeld een regionale raadswerkgroep in, of gebruik de agendacommissie van de MGR daarvoor. Zo’n gezelschap wordt dan de voorhoede van de gemeenteraden, en de leden ervan houden hun eigen raad goed op de hoogte. Organiseer in die werkgroep de onderlinge uitwisseling en kennisvermeerdering, en stem bijvoorbeeld de controle-activiteiten richting de colleges met elkaar af.

Kaderstellende rol gemeenteraad / PS

Stel als raad het beleid voor informatiebeveiliging en privacybescherming vast
Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming ter besluitvorming aan de raad voor te leggen. De raad moet die documenten dan ook agenderen, en de gelegenheid aangrijpen om zich te laten informeren.

Overweeg als raden een regionale aanpak
Versterk elkaar als raden en stel bijvoorbeeld een regionale raadswerkgroep in, of gebruik de agendacommissie van de MGR daarvoor. Zo’n gezelschap wordt dan de voorhoede van de gemeenteraden, en de leden ervan houden hun eigen raad goed op de hoogte. Organiseer in die werkgroep de onderlinge uitwisseling en kennisvermeerdering, en stem bijvoorbeeld de controle-activiteiten richting de colleges met elkaar af.

Verhelder het beleid voor informatiebeveiliging en privacybescherming

• Vraag het college om het strategisch beleid voor informatiebeveiliging en privacybescherming te versterken door het in ieder geval aan te vullen met een visie, ambitie en speerpunten. Dit vormt ook de basis voor de bewustwording in de organisatie. Vraag het college het beleidsplan ter besluitvorming aan de raad voor te leggen.
• Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

Overweeg de accountant de opdracht te geven voor een IT-audit
De gemeenteraad is opdrachtgever van de accountant. Overweeg vanuit die rol de accountant een IT-audit te laten uitvoeren. Maak bij het formuleren van die opdracht gebruik van de ervaringen die de raad van Nijmegen hiermee de afgelopen vier jaar heeft opgedaan. Vraag de accountant om consistente rapportages, zodat je als raad van jaar tot jaar kunt zien of aanbevelingen al dan niet zijn opgevolgd.

informatie voor college / GS

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

informatie voor de raad / PS

Leg vast hoe je gaat toetsen en rapporteren
Vraag het college om in het beleid op te nemen hoe je als gemeente wilt gaan toetsen en rapporteren. Neem de PDCA-cyclus als uitgangspunt en expliciteer de momenten waarop getoetst en gerapporteerd wordt. Belangrijk bij het toetsen is dat periodiek pentesten worden uitgevoerd en periodiek extern getoetst wordt. Belangrijk bij het rapporteren is dat - na overleg met de raad - ook wordt aangegeven hoe en wanneer aan de raad gerapporteerd wordt. Maak in het college (en ook in de raad) in elk geval meer werk van de jaarlijkse verantwoordingsrapportages over informatieveiligheid (ENSIA) en privacybescherming (jaarverslag FG). Nodig de CISO en FG uit voor een toelichting en bespreking.

Laat je als raad informeren en ondersteunen
Neem als raad zelf het initiatief om je te laten informeren over het belang en de ‘basics’ van goede informatiebeveiliging en privacybescherming. Doel is om in de daaropvolgende jaren beter te weten waar je op moet letten en naar moet vragen. Nodig het college en ook de CISO en FG voor zo’n sessie uit. Ook een
externe deskundige die meedenkt over het soort vragen dat je moet stellen, kan nuttig zijn. Gezien de snelle ontwikkelingen in risico’s, dreigingen en techniek, is het verstandig dergelijke sessies met enige regelmaat te organiseren, al dan niet ter voorbereiding op de behandeling van voorstellen of verantwoordingsrapportages die door het college worden voorgelegd. Waarom hier niet een regionaal initiatief van maken?

Richt als raad je controlerende rol beter in
Vraag de griffie om in een beknopte nota vast te leggen:

• waarover je als raad wilt worden geïnformeerd: de stand van zaken rond doelen, risico’s en maatregelen, de resultaten van testen en toetsen, de toereikendheid van middelen, etc.
• op welke manier je als raad wilt worden geïnformeerd: enkel via de P&C-cyclus, of ook via periodieke informatiebrieven of voortgangsrapportages, via de auditcommissie (desnoods in beslotenheid), etc.
• dat je in ieder geval de jaarlijkse rapportages (ENSIA, privacyjaarverslag) wilt ontvangen en dat die moeten worden voorzien van een begeleidende toelichting. Voor beide rapportages geldt dat daarin inhoudelijk moet worden gerapporteerd op het voldoen aan de vereisten: voor informatiebeveiliging (ENSIA) zijn dat de BIO-normen en voor privacybescherming de AVG. Verwijs in de nota bijvoorbeeld naar het goede voorbeeld in Hilversum.
• hoe je als raad die informatie agendeert en behandelt, en hoe je de vinger aan de pols houdt. Overweeg om een externe toets of second opinion te vragen, of een adviseur in te schakelen.

Overweeg de accountant de opdracht te geven voor een IT-audit
De gemeenteraad is opdrachtgever van de accountant. Overweeg vanuit die rol de accountant een IT-audit te laten uitvoeren. Maak bij het formuleren van die opdracht gebruik van de ervaringen die de raad van Nijmegen hiermee de afgelopen vier jaar heeft opgedaan. Vraag de accountant om consistente rapportages, zodat je als raad van jaar tot jaar kunt zien of aanbevelingen al dan niet zijn opgevolgd.

organisatie, werkprocessen en uitvoering

Vraag het college om het strategisch beleid uit te werken in een meerjaren-uitvoeringsprogramma en in jaarplannen, waarin concrete doelstellingen en bijbehorende middelen jaarlijks worden vast- of bijgesteld.

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

Ga systematisch DPIA’s uitvoeren
Vraag het college om systematisch invulling te gaan geven aan DPIA’s. Pak het planmatig aan: bepaal wat de meest noodzakelijke DPIA’s zijn en neem deze op in het jaarplan.

Zorg intern voor onafhankelijk ondersteuning en toezicht
Vraag het college om de FG als interne toezichthouder duidelijk in de 3e lijn te positioneren en indien nodig capaciteit toe te voegen aan de 2e lijn (in de vorm van een Privacy Officer). Vraag het college om ook de CISO bij voorkeur in de 3e lijn te positioneren en indien nodig capaciteit (in de vorm van een Security Officer) toe te voegen aan de 2e lijn.

calamiteiten en risicobeheersing

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Voer zo snel mogelijk een organisatiebrede risicoanalyse uit
Vraag het college om zo snel mogelijk een organisatiebrede risicoanalyse te (laten) uitvoeren voor zowel informatiebeveiliging als privacybescherming. Kom op basis hiervan tot bestuurlijke besluitvorming over risico’s die (niet) acceptabel worden gevonden en vraag het college deze te gebruiken voor het op te stellen meerjaren-uitvoeringsprogramma.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

bewustwording, kennis en kunde in de organisatie

Zet volop en systematisch in op bewustwording
Vraag het college om door te gaan op de weg van het vergroten van de bewustwording van medewerkers en dit meer systematisch aan te pakken, door ook hierbij te werken op basis van een risicoanalyse en volgens de
PDCA-cyclus. Vraag het college bewustwording vanaf 2023 op te nemen als onderdeel van de jaarplannen
voor informatiebeveiliging en privacybescherming, en daarbij ook aandacht te hebben voor bewustwordingsmaatregelen voor specifieke groepen medewerkers.

beveiliging en autorisatie

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Maak risicomanagement tot een continu proces
Vraag het college om op korte termijn een methodiek uit te werken voor invulling van risicomanagement. Uitgangspunt voor die methodiek moet zijn dat risicomanagement als continu proces worden ingebed in de PDCA-cyclus. Blijf in het kader van risicomanagement regionale crisisoefeningen uitvoeren en gebruik de ervaringen voor de jaarplannen (regionaal én lokaal).

Ga systematisch DPIA’s uitvoeren
Vraag het college om systematisch invulling te gaan geven aan DPIA’s. Pak het planmatig aan: bepaal wat de meest noodzakelijke DPIA’s zijn en neem deze op in het jaarplan.

Zorg intern voor onafhankelijk ondersteuning en toezicht
Vraag het college om de FG als interne toezichthouder duidelijk in de 3e lijn te positioneren en indien nodig capaciteit toe te voegen aan de 2e lijn (in de vorm van een Privacy Officer). Vraag het college om ook de CISO bij voorkeur in de 3e lijn te positioneren en indien nodig capaciteit (in de vorm van een Security Officer) toe te voegen aan de 2e lijn.

Ga KPI’s gebruiken (Kritische Prestatie Indicatoren)
Vraag aan het college om in het beleid KPI’s op te nemen, zowel voor informatiebeveiliging als privacybescherming. Dit moet ook in de Basisafspraken met iRvN worden gedaan. Gebruik bijvoorbeeld de aandachtsvelden uit het NOREA-volwassenheidsmodel en de thema’s uit de privacy-baseline om KPI’s uit af te leiden.

kwetsbaarheid ICT en Informatiesystemen

Werk zo snel mogelijk de belangrijkste ontbrekende onderdelen van het beleid uit
Vraag het college om zo snel mogelijk de belangrijkste onderdelen van zowel het informatiebeveiligingsbeleid als het privacybeleid uit te werken in concrete maatregelen, richtlijnen, protocollen, procedures, standaarden etc. Belangrijk is in elk geval risicomanagement, omdat het de basis van informatiebeveiliging betreft. Hierbij hoort ook dat voor elk van die maatregelen wordt bepaald wie de verantwoordelijken zijn voor de naleving.

Voer zo snel mogelijk een organisatiebrede risicoanalyse uit
Vraag het college om zo snel mogelijk een organisatiebrede risicoanalyse te (laten) uitvoeren voor zowel informatiebeveiliging als privacybescherming. Kom op basis hiervan tot bestuurlijke besluitvorming over risico’s die (niet) acceptabel worden gevonden en vraag het college deze te gebruiken voor het op te stellen meerjaren-uitvoeringsprogramma.

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

-

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-

Beleid informatiebeveiliging en privacybescherming

Aanbeveling aan de raad:
Geef het college opdracht om op korte termijn – nog in de eerste helft van 2018 – een geactualiseerd informatiebeveiligingsbeleid voor de periode 2018-2020 op te stellen en vast te stellen.

budget en personele inzet

-

Sturende rol college / GS

-

betrokkenheid samenwerkende gemeenten

-

Kaderstellende rol gemeenteraad / PS

Aanbeveling aan de raad:
Geef het college opdracht om op korte termijn – nog in de eerste helft van 2018 – een geactualiseerd informatiebeveiligingsbeleid voor de periode 2018-2020 op te stellen en vast te stellen.

Controlerende rol gemeenteraad / PS

-

werkprocessen monitoren, bewaken en verbeteren

-

Checks - Audits - Evaluatie - Risicoanalyse

-

informatie voor college / GS

Aanbeveling aan de raad:
Spreek met het college van B&W af op welke wijze en met welke regelmaat de raad in het vervolg over informatiebeveiliging geïnformeerd wil worden.

informatie voor de raad / PS

Aanbeveling aan de raad:
Spreek met het college van B&W af op welke wijze en met welke regelmaat de raad in het vervolg over informatiebeveiliging geïnformeerd wil worden.

organisatie, werkprocessen en uitvoering

Aanbeveling aan de raad:
Positioneer de CISO zelfstandig en onafhankelijk van de lijn, met een directe verbinding met de gemeentesecretaris.

calamiteiten en risicobeheersing

-

bewustwording, kennis en kunde in de organisatie

Aanbeveling aan de raad:
Blijf investeren in het bewustzijn van digitale bedreigingen en het veilig omgaan met ICT onder middenmanagement en medewerkers en scherp de (handhaving van de) regels voor inschakeling van derden aan.

beveiliging en autorisatie

-

kwetsbaarheid ICT en Informatiesystemen

-

aansluiting op Informatiebeveiligingsdienst (IBD)

-

inschakeling externen, (keten)partners én controle

Aanbeveling aan de raad:
Blijf investeren in het bewustzijn van digitale bedreigingen en het veilig omgaan met ICT onder middenmanagement en medewerkers en scherp de (handhaving van de) regels voor inschakeling van derden aan.

communicatie en betrokkenheid burgers

-

Balans tussen kwaliteit van de dienstverlening en privacy bescherming

-

extern leren

-