Deze bouwsteen bestaat uit de volgende zaken:

1. Inrichting risicomanagement (BIO top 10)
2. Bewustwording
3. Overig

Inrichting risicomanagement (BIO top 10)

Aanschaf ISMS en PMS
In 2021 hebben we voor de 3 gemeenten en Dienst Dommelvallei een Information Security Management System (ISMS) en Privacy Management System (PMS) aangeschaft en een start gemaakt met de inrichting en implementatie daarvan. Met behulp van ISMS en PMS kunnen we informatiebeveiliging en gegevensbescherming op een gestructureerde en structurele manier borgen in de P&C-cyclus. Het helpt de organisaties om zichzelf continu en volgens het PDCA-model cyclisch te verbeteren.

Ons ISMS ondersteunt en zorgt ervoor dat er een gestructureerde manier is om informatiebeveiliging te beheren. Het biedt overzicht, bewijs en zekerheid waar we hebben voldaan aan de normvereisten en verbetert de governance van informatiebeveiliging.

In het PMS kunnen wij daarnaast op een georganiseerde manier de verwerkingenregisters, onze verwerkers met verwerkersovereenkomsten, datalekken, inzageverzoeken en Data Protection Impact Assessments (DPIA’s/privacyrisicoanalyses) vastleggen. Deze informatie is noodzakelijk voor de privacyboekhouding van de gemeenten.

2-factor-authenticatie 
Belangrijke maatregelen als 2-factor-authenticatie en het bewaken van applicaties en devices waarmee in onze omgeving wordt gewerkt, zijn ingevoerd.

Fysieke toegangsbeveiliging
Ook hebben alle mensen toegangspassen met foto’s waardoor alleen bevoegden toegang tot de gebouwen wordt verleend.

Incident Management
Cyber Incident management beleid is in 2021 voorbereid en in januari 2022 vastgesteld. Hiermee hebben wij bestuurlijk en ambtelijk helderheid en structuur bij het managen van incidenten.

Verwerkingenregister
In het verwerkingenregister staan alle verwerkingen van persoonsgegevens die in de gemeente plaatsvinden. De gemeenten en Dienst Dommelvallei zijn op grond van de Algemene Verordening Gegevensbescherming verplicht om zo’n verwerkingenregister bij te houden. Na de zomer zijn we gestart met een grondige actualisatie van de registers van de gemeenten Nuenen, Geldrop-Mierlo en Son en Breugel. We ronden dit in het eerste kwartaal van 2022 af. Daarna zetten we de bijgewerkte registers over in ons PMS, waarmee we de verwerkingen op een meer gestructureerde manier bij kunnen houden.

Bewustwording
Dit jaar hebben we vanwege de toegenomen dreiging op ons intranet veel aandacht besteed aan het herkennen en melden van phishingmails. Daarnaast heeft het Privacyteam een plan van aanpak Bewustwordingscampagne Privacy en Informatieveiligheid opgesteld. We hebben daarvoor bij de afdelingshoofden en senioren de behoeften geïnventariseerd, de relevante onderwerpen en prioriteiten geïdentificeerd en vervolgens draagvlak, betrokkenheid en budget gezocht. In 2022 starten we met de bewustwordingscampagne.

Overig
Data Protection Impact Assessments (DPIA’s)
Een DPIA is een risicoanalyse, waarin we beoordelen wat het effect van een beoogde verwerking is op de bescherming van persoonsgegevens. We hebben dit jaar opnieuw een aantal DPIA’s uitgevoerd. Waar mogelijk doen we dat voor de Dommelvallei-organisaties gezamenlijk. Uitgevoerde DPIA’s dit jaar zijn onder andere: 

  • DPIA voor de nieuw aangeschafte software voor het Sociaal Domein.
  • DPIA’s voor de Gegevensmakelaar, het Datawarehouse en iNzicht.
  • DPIA voor de nieuwe applicatie voor Vergunningen, Toezicht en Handhaving.
  • DPIA voor de inzet van bodycams.
  • DPIA Vroegsignalering bij schulden.


Verwerkersovereenkomsten
Waar nodig sluiten we met onze samenwerkingspartners verwerkersovereenkomsten af. Bij nieuwe aanbestedingen hebben we dit standaard als onderdeel in het aanbestedingstraject meegenomen, zoals bij de aanbesteding voor de nieuwe software voor het Sociaal Domein en de nieuwe Burgerzakenapplicatie. Waar we ontbrekende verwerkersovereenkomsten signaleerden, sloten we die alsnog af.

Zaaksysteem Djuma
Privacybeheerders en Functionarissen Gegevensbescherming zijn met de medewerkers in gesprek gegaan over de inrichting van het zaaksysteem. Op basis van die gesprekken is, gezien de informatie die daarin vastgelegd wordt, besloten om bepaalde zaaktypes nog maar voor een beperkte groep mensen beschikbaar te maken.

Datalekken
In 2021 zijn er binnen de Dommelvallei-organisaties bij de privacybeheerders en FG's 25 datalekken gemeld. 10 daarvan hebben we gemeld bij de Autoriteit Persoonsgegevens. In 12 gevallen is de betrokkene op de hoogte gesteld van het datalek. Soms meldden de betrokkenen zelf het datalek bij ons.

Tabel datalekkenoverzicht


Een melding bij de AP betekent niet ook automatisch een melding bij de betrokkenen en andersom. Of we een datalek melden bij de AP en/of de betrokkenen is altijd een individuele afweging. Dit is afhankelijk van het privacyrisico voor de betrokkenen. De FG's en de privacybeheerder stemmen in overleg met de burgemeester en de gemeentesecretaris af welke datalekken bij wie gemeld worden.

De datalekken zijn in vrijwel alle gevallen het gevolg van een incidentele menselijke fout. Meestal gaat het om een mail die per abuis is verstuurd naar een verkeerde ontvanger. We wijzen medewerkers erop om de juistheid van het mailadres goed te controleren. Omdat de mens hierin de zwakste schakel is en blijft, nemen wij dit thema continu mee in onze bewustwordingscampagne. Daarnaast schaffen we in 2022 een beveiligde mailoplossing aan, waarmee de medewerkers gegevens beveiligd kunnen versturen.

Beveiligingsincidenten
In 2021 zijn er in de vier Dommelvallei-organisaties 73 beveiligingsincidenten (exclusief datalekken) gemeld bij de CISO, waarvan 67 phishing/spam meldingen. Verder waren er een aantal systeem gerelateerde incidenten, bijvoorbeeld bij de inrichting van de nieuwe mailomgeving. Een incident met grote impact was een mail met een link waar een medewerker op had geklikt en gegevens had achtergelaten. Hiermee werd onbevoegden toegang verschaft tot de mailbox van de gedupeerde. Het mitigeren van de gevolgen was een grote klus. 

In december werd de wereld geconfronteerd met het zogenaamde Log4J incident. Een veelgebruikt stukje software dat zonder aanvullende maatregelen onbevoegden toegang zou kunnen geven tot systemen. Dat had een grote impact op de Dommelvallei-organisaties. Intensieve samenwerking tussen ICT, directeuren en bestuurders leidde tot een goede beheersing van de crisis. Het mitigeren van acute risico's heeft geleid tot het afsluiten van systemen waardoor medewerkers tijdelijk beperkte toegang hadden tot systemen. De aanpak van deze crisis evalueren wij begin 2022. De evaluatie leggen wij voor aan het dagelijks bestuur.