Omschrijving (toelichting)

Deze bouwsteen bestaat uit de volgende zaken:

  1. Basis op orde
  2. Bedrijfscontinuïteit
  3. Overig

Basis op orde

Veiligheid eerst
De wachtwoordsterkte is aangescherpt conform de BIO norm. Dit gecombineerd met tweefactor authenticatie verhoogt de bescherming van onze applicaties en devices. 

Kwetsbaarheids-/penetratietesten
In 2022 zijn twee kwetsbaarheidsscans op onze systemen uitgevoerd door externe partijen. Maatregelen zijn genomen om de bevindingen met de grootste risico's weg te nemen. Andere te nemen maatregelen zijn ingepland en begroot. 

Inrichting risicomanagement
In 2022 is een pilot gestart voor interne controle op autorisaties. Dit heeft betrekking op de proceseigenaren en de toetsing door control.

Zaakgericht werken
De functionarissen gegevensbescherming (FG's) toetsen de inrichting van de vertrouwelijkheid van alle nieuwe zaaktypes. Zo zorgen we er gezamenlijk voor dat de medewerkers in het zaaksysteem alleen die gegevens kunnen raadplegen die ze nodig hebben voor hun taken.

Verwerkers- en samenwerkingsovereenkomsten
In het verwerkingenregister staan alle verwerkingen van persoonsgegevens die in een organisatie plaatsvinden. Voorheen hielden we deze registers bij in een Excelbestand. Dit jaar zijn de verwerkingenregisters voor de drie gemeenten vanuit Excel overgezet in ons Privacy Management Systeem (PMS). Daarmee kunnen we de verwerkingen op een meer gestructureerde manier bijhouden. 

 

Bedrijfscontinuïteit

Werken in de cloud/ Veilig mailen en veilig bestanden uitwisselen
Na een succesvolle pilot is de organisatie brede implementatie van Zivver gestart waarmee op een veilige manier kan worden gecommuniceerd. 

Crisisbeheersing
De crisisorganisatie is in de praktijk getoetst bij incidenten. Dit jaar is een aanpak van beveiligingsincidenten met als doelgroep systeembeheer opgesteld. 

Bewustwording
28 januari is de Europese Dag van de Privacy. Op deze dag wordt internationaal extra aandacht gegeven aan het belang van een goede bescherming van persoonsgegevens. Privacy officers, FG's en CISO zijn hierop aangehaakt. In de week van 28 januari hebben zij dagelijks op intranet aandacht besteed aan een specifiek onderwerp dat verband houdt met privacy en informatiebeveiliging. De week werd afgesloten met een quiz, waar veel medewerkers aan mee deden.

Phishingmailactie
Aan het eind van het jaar hebben CISO en FG's een nep phishingmail uit laten sturen. Zij wilden daarmee toetsen of de medewerkers een phishingmail kunnen herkennen, of zij bekend zijn met het proces rondom het melden van een phishingmail en wilden het bewustzijn bij de medewerkers vergroten. De actie was geslaagd. CISO en FG's hebben daarna voor iedereen op intranet een e-learning beschikbaar gesteld waarin zij meer konden leren over het herkennen van een phishingmail en het meldproces. De directeuren zijn over de resultaten van de actie geïnformeerd.

Rondgang door de gebouwen
In 2019 heeft een mystery guest de gemeentelijke gebouwen bezocht om bij de Dommelvallei-organisaties de informatieveiligheid te toetsen. CISO en FG's wilden onderzoeken of de aanbevelingen die de mystery guest destijds heeft gedaan, door de organisaties zijn opgevolgd. Daarvoor hebben zij in juli en augustus een rondgang door de gebouwen gemaakt. CISO en FG's constateerden veel verbeteringen en hebben aan de directeuren ook een aantal verbetervoorstellen gedaan.

 

Overig

Eenduidige Normatiek Single Information Audit (ENSIA)
Met ENSIA leggen gemeenten in één keer verantwoording af over het (veilig) gebruik van acht verantwoordingsstelsels en applicaties. Het betreft de verantwoordingsprocedure voor de Basisregistratie Personen, Reisdocumenten, Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen, Basisregistratie Grootschalige Topografie, Basisregistratie Ondergrond, Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet) en Wet Waardering Onroerende Zaken. De DigiD en Suwinet onderdelen zijn door een IT-auditor gecontroleerd, we voldeden voor deze stelsels aan alle normen. De uitkomsten van de IT-audit en de andere zelfevaluaties (met waar nodig verbeterplannen) zijn vastgesteld in de colleges en gedeeld met de verticale toezichthouders.

Externe audit Wet politiegegevens
Een IT-auditor heeft bij de gemeenten Geldrop-Mierlo, Nuenen en Son en Breugel en Dienst Dommelvallei de wettelijk verplichte audit uitgevoerd op de verwerking van politiegegevens (persoonsgegevens die worden verwerkt voor de opsporing van strafbare feiten). De resultaten zijn tijdig bij de Autoriteit Persoonsgegevens aangeleverd. De organisaties gaan met de aanbevelingen aan de slag. 

Datalekken
In 2022 zijn er binnen de Dommelvallei-organisaties bij de privacy officers en FG's 14 datalekken gemeld. 6 daarvan hebben we gemeld bij de Autoriteit Persoonsgegevens. In 10 gevallen is de betrokkene op de hoogte gesteld van het datalek. Soms meldden de betrokkenen zelf het datalek bij ons.

Tabel datalekkenoverzicht

Een melding bij de AP betekent niet ook automatisch een melding bij de betrokkenen en andersom. Of we een datalek melden bij de AP en/of de betrokkenen is altijd een individuele afweging. Dit is afhankelijk van het privacyrisico voor de betrokkenen. De FG's en de privacy officer stemmen in overleg met de verantwoordelijken af welke datalekken bij wie gemeld worden.

De datalekken zijn in vrijwel alle gevallen het gevolg van een incidentele menselijke fout. Meestal gaat het om een mail die per abuis is verstuurd naar een verkeerde ontvanger. We wijzen medewerkers erop om de juistheid van het mailadres goed te controleren. Omdat de mens hierin de zwakste schakel is en blijft, nemen wij dit thema continu mee in onze bewustwordingscampagne.

Beveiligingsincidenten
In 2022 zijn er in de vier Dommelvallei-organisaties 19 beveiligingsincidenten (geen phishing/spam meldingen) gemeld bij de CISO. Dit jaar zijn er (door verbeterde mail inrichting en beveiliging) geen phishing/spam meldingen geweest. Het aantal beveiligingsincidenten (niet phishing/spam) is 3 maal zo hoog als vorig jaar, vorig jaar waren er 6 beveiligingsincidenten (niet phishing/spam) en 67 phishing/spam incidenten.

Het grootste incident was een kwetsbaarheid op een nieuwe server, waardoor er een (ethical-) hacker is binnengedrongen. Deze kwetsbaarheid is meteen weggenomen en nader forensisch onderzoek heeft geen andere inbreuken aangetoond.