Informatiebeveiliging en privacy

Omschrijving (toelichting)

Basis op orde
De wereld om ons heen blijft in verandering. Zeker op het gebied van informatie en digitalisering. In de voorbereiding voor het actualiseren van het strategische informatiebeveiligingsbeleid 2024-2028 en het actualiseren van de BIO top 10 zijn in verschillende lagen van de organisatie risicoworkshops gehouden. Hierbij zijn het ambitieniveau voor informatiebeveiliging en privacy, de top 3 van informatiebeveiligings- en privacyrisico’s en de kritische processen bepaald. 

Verder is het landelijk aangestuurde verantwoordingstraject van informatiebeveiliging (ENSIA) dit jaar voor het eerst centraal door Dienst Dommelvallei gecoördineerd in samenwerking met de gemeenten. De aanpak helpt gemeenten om aantoonbaar te kunnen maken wat de stand van zaken van de implementatie van informatiebeveiliging is en om hiermee te kunnen blijven voldoen aan wet- en regelgeving.
Hiermee is een eerste basis gelegd voor het management en bestuur om prioriteitstelling en sturing op informatiebeveiliging en privacy mogelijk te maken.

In de AVG staat een aantal verplichten maatregelen. Het verwerkingsregister is er 1 van en helpt om persoonsgegevens te beschermen. In dit register staat informatie over onder andere welke persoonsgegevens we met welke partijen delen en de bewaartermijnen. Door de toegekende formatie was het mogelijk om dit register volledig te actualiseren.

Bedrijfscontinuiteit
Een externe partij is gevraagd om een onderzoek te doen of onbevoegden van buiten de werkomgeving konden binnendringen op de werkomgeving. Tijdens het onderzoek is vastgesteld dat voldoende technische waarborgen zijn getroffen waardoor het niet mogelijk was om van buitenaf toegang te verkrijgen tot onze interne omgeving. 

Daarnaast is een cybersessie georganiseerd waarbij twee colleges, de leden van het Cyber Calamiteitenteam en systeembeheerders van het incident responseteam met elkaar in gesprek over onder andere de impact van een cybercrisis.

Datalekkenoverzicht

Een melding bij de autoriteit persoonsgegevens (AP) betekent niet ook automatisch een melding bij de betrokkenen en andersom. Of we een datalek melden bij de AP en/of betrokken is altijd een afweging en afhankelijk van het privacy risico voor de betrokkenen. 

De bovengenoemde datalekken zijn vrijwel in alle gevallen het gevolg van een incidentele menselijke fout. Meestal gaat het om een brief en/of e-mail die per abuis is verstuurd naar een verkeerder ontvanger. Vanuit het bewustwordingsprogramma worden medewerkers meegenomen om datalekken te melden en op welke wijze datalekken kunnen worden tegengegaan, denk hierbij bij het verzenden van een e-mail gebruikt te maken van veilig e-mailen via Zivver.

Beveiligingsincidenten overzicht

De bovengenoemde incidenten hebben betrekking op twee incidentmeldingen bij leveranciers, waarbij één incident bij elke Dommelvallei-organisatie voorkwam. De leveranciers hebben de Dommelvallei-organisaties hiervan in kennis gesteld.

Het aantal meldingen in 2023 (157) is hoger dan het aantal meldingen van vorig jaar (67). Deze meldingen zijn gedaan door alerte medewerkers en hebben niet geleid tot een daadwerkelijk incident. 

Bewustwording
Versnelling van technologie stelt andere eisen aan competenties van medewerkers. Hiervoor is het essentieel om kennis, houding en gedrag van collega’s op het gebied van digitalisering te verhogen. Er zijn diverse activiteiten georganiseerd, zoals een phishingtest, introductiebijeenkomsten voor nieuwe medewerkers en een cyberquiz op social intranet. Uit de toename van het aantal meldingen blijkt dat het bewustwordingsprogramma effectief is. Medewerkers zijn zich beter bewust , dat melden van mogelijke incidenten van belang is om de impact voor de Dommelvallei-organisaties te verkleinen.