Informatiebeveiliging en privacy
Deze bouwsteen bestaat uit de volgende zaken:
1. Basis op orde
2. Bedrijfscontinuïteit
Basis op orde
Veiligheid eerst
We willen de informatiebeveiliging en gegevensbescherming van de 4 organisaties naar een hoger niveau brengen. Medio 2020 is daarvoor het programma BIO Top10 opgestart. Dit programma sluit aan bij de aanbevelingen van de rekenkamercommissie. De Chief Information Security Officer (CISO) en Functionarissen Gegevensbescherming (FG’s) zien erop toe dat de invoering van de BIO Top10 maatregelen opgepakt is.
Kwetsbaarheids-/penetratietesten
Met het uitvoeren van kwetsbaarheids-/penetratietesten gaan we na hoe goed onze gemeentelijke informatiesystemen en gegevens beschermd zijn tegen aanvallen. Het geeft ons een diepgaand en compleet overzicht van het beveiligingsniveau van onze manier van werken en de gemeentelijke ICT-infrastructuur.
Inrichting risicomanagement
Risicomanagement is een cyclisch, iteratief en terugkerend proces. Want dreigingen veranderen, doelstellingen veranderen, de omgeving verandert en wetgeving verandert. Door risicomanagement cyclisch in te richten anticiperen en sturen we op veranderingen (de PDCA-cyclus). Hiervoor maken we gebruik van een Information Security Management System (ISMS) en een Privacy Management System (PMS)
CISO en FG’s rapporteren over hun bevindingen. Zij sluiten daarvoor aan bij de P&C-cyclus van de organisaties.
Zaakgericht werken
We slaan in ons zaaksysteem veel en gevoelige gegevens op. We vinden het belangrijk om die goed te beveiligen. Daarvoor nemen we zowel technische als organisatorische maatregelen. De CISO controleert continu op toepassing van multifactorauthenticatie.
Om de privacy van onze inwoners te waarborgen, richten we het zaaksysteem zo in dat medewerkers alleen die gegevens kunnen raadplegen die zij nodig hebben voor hun taak. De FG’s zien toe op een juiste inrichting en gaan steekproefsgewijs controleren of medewerkers geen oneigenlijk gebruik van de gegevens kunnen maken.
Verwerkers- en samenwerkingsovereenkomsten
In 2021 zijn we gestart met de geplande inhaalslag voor het afsluiten van verwerkersovereenkomsten met onze verwerkers. De FG’s blijven ook in 2022 sturen op het vastleggen van afspraken met onze samenwerkingspartners.
In het verwerkingenregister staan alle verwerkingsactiviteiten die onder de verantwoordelijkheid van een organisatie plaatsvinden. Dit register bevat onder andere de verwerkingsdoeleinden, de categorieën van persoonsgegevens die we verwerken, wie de betrokkenen daarbij zijn, wie de gegevens mag ontvangen en hoe lang we de gegevens mogen bewaren. Iedere organisatie is verplicht om een eigen register bij en actueel te houden. De FG’s sporen de leidinggevenden hiertoe aan en toetsen de volledigheid.
Bedrijfscontinuïteit
We stellen in 2021 een bedrijfscontinuïteitsplan op waarin de volgende 3 onderwerpen worden uitgewerkt:
- Inhoudelijk en technisch: We stellen vast welke processen in welke volgorde en op welke wijze kunnen doorgaan bij uitval of niet-beschikbaarheid van systemen. Hiervoor analyseren en bepalen we oplossingsrichtingen.
- Privacy: Als (persoons)gegevens die de gemeenten in beheer hebben in verkeerde handen vallen zijn de mogelijke gevolgen voor inwoners, ondernemers en medewerkers bijna niet te overzien. De impact op de betrokkenen moet vastgesteld worden en oplossingen moeten worden bepaald. Ook om aansprakelijkheidsstellingen van getroffenen of boetes van de privacytoezichthouder te voorkomen.
- Communicatie: Vanuit de gedachte dat transparante en open communicatie over het incident positieve effecten kan hebben. Openheid heeft als gevolg dat de berichtgeving gebaseerd kan worden op feiten en minder op speculaties.
Werken in de cloud
We werken steeds meer in de cloud. De risico's mitigeren we op 3 fronten:
- Veilige inrichting van de omgeving. Aandacht wordt gegeven om de juiste maatregelen te nemen bij de inrichting van de cloud en bij de keuzes in de licenties. Ook komt er aandacht voor de keuze voor de juiste back-up strategie en het versleuteling van de gegevens.
- Beschermen van de gegevens door er voor te zorgen dat alleen de bevoegden toegang hebben door de autorisatieprocessen hierop aan te passen en periodieke controles op autorisaties uit te voeren.
- Beschermen van de toegang tot de gegevens door te zorgen dat alleen toegestane apparaten toegang krijgen en dat technisch af te dwingen.
Crisisbeheersing
Met de toegenomen dreigingen van buitenaf is een goede crisisbeheersing onontbeerlijk. Immers de risico’s met betrekking tot de bedrijfscontinuïteit nemen toe omdat digitale processen steeds meer de standaard worden. Verantwoordelijkheid en rollen duidelijk beleggen bij het bestrijden van een crisis is belangrijk. Vanaf 2021 testen we en verbeteren we gestructureerd de crisisorganisatie.
Bewustwording
De veiligheid die we met de technische middelen kunnen bereiken is begrensd. Het menselijk gedrag speelt een doorslaggevende rol in het realiseren van de veiligheid van informatie in de praktijk. Bewustwording is en blijft voor informatiebeveiliging en gegevensbescherming daarom essentieel. We maken medewerkers bewust van de risico’s van het werken met (persoons)gegevens en we maken risicomanagement expliciet onderdeel van de besluitvorming.
In 2021 is de werkgroep Privacy en Informatieveiligheid gestart met een grote Dommelvalleibrede bewustwordingscampagne. Deze campagne omvat 4 fasen: de ontwerpfase, de ontwikkelfase, de implementatiefase en de evaluatie- en onderhoudsfase. We verwachten in 2022 de laatste fase te doorlopen. In deze fase beoordelen en evalueren we de behaalde resultaten en voeren we, waar dat nodig is, verbeteringen door. Bewustwording is een cyclisch proces.