Informatiebeveiliging en privacy
Wij zorgen ervoor dat we bewust en veilig omgaan met informatie door een combinatie van het organisatorisch en technisch borgen van de juiste toegankelijkheid van informatie, het opbouwen en onderhouden van het bewustzijn over informatieveiligheid en privacy en tijdige signalering en opvolging van incidenten. We zijn transparant: we maken inzichtelijk waarvoor wij de gegevens van onze inwoners gebruiken en bieden mogelijkheden tot inzage in het eigen dossier of tot een verzoek voor wijziging/ vernietiging van de eigen gegevens.
Onze verantwoordelijkheid voor informatiebeveiliging en privacy beperkt zich niet tot onze eigen organisatie. Ook in samenwerking met andere organisaties nemen wij onze verantwoordelijkheid voor het zorgvuldig omgaan met informatie en privacy in de keten door te zorgen voor duidelijke afspraken over deze onderwerpen.
We voldoen aan het basisnormenkader zoals verwoord in de BIO (Baseline Informatiebeveiliging Overheid).
We voldoen aan de eisen die de privacywet, de Algemene Verordening Gegevensbescherming (AVG), aan ons stelt.
We leggen jaarlijks verantwoording af over informatieveiligheid door toepassing van de Eenduidige Normatiek Single Information Audit (ENSIA).
Wat hebben we daarvoor gedaan?
Baseline Informatiebeveiliging Overheid (BIO)
Vanaf 1 januari 2020 heeft de gemeente te maken met een nieuw normenkader voor informatiebeveiliging: de Baseline Informatiebeveiliging Overheid (BIO). De invoering van de BIO is een langdurig proces. Bij de start daarvan is er in Rijswijk uitdrukkelijk voor gekozen om hierbij ‘het tempo’ van de organisatie te volgen. In het kader daarvan is binnen de domeinen van de gemeente Rijswijk gestart met een procesinventarisatie. Deze inventarisatie is nog niet afgerond. Op basis van een prioriteitstelling van de geïnventariseerde processen zal de BIO vervolgens per proces worden ingevoerd. Vooruitlopend daarop is in 2021 een start gemaakt met het opstellen en actualiseren van continuïteitsplannen.
Om het bewustzijn op het gebied van informatiebeveiliging te vergroten is in 2021 besloten om alle nieuwe medewerkers de training Privacy Security Awareness aan te bieden als verplicht onderdeel van het inwerkprogramma. Daarnaast zijn er een aantal phishingacties gesimuleerd om de weerbaarheid van de medewerkers op dat punt te trainen. Uit de resultaten blijkt dat herhaling van dit soort acties eraan bijdraagt dat steeds meer medewerkers de risico’s op dit gebied leren herkennen.
Kwetsbaarheidmelding Log4j
In december 2021 waarschuwde het Nationaal Cyber Security Centrum (NCSC) voor een ernstige kwetsbaarheid in een veel gebruikte softwarecomponent (Apache Log4j). Dit had ook consequenties voor de gemeente Rijswijk. Binnen de gemeenschappelijke regeling bedrijfsvoering zijn samen met de gemeente Delft onmiddellijk acties ondernomen om de risico’s in kaart te brengen. Er zijn direct technische maatregelen getroffen om pogingen tot misbruik van buitenaf te detecteren en te blokkeren. In een grote inventarisatieslag zijn alle leveranciers van softwareapplicaties gevraagd daar waar nodig herstelacties uit te voeren. In een enkel geval is besloten om de externe toegang tot de systemen van Rijswijk tijdelijk af te sluiten.
Eenduidige Normatiek Single Information Audit (ENSIA)
Ook dit jaar is in het kader van de ENSIA een zelfevaluatie uitgevoerd. De uitkomsten van die zelfevaluatie worden enerzijds gebruikt om verantwoording af te leggen aan de externe toezichthouders over de toepassing van de aansluitnormen voor DigiD en Suwinet. Daartoe wordt een collegeverklaring opgesteld. De collegeverklaring, die is voorzien van het oordeel van een onafhankelijk auditor, is via een raadsinformatiebrief ook ter beschikking gesteld aan de gemeenteraad.
Anderzijds zijn de uitkomsten van de zelfevaluatie gebruikt om acties te formuleren bij de beveiligingsmaatregelen die nog om aandacht vragen. Dit is onderdeel van een continu proces. De acties zijn opgenomen in het informatiebeveiligingsplan van de organisatie.
Algemene verordening gegevensbescherming (AVG)
Rijswijk bouwde ook in 2021 voort op de fundering die de voorgaande jaren zijn gelegd voor verdere implementatie en borging van de Algemene Verordening Gegevensbescherming (AVG). Zowel de wettelijk verplichte privacyfunctionarissen als de instrumenten[1] voor naleving van de AVG en voor de verantwoording hiervan zijn aanwezig. Communicatie over privacyrisico’s om bewustzijn over gegevensbescherming te bevorderen, waaronder simulatie van phishingsacties, heeft het afgelopen jaar regelmatig plaatsgevonden. Meer dan de voorgaande jaren is aandacht geweest voor opleiding en training en 110 nieuwe medewerkers, inclusief externen, hebben de training Privacy Security Awareness via de e-learningplatform van de Rijswijk Academie gevolgd.
De Functionaris Gegevensbescherming informeert het management en het college van burgemeester en wethouders over de mate waarin de gemeente aan de AVG voldoet. Het laatste wordt via het jaarverslag gegevensbescherming geïnformeerd. De aanbevelingen uit dit jaarverslag geven input voor de privacy-verbetercyclus (PDCA-cyclus) die als instrument voor monitoring en bijsturing wordt gebruikt om privacy en gegevensbescherming daadwerkelijk onderdeel te laten worden van de dienstverlening, de werkprocessen en de planning- en controlcyclus van de gemeente. De aandacht van het privacy team ging daarom vooral naar het aanjagen van de verbeteracties uit het vorige jaarverslag, het evalueren van beleid, procedures en voorzieningen en de invoering van nieuwe wetgeving in overeenstemming met de eisen die de AVG stelt aan de verwerkingen van persoonsgegevens.
In 2021 zijn er 26 datalekken gemeld. Dit is vijf meer dan het jaar daarvoor. Oorzaken hiervan waren menselijke fouten. In nagenoeg alle gevallen ging het om het versturen van persoonsgegevens aan verkeerde geadresseerden. Zeven van de 26 datalekken leverden mogelijk een risico voor degene van wie de gegevens gelekt zijn en zijn bij de Autoriteit Persoonsgegevens gemeld. Ook zijn er zes risicoanalyses (DPIA) uitgevoerd op verwerkingen met een hoog privacyrisico. Voor een aantal verwerkingen van persoonsgegevens is opdracht gegeven aan externe partijen, waaronder Cloud leveranciers. Met dertien partijen zijn verwerkersovereenkomsten gesloten.
De AVG biedt burgers de mogelijkheid om hun privacyrechten uit te oefenen door bijvoorbeeld inzage te krijgen in de eigen gegevens of eigen gegevens te laten corrigeren of vernietigen. In 2021 zijn drie van deze verzoeken ontvangen. Als burgers vinden dat de gemeente niet goed omgaat met hun persoonsgegevens, kunnen ze een klacht indienen bij de gemeente. In 2021 zijn vijf klachten van vermeende schending van privacy geweest. Alle vijf klachten waren ongegrond omdat de persoonsgegeven rechtmatig verwerkt waren bij de uitvoering van andere wetten.
In 2021 heeft de Rekenkamer Rijswijk een onderzoek naar privacy en informatieveiligheid in het Sociaal Domein uitgevoerd. De onderzoekers hebben breder gekeken dan alleen het Sociaal Domein en geconcludeerd dat de gemeente Rijswijk in lijn met de AVG handelt maar er nog ruimte is voor verbetering om het (privacy)volwassenheidsniveau waar de AVG van uitgaat te bereiken. De conclusies van de Rekenkamer zijn door het college onderschreven. De aanbevelingen uit het onderzoekrapport zijn overgenomen in het jaarverslag van de functionaris gegevensbescherming en worden gemonitord vanuit de verbetercyclus gegevensbescherming.
[1]Het gaat om instrumenten zoals het register van verwerkingen, de modellen voor de risicoanalyses (Data Protection Impact Assessment of DPIA) en verwerkersovereenkomsten, het datalekkenregister en het proces rondom de rechten van betrokkenen
Invoering rechtmatigheidsverantwoording
Bij het opstellen van de begroting 2021 werd er nog vanuit gegaan dat met ingang van het verslagjaar 2021 het college van burgemeester en wethouders zelf een rechtmatigheidsverantwoording zou moeten opnemen in de jaarrekening. Een verklaring waarin zelfstandig verantwoording wordt afgelegd over de naleving van geldende wet- en regelgeving bij de totstandkoming van de baten en lasten en balansmutaties in de jaarrekening. Het wetsvoorstel voor de rechtmatigheidsverantwoording lift mee op het wetsvoorstel versterking decentrale rekenkamers. De geplande invoering hiervan is uitgesteld. Op dit moment is nog niet duidelijk of de invoering opschuift naar 1 januari 2022.
Om een oordeel te vormen over de mate van control van de organisatie, die moet leiden tot de rechtmatigheidsverklaring, is er in 2019 gestart met het opstellen van een zogenaamde verbijzonderde interne controle (VIC). Door middel van de VIC wordt inzichtelijk gemaakt waar de gemeente staat bij de beheersing van de kritische processen. De VIC heeft een risico gedreven interne controleplan opgesteld dat gedurende het jaar wordt uitgevoerd. De VIC (3e lijn) voert controles uit op opzet en bestaan van beheersmaatregelen in de 1e en 2e lijn. De bevindingen en aanbevelingen worden gerapporteerd aan het verantwoordelijk management en er wordt toegezien op de opvolging hiervan.
Geconstateerd wordt dat er bij veel processen nog verbeteringen nodig zijn. De inzet is vooral gericht op de verbetering van de kwaliteit en inrichting van de administratieve organisatie. In aanvulling op de maatregelen die al in de ontwikkelagenda bedrijfsvoering zijn opgenomen zijn de volgende acties in gang gezet. De VIC wordt uitgebreid met een controleplan per proces, zodat het voor iedereen duidelijk is wie wat controleert. Er zijn verbeteropdrachten geformuleerd die gezamenlijk worden opgepakt. Het verbeteren van de controletoren, elk domein beschikt inmiddels over een (business)controller, is daar een voorbeeld van. De doorontwikkeling van de interne beheersing staat prominent op de agenda van het management en hierover vindt regelmatig afstemming met de accountant plaats.