Informatiebeveiliging en privacy
Wat wilden we bereiken?
Wij zorgen ervoor dat we bewust en veilig omgaan met informatie door een combinatie van het organisatorisch en technisch borgen van de juiste toegankelijkheid van informatie, het opbouwen en onderhouden van het bewustzijn over informatieveiligheid en privacy en tijdige signalering en opvolging van incidenten. We zijn transparant: we maken inzichtelijk waarvoor wij de gegevens van onze inwoners gebruiken en bieden mogelijkheden tot inzage in het eigen dossier of tot een verzoek voor wijziging/ vernietiging van de eigen gegevens.
Onze verantwoordelijkheid voor informatiebeveiliging en privacy beperkt zich niet tot onze eigen organisatie. Ook in samenwerking met andere organisaties nemen wij onze verantwoordelijkheid voor het zorgvuldig omgaan met informatie en privacy in de keten door te zorgen voor duidelijke afspraken over deze onderwerpen.
Doelstellingen
We voldoen aan het basisnormenkader zoals verwoord in de BIO (Baseline Informatiebeveiliging Overheid).
We voldoen aan de eisen die de privacywet, de Algemene Verordening Gegevensbescherming (AVG), aan ons stelt.
We leggen jaarlijks verantwoording af over informatieveiligheid door toepassing van de Eenduidige Normatiek Single Information Audit (ENSIA).
Wat hebben we er voor gedaan?
Informatiebeveiliging volgens BIO
Vanaf 1 januari 2020 heeft de gemeente te maken met een nieuw normenkader voor informatiebeveiliging: de Baseline Informatiebeveiliging Overheid (BIO). De invoering van de BIO is een langdurig proces. Bij de start daarvan is er in Rijswijk uitdrukkelijk voor gekozen om hierbij ‘het tempo’ van de organisatie te volgen. Het uiteindelijke doel is om de BIO op alle processen toe te passen. Op basis van een risico-afweging is besloten om prioriteit te geven aan de ontwikkeling van maatregelen op het gebied van testen, bedrijfscontinuïteit en logisch toegangsbeheer.
De ontwikkeling van testplannen heeft een enorme boost gekregen door de inzet hierop te combineren met de werkzaamheden die verricht moesten worden voor een aantal complexe systeemmigraties. Het afgelopen jaar is de inventarisatie van de kritische bedrijfsprocessen afgerond. Daarbij is aangesloten op de inventarisatie van de VNG. Voor al deze processen zijn nu coördinatoren aangewezen die continuïteitsplannen voor die processen gaan uitwerken. Binnen het Sociaal Domein zijn grote stappen gezet bij de ontwikkeling van het logisch toegangsbeheer. Er is een proces voor gebruikerscontroles uitgewerkt dat als voorbeeld kan dienen voor de rest van de organisatie.
Bewustwording
Na een periode van lockdowns en veelvuldig thuiswerken keerden in de loop van 2022 steeds meer medewerkers terug naar hun werkplek op het Stadhuis. Dat was een uitgelezen moment om aandacht te vragen voor de omgang met gewenste en ongewenste bezoekers op de werkvloer. Onder het motto ‘Voor wie hou jij de deur open?’ zijn medewerkers hierop geattendeerd via posters en berichten op intranet.
Voor het management is een scenariosessie georganiseerd om duidelijk te maken wat de impact van een cyberincident is op de bedrijfsvoering van de organisatie. Daarbij is de rol van het management in zo’n crisissituatie uitgebreid aan de orde geweest. Naar aanleiding van die sessie is een proceskaart uitgewerkt, die het crisisteam in de ‘warme fase’ als handvat kan gebruiken.
Eenduidige Normatiek Single Information Audit (ENSIA)
Ook dit jaar is in het kader van de ENSIA een zelfevaluatie uitgevoerd. De uitkomsten van die zelfevaluatie worden enerzijds gebruikt om verantwoording af te leggen aan de externe toezichthouders over de toepassing van de aansluitnormen voor DigiD en Suwinet. Daartoe wordt een collegeverklaring opgesteld. De collegeverklaring, die is voorzien van het oordeel van een onafhankelijk auditor, is via een raadsinformatiebrief ook ter beschikking gesteld aan de gemeenteraad.
Anderzijds zijn de uitkomsten van de zelfevaluatie gebruikt om acties te formuleren bij de beveiligingsmaatregelen die nog om aandacht vragen. Dit is onderdeel van een continu proces. De acties zijn opgenomen in het informatiebeveiligingsplan van de organisatie.
Borgen Privacy
Ook het afgelopen jaar heeft onze organisatie hard gewerkt om te zorgen dat aan de AVG wordt voldaan. De praktijk laat zien dat er veel is gerealiseerd maar ook dat er nog ruimte voor verbetering is. Dat blijkt uit het jaarverslag gegevensbescherming, maar ook uit het rekenkameronderzoek naar privacy in het sociaal domein.
De medewerkers van het sociaal domein zijn extra getraind om hun kennis en bewustzijn over privacy te verhogen. Door een niet werkende technische koppeling tussen het personeelssysteem en het e-learning systeem zijn de nieuwe medewerkers in 2022 niet automatisch uitgenodigd voor het volgen van de onlinetrainingen AVG & Security Awareness. Deze trainingen zullen alsnog in 2023 moeten worden gevolgd.
De AVG-principes vinden hun dagelijkse toepassing bij signalering en opvolging van datalekken en privacy-klachten, bij de afhandeling van verzoeken van onze inwoners tot inzage in het eigen dossier, bij het uitvoeren van risicoanalyses op nieuwe verwerkingen en bij het maken van afspraken met derden over het zorgvuldig omgaan met de gegevens die aan hen toevertrouwd zijn.
In 2022, net als de jaren daarvoor, heeft de gemeente geen ernstige datalekken gehad. Het meest voorkomende soort datalek was het versturen van persoonsgegevens aan een verkeerde ontvanger. De oorzaak van de meeste datalekken was een menselijke fout. Van de zevenentwintig gemelde datalekken zijn er vier aan de Autoriteit Persoonsgegevens en aan betrokkenen gemeld omdat er gegevens van gevoelige aard waren gelekt.
De AVG kent degene van wie gegevens verwerkt worden een aantal rechten toe. Dit zijn vooral het recht op inzage, rectificatie en wissen van persoonsgegevens. De gemeente heeft vier van deze verzoeken ontvangen en deze binnen de gestelde termijn afgehandeld.
Onder de AVG zijn organisaties verplicht om voor bepaalde verwerkingen van persoonsgegevens een risicoanalyse of Data Privacy Impact Analyse (DPIA) uit te voeren. Dit om vooraf privacyrisico’s in kaart te brengen en maatregelen te nemen om de risico’s te verkleinen. Er is in 2022 een stijging zichtbaar in het aantal uitgevoerde DPIA’s; dertien ten opzichte van de zes in het jaar daarvoor. Een stijging was ook merkbaar in de gemaakte afspraken over verwerkingen van persoonsgegevens die ontstaan binnen samenwerkingsvormen, uitbesteding van taken aan andere overheden, ketenpartners of private organisaties. In 2022 heeft het privacyteam achtenvijftig adviezen gegeven over het vastleggen van deze afspraken in convenanten, protocollen, overeenkomsten en geheimhoudingsverklaringen.