Wij zorgen ervoor dat we bewust en veilig omgaan met informatie door een combinatie van het organisatorisch en technisch borgen van de juiste toegankelijkheid van informatie, het opbouwen en onderhouden van het bewustzijn over informatieveiligheid en privacy en tijdige signalering en opvolging van incidenten. We zijn transparant: we maken inzichtelijk waarvoor wij de gegevens van onze inwoners gebruiken en bieden mogelijkheden tot inzage in het eigen dossier of tot een verzoek voor wijziging/ vernietiging van de eigen gegevens.

Onze verantwoordelijkheid voor informatiebeveiliging en privacy beperkt zich niet tot onze eigen organisatie. Ook in samenwerking met andere organisaties nemen wij onze verantwoordelijkheid voor het zorgvuldig omgaan met informatie en privacy in de keten door te zorgen voor duidelijke afspraken over deze onderwerpen.

Doelstellingen

• We voldoen aan het basisnormenkader zoals verwoord in de BIO (Baseline Informatiebeveiliging Overheid).

• We voldoen aan de eisen die de privacywet, de Algemene Verordening Gegevensbescherming (AVG), aan ons stelt.

• We leggen jaarlijks verantwoording af over informatieveiligheid door toepassing van de Eenduidige Normatiek Single Information Audit (ENSIA).

Informatiebeveiliging volgens BIO

De invoering van de BIO is een langdurig proces. Bij de start is er uitdrukkelijk voor gekozen om ‘het tempo’ van de organisatie te volgen. Het uiteindelijke doel is om de BIO op alle processen toe te passen. Op basis van een risico-afweging hebben we besloten om prioriteit te geven aan de ontwikkeling van maatregelen voor testen, bedrijfscontinuïteit en logisch toegangsbeheer.

In 2023 is het ontwikkelen van een testmethodiek verder uitgewerkt en inmiddels geborgd in de uitvoering. De maatregelen rond het testen zijn daarmee volledig ingericht volgens de BIO. Voor het merendeel van de bedrijfskritische processen is inmiddels een continuïteitsplan opgesteld. De functioneel beheerders van de belangrijkste applicaties zijn begonnen met het uitwerken van functieautorisatiematrixen. Het is de bedoeling dat deze een belangrijke rol gaan spelen in het gebruikersbeheer, zowel bij het toewijzen van autorisaties aan gebruikers als bij het uitvoeren van gebruikerscontroles. 

De verhuizing van de organisatie naar het Huis van de Stad is gebruikt om maatregelen rond de fysieke beveiliging te herijken en in lijn te brengen met de BIO.

Bewustwording

Naast de reguliere activiteiten hebben we in 2023 een stagiair van de Haagse Hogeschool ingezet en een e-learning ontwikkeld voor nieuwe medewerkers: iBewustzijn. De training is bedoeld als aanvulling op de algemene training AVG Security Awareness die alle nieuwe medewerkers van de gemeente verplicht volgen. De aanvullende training behandelt de manier waarop we de Privacy en Informatiebeveiliging in Rijswijk zelf geregeld hebben. De training is in de leerlijn voor nieuwe medewerkers in de Rijswijk Academie opgenomen.

Voor het college van B&W hebben we een scenariosessie georganiseerd om duidelijk te maken wat de impact is van een cyberincident op de bedrijfsvoering van de organisatie. Daarbij is de proceskaart gebruikt die was opgesteld door een eerdere vergelijkbare sessie met het management.

Incidentmanagement

In oktober is er een grote landelijke cyberoefening georganiseerd. Vanuit de IT-samenwerking met Delft, hebben ook medewerkers van Rijswijk mee geoefend. Uit deze oefening bleek dat het belangrijk is om van tevoren na te denken over hoe je in dit soort crisissituaties toch je diensten kunt blijven verlenen. De oefening heeft input geleverd voor het verder verfijnen van de continuïteitsplannen. Ook de proceskaart voor cyberincidenten is na de oefening op een aantal punten aangepast.

Eenduidige Normatiek Single Information Audit (ENSIA)

Ook dit jaar is in het kader van de ENSIA een zelfevaluatie uitgevoerd. De uitkomsten van deze zelfevaluatie worden gebruikt om verantwoording af te leggen aan de externe toezichthouders over de toepassing van de aansluitnormen voor DigiD en Suwinet. Hier is een collegeverklaring voor opgesteld met daarin het oordeel van een onafhankelijk auditor, deze is via een raadsinformatiebrief ook naar de gemeenteraad gestuurd.

Daarnaast zijn de uitkomsten van de zelfevaluatie gebruikt om acties te bepalen voor de beveiligingsmaatregelen die nog om aandacht vragen. Dit is onderdeel van een continu proces. De acties zijn opgenomen in het informatiebeveiligingsplan.

Borgen Privacy

Op het gebied van privacy was 2023 een jaar van snelle ontwikkelingen. De migratie van bedrijfskritische applicaties naar de Cloud, de data-uitwisseling binnen samenwerkingsverbanden, maatschappelijke vraagstukken zoals de opvang van de Oekraïense vluchtelingen en tal van onderzoeken onder onze inwoners zijn slechts enkele voorbeelden hiervan. Een andere belangrijke ontwikkeling met privacy-impact is de bevolkingsgroei in onze stad. Deze groei resulteert in een grotere vraag naar voorzieningen, maatschappelijke ondersteuning en zorg en daarmee tot een groei van onze organisatie. Dit brengt dus ook een toename van de verwerkingen van persoonsgegevens met zich mee. Samen met het aanzienlijke personeelsverloop wordt het een uitdaging om het bereikte niveau van privacybescherming vast te houden.

Net als voorgaande jaren hebben we door middel van trainingen en opleidingen actief ingezet op het vergroten van bewustwording over privacy bij onze medewerkers. In 2023 hebben meer dan 200 (nieuwe) medewerkers succesvol de verplichte privacy- en securitytrainingen afgerond. Het aantal gemelde datalekken is van 27 naar 23 gedaald, vergeleken met jaar daarvoor. Het aantal inzage- en verwijderingsverzoeken is gestegen van 3 naar 11.

Voor zowel bestaande als nieuwe (risicovolle) verwerkingen in systemen hebben we privacyrisicoanalyses uitgevoerd. Ook hebben we in juridische privacydocumenten afspraken gemaakt met ketenpartners en leveranciers om de persoonsgegevens die aan hen zijn toevertrouwd te beschermen. Om de privacy van derden bij Woo-verzoeken te waarborgen, is een tool aangeschaft om de verstrekte documenten te anonimiseren.

De naleving van de AVG hebben we getoetst aan het borgingsproduct van de VNG/IBD. Dit is een toetsingskader om doorlopend te kunnen waarborgen dat we aan de AVG voldoen. De verbeterdoelen zijn opgenomen in een Plan, Do, Check, Act-cyclus.

Eind 2023 zijn plannen gemaakt voor de implementatie van AI-tools, het algoritmenregister, Data Ondersteunend Werken en Procesmanagement.