Informatiebeveiliging en Privacy

Wat wilden we bereiken?

Wij zorgen ervoor dat we bewust en veilig omgaan met informatie door een combinatie van het organisatorisch en technisch borgen van de juiste toegankelijkheid van informatie, het opbouwen en onderhouden van het bewustzijn over informatieveiligheid en privacy en tijdige signalering en opvolging van incidenten. We zijn transparant: we maken inzichtelijk waarvoor wij de gegevens van onze inwoners gebruiken en bieden mogelijkheden tot inzage in het eigen dossier of tot een verzoek voor wijziging/ vernietiging van de eigen gegevens.

Onze verantwoordelijkheid voor informatiebeveiliging en privacy beperkt zich niet tot onze eigen organisatie. Ook in samenwerking met andere organisaties nemen wij onze verantwoordelijkheid voor het zorgvuldig omgaan met informatie en privacy in de keten door te zorgen voor duidelijke afspraken over deze onderwerpen.

Doelstellingen
  • We voldoen aan het basisnormenkader zoals verwoord in de BIO (Baseline Informatiebeveiliging Overheid). 

  • We voldoen aan de eisen die de privacywet, de Algemene Verordening Gegevensbescherming (AVG), aan ons stelt. 

  • We leggen jaarlijks verantwoording af over informatieveiligheid door toepassing van de Eenduidige Normatiek Single Information Audit (ENSIA). 

Wat hebben we ervoor gedaan?

Informatiebeveiliging volgens BIO

De invoering van de BIO is een langdurig proces. Bij de start daarvan is er in Rijswijk uitdrukkelijk voor gekozen om hierbij ‘het tempo’ van de organisatie te volgen. Het uiteindelijke doel is om de BIO op alle processen toe te passen. Op basis van een risico-afweging is besloten om prioriteit te geven aan de ontwikkeling van maatregelen op het gebied van bedrijfscontinuïteit, logisch toegangsbeheer, het in- en uitdienst proces en de voorbereiding op de Cyberbeveiligingswet.

Voor bijna alle bedrijfskritische processen is een continuïteitsplan opgesteld. Bij twee processen duurt dit langer. Bij één proces wordt het definitieve plan binnenkort vastgesteld, bij het andere proces is dat door personele mutaties vertraagd.

Voor het logisch toegangsbeheer is beleid vastgesteld. Dit beleid beschrijft de zaken die geregeld moeten worden om de toegang tot de applicaties die we in Rijswijk gebruiken beter te beveiligen. De teammanagers hebben een belangrijke rol bij de uitvoering van dat beleid. Zij hebben hier een aparte instructie voor ontvangen.

De afgelopen jaren is het risico op verschillen tussen de ICT-gebruikersadministratie en de personeelsadministratie verkleind. Het proces om deze twee administraties te koppelen is verder verbeterd. In de praktijk werpt dit zijn vruchten af. Er zijn aanzienlijk minder inactieve accounts. Een technische koppeling ontbreekt nog.

Eind 2022 is door de Europese Unie de Network and Information Security directive (NIS2) vastgesteld. Deze is bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren en moet worden omgezet in nationale wetgeving. In Nederland is daarvoor de Cyberbeveiligingswet opgesteld. Het wetsvoorstel is ter behandeling aangeboden aan de Tweede Kamer. De verwachting is dat het parlement de wet medio 2026 formeel vaststelt.

In voorbereiding op de invoering van de Cyberbeveiligingswet hebben we in Rijswijk een inventarisatie gemaakt van de essentiële diensten en systemen. Voor de processen/systemen die binnen die scope vallen is begonnen met een analyse van de benodigde beveiligingsmaatregelen. De bevindingen daarvan gebruiken we om een plan op te stellen voor de invoering van de Cyberbeveiligingswet.

Bewustwording

Naast de reguliere activiteiten in het kader van bewustwording is dit jaar met het oog op de invoering van de Cyberbeveiligingswet, het gesprek aangegaan met de managers die verantwoordelijk zijn voor de essentiële diensten en systemen die binnen de reikwijdte van die wet vallen. Het doel van deze gesprekken was om een overzicht te krijgen van de beveiligingsmaatregelen die al genomen zijn en om deze managers bewust te maken dat zij verantwoordelijk zijn voor een adequate beveiliging van de informatie.

Voor de teammanagers is een aparte bijeenkomst georganiseerd om ze te helpen bij de uitvoering van het logisch toegangsbeleid. Een ethical hacker heeft tijdens die bijeenkomst, aan de hand van voorbeelden uit de praktijk laten zien wat er kan gebeuren als het logisch toegangsbeleid niet op orde is.

Eenduidige Normatiek Single Information Audit (ENSIA)

Ook dit jaar is in het kader van de ENSIA een zelfevaluatie uitgevoerd. De uitkomsten van die zelfevaluatie worden enerzijds gebruikt om verantwoording af te leggen aan de externe toezichthouders over de toepassing van de aansluitnormen voor DigiD en Suwinet. Daartoe wordt een collegeverklaring opgesteld. De collegeverklaring, die is voorzien van het oordeel van een onafhankelijk auditor, is via een raadsinformatiebrief ook ter beschikking gesteld aan de gemeenteraad.

Anderzijds zijn de uitkomsten van de zelfevaluatie gebruikt om acties te formuleren bij de beveiligingsmaatregelen die nog om aandacht vragen. Dit is onderdeel van een continu proces. De acties zijn opgenomen in het informatiebeveiligingsplan van de organisatie. 

Privacy en AVG

Ook in 2025 werkte de gemeente Rijswijk actief aan het beschermen van de privacy van inwoners. Verzoeken van burgers om hun privacyrechten te laten gelden, werden over het algemeen tijdig afgehandeld. Nieuwe medewerkers volgden trainingen in Informatiebeveiliging en Privacy. De gemelde datalekken werden opgelost en geregistreerd, en er werden risicoanalyses uitgevoerd bij verwerkingen van persoonsgegevens met een hoger risico. Dit laat zien dat de gemeente op veel vlakken goed bezig is met privacy. Er blijven echter aandachtspunten, zoals het verder onderzoeken van privacyrisico’s en het bijhouden van privacyregisters.

De ontwikkelingen op het gebied van privacy en AVG zijn zichtbaar in onderstaande cijfers over de afgelopen drie jaar.

2023

2024

2025

Uitgevoerde DPIA's

9

13

16

Rechten van betrokkenen

11

34

30

Datalekken

23

22

35

Waarvan gemeld aan de AP

1

2

3

Om ervoor te zorgen dat privacy en verantwoord gebruik van persoonsgegevens goed worden opgevolgd, heeft de gemeente daarnaast aandacht besteed aan de volgende onderwerpen:

Kunstmatige intelligentie, algoritmes en robotgestuurde procesautomatisering

In 2025 lag de focus op het veilig en eerlijk gebruiken van kunstmatige intelligentie, algoritmes en robotgestuurde procesautomatisering of Robotic Process Automation (RPA). Het doel is dat deze systemen betrouwbaar en eerlijk werken. Bij RPA worden routinematige taken en processen door software automatisch uitgevoerd, zodat mensen zich op belangrijker werk kunnen richten. De gemeente volgt de Europese regels voor kunstmatige intelligentie, die helpen discriminatie te voorkomen. Het college stelde duidelijke beleidsregels op voor het gebruik van AI, algoritmes en RPA. De eerste algoritmes van de gemeente zijn in 2025 gepubliceerd in het landelijke Algoritmeregister, zodat iedereen kan zien hoe ze worden gebruikt. Vanaf het begin wordt bij deze projecten rekening gehouden met privacy en mensenrechten.

Datagedreven werken

De gemeente is ook begonnen met Datagedreven projecten zoals Data Ondersteunend Werken (DOW). Dit betekent dat beslissingen worden genomen op basis van feiten en cijfers. Zo kan de gemeente beter plannen, problemen sneller oplossen en inwoners op de juiste manier helpen. DOW biedt veel kansen, maar het is belangrijk dat de privacy van inwoners goed wordt beschermd. De gemeente onderzoekt nog hoe deze projecten veilig en volgens de regels uitgevoerd kunnen worden.

Werkprocessen

De gemeente werkt doelgericht aan privacybescherming binnen al haar werkprocessen. Dit betekent dat bij het uitvoeren van taken en projecten wordt gekeken welke persoonsgegevens worden verwerkt, welke risico’s daarbij bestaan en hoe deze risico’s kunnen worden beheerst. Op deze manier wordt de bescherming van persoonsgegevens nog beter ingebouwd in het dagelijkse werk van de gemeente. Met de doorontwikkeling van procesmanagement kan deze aanpak nog beter worden georganiseerd, zodat privacy een vast onderdeel wordt van alle processen.