Informatiebeveiliging
Baseline Informatiebeveiliging Overheid (BIO)
De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor informatiebeveiliging en geeft het basisniveau voor informatiebeveiliging waar alle overheidspartijen aan moeten voldoen. Landelijk wordt gewerkt aan een update van het normstelsel om beter aan te sluiten bij de daadwerkelijke cyberdreigingen. De gemeente volgt dit proces nauwlettend. De BIO wordt vanuit de ENSIA met een self-assessment gecontroleerd. Daarnaast is in 2023 een pentest (op de ICT infrastructuur en ook in de vorm van een mystery-guest) uitgevoerd met opvolgend een herhalingstest na het treffen van mitigerende maatregelen.
Penetratietest en mystery guest
De penetratietest/Pentest is uitgevoerd op de ICT die vanaf het internet bereikbaar is en in het interne netwerk. Daarnaast zijn testen uitgevoerd zonder (black-box) en met inloggegevens (grey-box). De resultaten van de pentest zijn omgezet in verbeteracties. Per eind 2023 zijn er geen kritische bevinden meer. Enkele bevindingen van verouderde software (4 componten) in het interne netwerk op servers/netwerkapparatuur die actief uitgefaseerd/vervangen worden. Deze worden automatisch als een “hoog risico” geclassificeerd. Bevindingen met een risicoklasse gemiddeld of laag zijn geaccepteerd.
Mystery guest: door het bezoek van de mystery guest zijn er aanbevelingen gedaan op het gebied van clean-desk en de toegankelijkheid van het gemeentehuis. Met de verhuizing van burgerzaken weer naar het gemeentehuis zullen de aanbevelingen verder worden uitgewerkt (bv zonering in het gemeentehuis).
ENSIA traject; horizontale en verticale verantwoording (raad en Rijk)
Het college van burgemeester en wethouders legt over het jaar 2023 verantwoording af over de stand van zaken op het gebied van informatiebeveiliging binnen de gemeentelijke organisatie. Dit gaat op basis van de landelijke en voor gemeenten verplichten Eenduidige Normatiek Single Information Audit (ENSIA) systematiek. We leggen verantwoording af aan de gemeenteraad (horizontale verantwoording) en aan de verschillende toezichthouders (verticale verantwoording).
ENSIA is een verantwoordingsmethodiek waarmee de gemeente op een eenduidige manier verantwoording aflegt over informatiebeveiliging, dit gebeurt door middel van een zelfevaluatie.
ENSIA Audit
De ENSIA-tooling ondersteunt het uitvoeren van de zelfevaluatie en het beschikbaar stellen van relevante informatie aan de betrokken partijen met een toezichthoudende verantwoordelijkheid.
Voor de uitvoering van de WGS (Wet Gemeentelijke Schuldhulpverlening) en de BRP (Basis Registratie Personen) zijn enkele aanbevelingen gedaan. Deze worden in 2024 verholpen zodat we in 2024 voldoen aan de gestelde eisen.
Algemene Verordening Gegevensbescherming (AVG) 2023
Privacy-organisatie
In 2023 is een externe Functionaris Gegevensbescherming (FG) ingehuurd en Irma Stolk is Privacy Officer (PO) geworden. Er wordt momenteel met omliggende gemeenten gezocht naar een gezamenlijke FG.
Op het gebied van privacy is een achterstand opgelopen in onder andere het bijwerken van het register van verwerkingen. Een actualisatieproject is hiervoor opgestart.
Uit de 0-meting is ook gebleken dat er een aantal significante achterstanden zijn op het gebied van gegevensbescherming. De achterstanden worden in kaart gebracht en er wordt een plan van aanpak gemaakt om de achterstanden weg te werken.
Audit Wet Politie gegevens (WPG)
Als werkgevers van boa’s zijn gemeenten volgens de Wet politiegegevens (WPG) verplicht om iedere 4 jaar een externe audit te laten uitvoeren en de resultaten te delen in een Wpg-auditrapport met de Autoriteit Persoonsgegevens (AP). De deadline was 31 december 2023. Daarnaast zijn gemeenten verplicht jaarlijks een interne audit uit te voeren.
De interne audit heeft in 2023 plaatsgevonden. Aan de hand hiervan is het team verder gegaan met de uitwerkingen zodat de externe audit in 2024 uitgevoerd kan worden.
Training
Voorbereidingen getroffen voor de training bewustwording informatiebeveiliging en privacy. Ook wordt bekeken om de Bodegraven-Reeuwijk Academy verder uit te breiden met informatie over dit onderwerp.
ISMS
In 2023 is gestart met de implementatie voor het ISMS (information Security Management System. Hierin wordt de registratie van datalekken en beveiligingsincidenten bijgehouden. Dit systeem wordt nog verder ingericht.
In 2023 zijn 3 datalekken geregistreerd van beperkte omvang, waardoor deze niet (conform de richtlijnen) bij de Autoriteit Persoonsgegevens zijn gemeld. Er zijn 10 beveiligingsincidenten gemeld.
Datalekken: 3, waarvan 0 gemeld bij AP.
Beveiligingsincident: 10