iconWe hebben extra aandacht voor informatiebeveiliging en privacy

Omgaan met veiligheidsincidenten is een belangrijk onderdeel van ons dagelijks werk

We doen er alles aan om incidenten te voorkomen of zo snel mogelijk op te lossen. Meldingen komen binnen via de Informatiebeveiligingsdienst Gemeenten (IBD), via ons selfservice kanaal of via de responsible disclosure mogelijkheid (voor ethical hackers) op onze website. De incidenten variëren van waarschuwingen over spam- of phishingmail tot aan ernstige incidenten als mogelijke Citrix-lekken of het plaatsen van gijzelsoftware. Zo hebben we vorig jaar tijdens de Citrix-kwetsbaarheden de verbindingen tijdelijk uitgezet en meteen maatregelen genomen.

Datalekken pakken wij apart op

Bij datalekken zijn persoonsgegevens betrokken. Deze pakken wij op via een aparte procedure. Ook beoordelen we of we het lek moeten melden aan de Autoriteit Persoonsgegevens en aan de direct betrokkenen.

Bewustwording kan helpen om het aantal veiligheidsincidenten te beperken

Wij willen ervoor zorgen dat iedere medewerker zich hiervan bewust is. Nu is het nog vaak gericht op alleen nieuwkomers of een groep medewerkers, afhankelijk van de beschikbare capaciteit. We pakken dat samen met de ict-samenwerkingsgemeenten op. Wanneer dat niet gezamenlijk lukt, organiseren we het zelf voor onze medewerkers.

We willen voldoen aan de Baseline informatiebeveiliging Overheid

De Baseline informatiebeveiliging Overheid (BIO) is de opvolger van de Baseline informatiebeveiliging Gemeenten (BIG). In 2020 zijn we gestart met werkzaamheden om aan de BIO te voldoen. Een Information security management system (ISMS) helpt ons om dit te organiseren en te managen. Het doel is om de kwaliteit van de informatieveiligheid nog verder te vergroten. We beoordelen of een ISMS haalbaar en betaalbaar is.

We geven verantwoording over onze informatieveiligheid

Dat doen we via de Eenduidige Normatiek Single Information Audit (ENSIA). De uitkomst komt in een Collegeverklaring informatiebeveiliging en in een verantwoording aan de raad bij de jaarstukken. Onder de ENSIA vallen de audits van DigiD, Structuur uitvoeringsorganisatie Werk en Inkomen (Suwi) en de zelfevaluaties van Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO), Basisregistratie Personen (BRP) en Reisdocumenten.

De taken op het gebied van informatiebeveiliging en privacy nemen nog steeds toe

Dit geldt bij bijna elke nieuwe ontwikkeling. Bij mogelijke kwetsbaarheden en datalekken is directe actie vereist. Wij verwachten daarom dat we onze informatiebeveiligings- en privacy-organisatie robuuster moeten neerzetten.