Informatieveiligheid
Cybercriminaliteit neemt drastisch toe, zowel in frequentie als complexiteit, en met een groeiende impact. Daarom treffen we beveiligingsmaatregelen om inbreuken op onze systemen te voorkomen.
De organisatie heeft in 2025 stappen gezet ter voorbereiding op nieuwe regelgeving, zoals NIS2 en de daaruit voortvloeiende Nederlandse Cybersecuritywet. Doel van deze regelgeving is dat gemeenten digitaal weerbaar worden. In lijn met de Cybersecuritywet zijn monitoring en response ingevoerd, inclusief de daarbij behorende processen. Hiermee wordt 24/7 onder andere gecontroleerd op verdachte inlogpogingen. En als er, ondanks alle aanwezige beveiligingsmaatregelen, toch iets gebeurt, kunnen we direct ingrijpen om het incident te stoppen en verdere schade te voorkomen.
Er is veel aandacht besteed aan de rol van de functioneel beheerders als het gaat over informatieveiligheid en het belang om de autorisaties en logging volgens BIO2-normen vorm te geven. Er is vastgesteld welke kritische applicaties de gemeente heeft. Dat zijn applicaties die essentieel zijn om de dienstverlening te continueren en waarvoor, in geval van langdurige incidenten, alternatieve processen moeten zijn geregeld. Er worden via nieuwe of aangepaste changeprocedures (inkoop) afspraken gemaakt met leveranciers over informatieveiligheid en privacy. Medio 2025 is in de changeprocedures ook het onderwerp en daarmee de toetsing op AI en Algoritmes opgenomen.
De ENSIA-verantwoording over 2024 is in april 2025 afgerond. Via een collegeverklaring en bestuursrapportages is verantwoording afgelegd aan diverse ministeries over onze informatieveiligheid. In het besluitvormingstraject hierover nemen we jaarlijks ook de rapportage over informatieveiligheid en privacy van de informatiebeveiligingscoördinator/ functionaris gegevensbescherming mee. De uitkomsten van de verantwoording waren positief, er waren geen verbeterplannen nodig. Uw raad is hierover geïnformeerd door het verstrekken van de collegeverklaring en het jaarverslag Informatieveiligheid en Privacy.
Privacy
Een gemeente beschikt over veel persoonsgegevens van haar inwoners, ondernemers, medewerkers en samenwerkingspartners. Gemeenten moeten voorzichtig zijn met de (digitale) persoonsgegevens die zij verzamelen en beheren om de privacy van hun inwoners, ondernemers en medewerkers te waarborgen. De regels hiervoor liggen vast in Europese regelgeving; de AVG die sinds 25 mei 2018 van kracht is, en de Nederlandse uitwerking daarvan (uAVG).
Een gemeente moet minimaal actuele privacy impact analyses (DPIA’s) hebben geregistreerd van gegevensverwerkingen waar sprake is van een hoog privacy risico. Hiervan is sprake wanneer er veel persoonsgegevens worden geregistreerd en wanneer er zeer gevoelige gegevens worden bijgehouden over personen. In 2025 is gewerkt aan het vastleggen en, in sommige gevallen, updaten van de ‘must have DPIA’s’ zoals door de IBD zijn gedeeld. Daarnaast is met alle afdelingen het verwerkingenregister geactualiseerd. Verder is het anonimiseren via een tool E-anonimiseren verplicht gesteld. Dit om te zorgen dat bij het verstrekken van documenten en het openbaar maken van documenten het verwijderen van persoonsgegevens en andere vertrouwelijke informatie duurzaam is en niet meer te herleiden is. Daarnaast is een nieuwe applicatie voor veilig mailen uitgerold. De applicatie maakt het mogelijk om vertrouwelijke informatie en persoonsgegevens veilig te versturen. Ook grote bestanden kunnen worden meegezonden.
Daarnaast is er periodiek aandacht voor bewustwording. In 2025 hebben alle medewerkers die een bepaalde tijd in dienst zijn opnieuw een verplichte e-learning Informatieveiligheid en Privacy gevolgd. Want onze medewerkers vormen de laatste en een belangrijke schakel wanneer de basismaatregelen onverhoopt niet afdoende functioneren.
Conform de Wet politiegegevens (Wpg) is in 2025 een externe audit uitgevoerd over 2024. De uitkomst van deze audit biedt inzicht om de interne organisatie van persoonsgegevens conform de Wpg verder te verbeteren. Deze externe audit is ook verstrekt aan de Autoriteit Persoonsgegevens.
Zie voor meer gedetailleerde informatie het jaarverslag Informatieveiligheid, Privacy en WPG 2025.
