Jaarstukken 2019

Paragrafen

Bedrijfsvoering

Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met informatie omgaat. Wij spelen hier als gemeente een belangrijke rol in. Het gaat om beschikbaarheid, integriteit en vertrouwelijkheid van informatie, in de meest brede zin van het woord. Het waarborgen van de betrouwbaarheid van informatie zorgt voor een goede kwaliteit en continuïteit van de bedrijfsvoerings- en dienstverleningsprocessen.

Hoe staan we ervoor?
Gemeente Medemblik heeft het strategische informatiebeveiligingsbeleid aangepast voor het jaar 2019-2023. Vanaf 2020 geldt er een nieuwe normering, wat voorheen Basis Informatiebeveiliging voor Gemeenten (BIG) heette gaat over naar Basis Informatiebeveiliging voor Overheden (BIO), dit brengt op het gebied informatiebeveiliging en verantwoordelijkheden en het managen hiervan veranderingen met zich mee.

Binnen de BIG was er een uitwerking op een maatregel die voornamelijk ook statisch plaatsvond, vanaf de BIO is er een andere insteek nodig om te voldoen aan de verplichtingen vanuit het rijk.

De aandachtsgebieden liggen bij:

  • Verantwoording
  • Risicomanagement
  • PDCA (Plan-Do-Check-Act)
  • ISMS (Informatiesystematiek Management systeem)
  • Continuïteit

Binnen deze kenmerken zal ook de verantwoording richting het rijk plaatsvinden, dat betekent ten opzichte van de huidige werking op het gebied van informatiebeveiliging een volledige transitie naar de verplichtingen die door het rijk worden gesteld.

Om deze veranderingen gestaag en met draagvlak binnen de gemeente vorm te laten geven en krijgen is er voor spreiding gezorgd binnen deze overgang/transitie naar BIO.

Deze veranderingen en het transformeren van BIG naar BIO heeft geleid tot een Informatiebeveiligingsplan 2020-2023. Hierin zijn de stappen en begrotingen opgenomen om te komen tot een geïmplementeerde nulmeting. Na deze periode zal er verdere samenwerking zijn binnen projecten (vanuit organisatie, middelen en software) om vooraf actief te analyseren welke risico’s er zijn op uitvoering, of de huidige maatregelen toereikend zijn en/of er aanpassingen binnen de procedures en beschreven gebieden noodzakelijk zijn.

De borging van een gewenst beveiligingsniveau staat en valt met het creëren van voldoende bewustzijn bij medewerkers. Wij voerden het afgelopen jaar bewustwordingsacties uit, onder andere door phishing-testen. Gezien een stijging binnen ransomware en het volledig kunnen ontregelen van je bedrijfsprocessen zal dit in 2020 ook nog de nodige aandacht krijgen alsmede een mystery-guest die onze toegankelijkheid komt toetsen en clean- en clear desk policy.

ENSIA (Eenduidige Normatiek Single Information Audit)
We legden het afgelopen jaar de ENSIA verantwoording af en leverde dit tijdig in. Door middel van verschillende sessies met betrokken medewerkers hebben we de ENSIA zelfevaluatievragenlijsten ingevuld en verbeteracties geformuleerd. Wij leggen, op basis van ENSIA, met een collegeverklaring verantwoording af aan de raad over de geselecteerde informatiebeveiligingsnormen inzake SUWInet. Een externe IT-auditor heeft inmiddels tijdens een pre-audit verklaard dat de interne beheersingsmaatregelen in opzet en bestaan voldoen aan de geselecteerde normen inzake SUWInet. De daadwerkelijke audit zal in het eerste kwartaal van 2020 plaatsvinden.

De Algemene Verordening gegevensbescherming (AVG) stelt eisen aan de omgang met en het verwerken van persoonsgegevens. Binnen de gemeente Medemblik wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners Deze persoonsgegevens worden voornamelijk gebruikt voor het goed uitvoeren van de gemeentelijke (wettelijke) taken.

Voorafgaand en na inwerkingtreding van de AVG in 2018 is hard gewerkt aan het implementeren van de AVG. Zo is er tijdig privacy beleid geïmplementeerd en zijn verantwoordelijkheden in de organisatie belegd.

In 2019 zijn er verdere stappen gezet naar het voldoen aan de AVG, zoals:

  • Het verder en verdiepend uitwerken van de formele verplichtingen van de AVG;
  • Het aanbesteden en implementeren van een AVG-beheertool;
  • Het per afdeling aanwijzen van privacy medewerkers. De privacy medewerkers ondersteunen de privacy officer bij het onder controle krijgen van de nieuwe regels;
  • Het uitvoeren van verschillende privacy onderzoeken op werkprocessen en digitale systemen.
  • Het organiseren van bewustwordingsacties. In 2019 zijn er verschillende bewustwordingsacties georganiseerd.
  • Het vaststellen van een nieuw privacy protocol voor de omgang met gegevens van medewerkers.

De Functionaris Gegevensbescherming heeft in zijn jaarrapportage geconstateerd dat de gemeente Medemblik in 2019 goed privacy beleid heeft gevoerd. Tevens wordt geconstateerd dat de gemeente goed werkende procedures heeft voor de omgang met datalekken en de privacy verzoeken van inwoners. De Functionaris Gegevensbescherming constateert dat de gemeente ruimte tot verbetering heeft op de onderwerpen als fysieke en digitale toegang en het ‘privacy proof’ inrichten van digitale systemen.

Deze pagina is gebouwd op 06/30/2020 16:40:52 met de export van 06/30/2020 16:38:05