Informatieveiligheid
Algemeen
Het doel van Informatieveiligheid is de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel niveau te beperken.
Informatiebeveiliging
Informatieveiligheid wordt gerealiseerd door middel van Informatiebeveiliging: maatregelen, procedures en processen die de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen de gemeente garanderen.
BIG en ENSIA
Om gemeenten te ondersteunen bij het Informatiebeveiligingsbeleid is door VNG een Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) ontwikkeld. De BIG bevat de minimale beveiligingsmaatregelen die nodig zijn voor een stabiele, veilige basis binnen de gemeente. Over de BIG en andere wet- en regelgeving dient jaarlijks verantwoording te worden afgelegd.
Wat hebben wij gedaan?
In 2020 is de Baseline Informatiebeveiliging Overheid (BIO) voor de overheid van kracht geworden. Deze vervangt de BIO. Voor het informatiebeveiligingsbeleid hebben wij onderstaand uitgevoerd:
- Horizontale verantwoording
Met Eenduidige Normatiek Single Information Audit (ENSIA) sluit de verantwoording over informatieveiligheid aan op de reguliere planning- en control cyclus van de gemeente aan de gemeenteraad. In 2020 hebben wij verantwoording afgelegd over de Informatiebeveiliging van het vorig jaar door één Collegeverklaring (met verplichte bijlagen) inzake Informatiebeveiliging op te stellen. Over deze verklaring is eind 2020 na verplichte (her)audits een positieve verklaring door een RE-auditor afgegeven en is de stelselhouder Logius (beheerder DigiD) hiervan in kennis gesteld; - Verticale verantwoording
ENSIA structureert ook de verticale verantwoording richting de rijksoverheid, over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet); - In 2019 heeft er een organisatiebrede risico-inventarisatie en GAP-analyse plaatsgevonden met hieraan gekoppeld een concreet actieplan met verbeteracties.
- Eveneens is in 2020 het Handboek Informatiebeveiliging, waarin de procedures op het gebied van personeel en organisatie, huisvesting en informatie en communicatietechnologie zijn opgenomen, geactualiseerd.
- Ten aanzien van het vergroten van de bewustwording zijn in 2020 in verband met CORONA door de CISO en FG een beperkt aantal bewustwordingssessies (via TEAMS) georganiseerd, waarin aandacht is besteed aan informatiebeveiliging (met name thuiswerken) als privacy.
- Beveiligingsplan Suwinet SOW MVS is in samenwerking met Vlaardingen, Schiedam en SOW MVS herzien. Vanuit de BIO en verantwoordingsrichtlijn voor suwinet is het verplicht om dit periodiek te actualiseren.
Algemene Verordening Gegevensbescherming
De Algemene Verordening Gegevensbescherming (AVG) heeft tot doel om de bescherming van natuurlijke personen - en dan met name de verwerking van persoonsgegevens - te waarborgen.
Overzicht verwerkingen
Een van de onderdelen van de verantwoordingsplicht, die de gemeente in het kader van de AVG heeft, is het bijhouden van een register van verwerkingsactiviteiten, ook wel verwerkingsregister genoemd.
Het bestaande register is in 2020 geactualiseerd. Nieuwe verwerkingen zijn toegevoegd en het register is uitgebreid met enkele items (Convenant, DPIA en dataclassificatie).
Data protection impact assessment
Als een (beoogde) gegevensverwerking een hoog privacy-risico met zich meebrengt, dan dient er een zogeheten ‘data protection impact assessment’ (DPIA) uitgevoerd te worden. Dat is een instrument om vooraf de privacy-risico’s van een gegevensverwerking in kaart te brengen en vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen.
In 2020 zijn voor de volgende verwerkingen DPIA’s uitgevoerd:
- Internet rechercheren (ondermijning)
- Peutermonitor
Meldplicht datalekken
Datalekken en beveiligingsincidenten worden bij de gemeente Maassluis gemeld en geregistreerd in het meldingssysteem TOPdesk. Na aanmelding van een datalek draagt het Kernteam Informatiebeveiliging & Privacy - conform de betreffende procedure - zorg voor de afhandeling ervan. Indien noodzakelijk wordt er een melding gedaan bij de Autoriteit Persoonsgegevens (AP). Het Kernteam IB&P heeft in 2020 te maken gekregen met vier datalekken. Omdat in alle gevallen de gevolgen voor betrokkene verwaarloosbaar waren, is geen melding gedaan bij de Autoriteit Persoonsgegevens.
Of een datalek gemeld moet worden bij de AP, is afhankelijk van de (potentiële) impact van het datalek op de bescherming van persoonsgegevens en de persoonlijke levenssfeer van betrokkene(n). Met andere woorden: een datalek moet gemeld worden bij de AP wanneer dit zou kunnen leiden tot een risico voor de rechten en vrijheden van betrokkene(n).