Paragrafen

Bedrijfsvoering

Informatiebeveiliging
Informatiebeveiliging is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging’ heeft betrekking op:

  • beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers;
  • exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn;
  • integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.

Beleid gemeente Almelo
De gemeente is zelf verantwoordelijk voor het opstellen en uitvoeren en handhaven van het beleid, dat op 5 juni 2018 door het college is vastgesteld. Hierbij geldt:

  • Er is wetgeving waar altijd aan voldaan moet worden, zoals niet uitputtend: AVG, BRP, SUWI, BAG en PUN, maar ook de archiefwet.
  • Er is een gemeenschappelijk normenkader als basis: de Baseline Informatiebeveiliging Overheid (BIO).
  • De gemeente stelt dit normenkader vast, waarbij er ruimte is voor afweging en prioritering op basis van het ‘pas toe of leg uit’ principe.

De verantwoordelijkheid voor informatiebeveiliging ligt bij het (lijn)¬management, met het College van B&W als eindverantwoordelijke. Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen het management systeem van informatiebeveiliging.

Bij informatiebeveiliging zijn 3 pijlers van belang:

  1. Mensen
  2. Processen
  3. Techniek

Techniek is van groot belang, maar wanneer de mensen niet weten hoe zij dienen te handelen lopen we alsnog flinke risico’s. Dus hameren we op kennis, houding en gedrag in bewustwordingsprogramma’s om zo de juiste cultuur te krijgen binnen de organisatie. Processen zijn nodig voor het gecontroleerd afhandelen van bijvoorbeeld wijzigingen en beveiligingsincidenten.

Er zijn drie soorten Informatiebeveiligingsmaatregelen:

  1. Preventie, dit zijn maatregelen om te voorkomen dat er dingen fout gaan. Dit zijn bijvoorbeeld implementatie van een spamfilter, een virusscanner, een firewall, maar ook een campagne om medewerkers bewust te maken van hun rol bij informatiebeveiliging.
  2. Detectie. 100% veiligheid bestaat niet, er is altijd een kans dat er iets gebeurt. Daarom zijn er ook maatregelen nodig om een beveiligingsincident te ontdekken. Dit kunnen technische maatregelen zijn, die vreemd gedrag detecteren, maar ook campagnes om medewerkers bewust maken dat zij incidenten moeten melden.
  3. Reactie. Als een incident is gedetecteerd moet er worden gereageerd om te voorkomen dat het groter wordt en te zorgen dat het wordt gestopt, en dat datalekken op tijd en juist worden gemeld. Dit zijn veelal procesmatige maatregelen. Er zal dan ook moeten worden gekeken of nog maatregelen nodig zijn om herhaling te voorkomen.

Actuele ontwikkelingen
Naarmate er meer taken decentraal bij de gemeenten worden gelegd en inwoners meer worden betrokken bij de inrichting van hun leefomgeving zullen er meer processen ontstaan waarin persoonsgegevens worden verwerkt. Nieuwe processen en veranderingstrajecten vragen erom dat IT-systemen en applicaties de persoonsgegevens standaard op een hoog niveau beveiligen. Bovendien hoeven de gebruikers van de systemen (zelf) geen extra handelingen te verrichten om de gegevens te beschermen.

Uitgangspunt is om standaard zo min mogelijk gegevens te verwerken. Het vereist daarnaast dat de standaardinstellingen van een product of dienst altijd zo privacyvriendelijk mogelijk zijn.

Bij de keuze van toekomstige nieuwe cloud-applicaties, waarbij de leverancier toegang heeft tot (bijzondere) persoonsgegevens, zal een verwerkersovereenkomst moeten worden opgesteld. De gemeente zal, net als in 2020 d.m.v. de vragenlijst AVG in ENSIA verantwoording moeten afleggen over informatiebeveiliging aan haar toezichthouder (zie ‘Begroting 2021 Paragraaf 5.5.7 Informatiebeveiliging).

Kosten
In de begroting is een bedrag opgenomen van 96.000 euro voor informatiebeveiliging. Daarnaast worden bij de exploitatie en aanschaf van soft- en hardware ook kosten gemaakt voor informatiebeveiliging.

ga terug
Deze pagina is gebouwd op 01/07/2021 12:01:28 met de export van 01/07/2021 11:59:45