IB-beleid, doelstellingen en afspraken
Vanaf 1 januari 2020 is de Baseline Informatieveiligheid Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor gemeenten, rijk, provincies en waterschappen. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek. De BIO legt meer nadruk op risicomanagement dan de huidige baseline, die meer gaat over specifieke maatregelen. Ook bevat de BIO minder maatregelen maar deze zijn, indien van toepassing, verplicht. In 2019 is gestart met het actualiseren van het Gemeentebreed Informatieveiligheidsbeleid. De BIO wordt hierbij als uitgangspunt gehanteerd.

Algemeen beeld en resultaten afgelopen periode
Informatieveiligheid gaat verder dan ICT alleen. Beveiliging van gegevens en systemen is een zaak van de gehele organisatie. Het gaat om de mensen in de organisatie, om de manier waarop zij met risico’s omgaan. Het gaat om het inrichten van processen en procedures, om kennis en bewustzijn. En in de laatste plaats om techniek. Of de dreiging nu komt van een onbewuste medewerker, een criminele organisatie of een stroomstoring; de technische en organisatorische maatregelen om schade te voorkomen, te beperken en te vermijden zijn hetzelfde. Risicomanagement is de basis van een goede informatiebeveiliging.
Inwoners en ondernemers moeten erop kunnen vertrouwen dat hun gegevens veilig zijn, dat de informatie die de gemeente uitwisselt met andere overheden betrouwbaar is en dat de gemeente zorgt voor een veilige leefomgeving. Betrouwbare informatie is de belangrijkste grondstof voor een gemeente om haar werk goed te kunnen doen. Hiervoor is informatieveiligheid een randvoorwaarde. De risico’s van een slechte informatiebeveiliging zijn talrijk; privacyschendingen door een datalek, economische schade door het uitlekken van vertrouwelijke plannen, fysieke schade door storingen van systemen in de openbare ruimte, imagoschade door het uitvallen van de dienstverlening en ondermijning van gemeentelijke processen.

De Informatiebeveiligingsdienst (IBD) formuleert in haar Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten 2019/2020 de volgende risico’s:

1. Informatiebeveiliging en privacy hebben (onterecht) het imago niet bij te dragen aan de dienstverlening, waardoor ze in een laat stadium worden betrokken;
2. Gemeenten hebben onvoldoende inzicht in de risico’s;
3. Gemeenten zijn onvoldoende weerbaar door het ontbreken van basismaatregelen;
4. Gemeenten besteden relatief veel tijd aan verantwoording, waardoor te weinig tijd is voor het invulling geven aan risicomanagement;
5. Digitale weerbaarheid van gemeenten staat onder druk door een toenemende complexiteit van ontwikkelingen als blockchain, AI, smart cities en big data.

In Langedijk is de toetsing van I-projecten centraal belegd zodat informatieveiligheid en privacy tijdig betrokken kunnen worden bij projecten met een informatie-/datacomponent. Eind 2019 wordt naar verwachting een managementsysteem geïmplementeerd voor informatieveiligheid en privacy, waardoor de monitoring en verantwoording efficiënter kan plaatsvinden. Begin 2020 wordt een voorziening geïmplementeerd waarmee informatie veilig uitgewisseld kan worden met externe partijen. Hiermee wordt ook invulling gegeven aan de nieuwe eisen van de Wet verplichte GGZ. Ten aanzien van het inzicht in informatiebeveiligingsrisico’s staat ook in Langedijk het risicomanagement nog in de kinderschoenen.

Disclaimer
Het bereiken van volledige informatieveiligheid, waarbij zich geen incidenten voordoen zonder gevolgen voor de organisatie, is helaas een illusie. De maatregelen op het gebied van informatiebeveiliging bieden vaak alleen bescherming tegen bekende bedreigingen en lopen daardoor achter op de realiteit. Daarnaast is de invloed van menselijk handelen op informatieveiligheid groot. Een alerte signalering van en ingrijpen bij daadwerkelijke incidenten zijn daarom zo mogelijk van nog groter groot belang dan het preventief beveiligen van informatie.

Beheersmaatregelen IB
Een belangrijke beheersmaatregel is, naast het opzetten van de beleidscyclus, het bewustmaken van het management en de medewerkers binnen de gemeentelijke organisatie van hun verantwoordelijkheid ten aanzien van informatieveiligheid en deze te borgen in de werkprocessen. Door deze borging ontstaat een stabiele basis, die een voorwaarde vormt voor de eventuele vervolgstappen naar technische voorzieningen en/of aanvullende procedures. Naast actualisatie van het gemeentebreed informatieveiligheidsbeleid is in 2019 aandacht besteedt aan bewustwording door gesprekken, presentaties en publicaties. Een gemeentebreed bewustwordingsprogramma zal in 2020, nadat de werkorganisatie is opgericht, worden uitgerold.

Realisatie doelstellingen IB-beleid (effectiviteit beheersmaatregelen en risico’s)

Incidenten
In 2019 zijn tot op heden 9 beveiligingsincidenten waarvan 5 datalekken gerapporteerd. Dit is een beperkte toename ten opzichte van 2018 waarin 4 beveiligingsincidenten en 3 datalekken werden gerapporteerd. Het is de verwachting dat, als gevolg van de inzet op bewustwording van de organisatie, het aantal gerapporteerde incidenten zal toenemen, doordat deze als zodanig zullen worden herkend.

Privacy
In 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Zoals verplicht gesteld door deze wet is een Functionaris Gegevensbescherming (FG) aangesteld. Deze FG is, samen met de CISO, ISO en Privacy Officers onderdeel van het team Informatiebeveiliging en Privacy (IB&P) dat de (wettelijke) taken coördineert, toetst en toezicht houdt op de wettelijke taken ten aanzien van privacy. Naar aanleiding van een in 2018 uitgevoerde nulmeting is een goed beeld ontstaan van het kennisniveau en de mate waarin de privacywetgeving door de organisatie wordt nageleefd. De conclusie die hieruit getrokken kan worden is dat op de getoetste onderdelen, die met name betrekking hadden op de beginselen van en verplichtingen voortkomend uit de AVG, de organisatie qua privacyvolwassenheid laag scoort en hier de nodige stappen gezet moeten worden.

Meerjarenperspectief
In 2020 en verder zullen nadere stappen worden gezet op het pad naar een hogere privacyvolwassenheid van de organisatie en meer compliancy ten aanzien van de privacywetgeving. Door middel van privacy by design (bij ontwerpen van processen/producten al rekening houden met privacyaspecten) en in een zo vroeg mogelijk stadium betrokken worden bij overige ontwikkelingen, die een privacycomponent in zich hebben, wordt geborgd dat op het juiste moment geadviseerd kan worden over privacy- en informatiebeveiligingsaspecten.
Voor 2020 zal het verder vergroten van de kennis en vaardigheden bij alle medewerkers worden voortgezet. Dit laatste betreft een continu proces wat wordt ondersteund met een gemeentebreed bewustwordingsprogramma. Het doel is om daarmee toe te werken naar ‘onbewust bekwaam’ gedrag zodat de kans op mogelijke risico’s zoveel mogelijk wordt verkleind. Het programma zal zich zowel richten op informatiebeveiliging als op privacy.
Daarnaast zal de weg die in 2019 is ingezet met het uitvoeren van DPIA’s worden voortgezet bij nieuwe verwerkingen met een risico voor betrokkenen. Ook voor bestaande verwerkingen zullen DPIA’s worden uitgevoerd. De uitvoering hiervan zal zoveel mogelijk bij de proceseigenaars belegd worden, aangezien het hun processen zijn. Het IB&P team zal hierbij ondersteunen. Hierbij verdienen met name convenanten waarbij de gemeente partij is de nodige aandacht.
De FG tenslotte zal periodiek de thermometer in enkele risicovolle processen steken om te toetsen of hierin wordt voldaan aan de vereisten van de AVG. De reeds uitgevoerde nulmeting zal hiervoor de basis vormen.

Ten aanzien van informatiebeveiliging zullen komend jaar de geprioriteerde beveiligingsmaatregelen worden geïmplementeerd die worden vereist vanuit de BIO. Uiteindelijk is het doel om de risico’s op de drie pijlers van informatiebeveiliging (beschikbaarheid, integriteit en vertrouwelijkheid) zoveel mogelijk te beperken. Voorbeelden van beheersmaatregelen die daartoe bijdragen zijn het op orde krijgen van de processen die ervoor zorgen dat de continuïteit van de bedrijfsvoering wordt beheerst en het voorkomen van onbevoegde fysieke toegang tot gemeentelijke terreinen en/of informatie. Daarnaast zal de aanpak van cybercrime (zoals vermeld in het LIVP) met de samenwerkingspartners worden opgepakt.