Informatieveiligheid speelt een belangrijke rol binnen overheidsinstanties. Dit omdat de kans om slachtoffer te zijn van cybercriminaliteit sterk is toegenomen, en het belang van dit onderwerp ook vaker wordt besproken in de landelijke media. Inwoners moeten er op kunnen vertrouwen dat er zorgvuldig en veilig wordt omgegaan met hun identiteit- en persoonsgegevens. Een betrouwbare en veilige overheid is vandaag de dag ook belangrijker dan ooit.
Er zijn in 2021 veel stappen gezet als het gaat om de informatieveiligheid van de organisatie. Zo is zoals voorgaande jaren de ENSIA audit uitgevoerd. Deze audit is tweedelig, aan de ene kant wordt er verantwoording afgelegd aan het Rijk (verticale verantwoording), en aan de andere kant aan de gemeenteraad (horizontale verantwoording).
In 2021 is een interne audit in het kader van de Wet Politiegegevens (WPG) uitgevoerd. Naar aanleiding van deze audit zijn er nieuwe procedures en huidige werkwijzen aangepast en opgesteld. De externe audit in het kader van de WPG moet nog plaatsvinden waarna de algehele uitkomsten worden gestuurd naar de Autoriteit Persoonsgegevens (AP).
De gemeente heeft in 2021 fors aandacht besteed aan bewustwording en de collega’s hebben gedurende het hele jaar aldus een intensief traject gevolgd. De onderwerpen waren vrij uiteenlopend, van 'social engineering' tot het herkennen van 'phishing' mails. Ook zijn er twee organisatie brede sessies georganiseerd samen met de burgemeester, de functionaris gegevensbescherming (FG) en de CISO/Privacy Officer om het onderwerp weer goed onder de aandacht te brengen. Enkele maanden na de uitrol is er ook een organisatie brede quiz georganiseerd om de kennis van de collega’s op een ludieke wijze te testen.
In 2021 zijn organisaties wereldwijd geconfronteerd geweest met een groot beveiligingsincident, namelijk de log4j kwetsbaarheid. Dit incident heeft lang gespeeld binnen overheidsinstanties. De gemeente heeft hier tijdig de nodige mitigerende en voorkomende maatregelen voor te nemen en incidenten te voorkomen. Zo’n grootschalige incident toont dat grip op informatieveiligheid essentieel blijft.
In 2021 zijn opnieuw een aantal protocollen en procedures vastgesteld. Er is een procedure voor DPIA's en een protocol ‘Beveiligingsincidenten en Datalekken’ opgesteld.
In 2021 is het 'Information Security Management System' (ISMS) aangeschaft en geïmplementeerd. Een ISMS is een managementsysteem waarin het risicobeheerproces centraal staat, zodat risico’s ook adequaat worden beheerd. Het ISMS is de motor van de informatiebeveiligingsactiviteiten en wordt onderhouden via een Plan-Do-Check-Act (PDCA) cyclus. en De eerste nulmeting is in 2021 uitgevoerd en afgesloten.
Het opstellen van een register van verwerkingen is onder de Algemene Verordening Gegevensbescherming (AVG) een verplichte maatregel. Dit register is in 2021 voor de gemeente Landsmeer opgesteld en voldoet aan de wettelijke vereisten voortvloeiend uit de AVG. Het register is tevens goedgekeurd door de Functionaris Gegevensbescherming (FG).
Ook worden er steeds meer verwerkersovereenkomsten afgesloten en eisen gesteld aan de leveranciers als het gaat om hun niveau van informatiebeveiliging. Wanneer de gemeente Landsmeer werkzaamheden uitvoert waarbij persoonsgegevens verwerkt worden, en deze uitbesteed zijn bij een andere partij, moeten er namelijk afspraken worden gemaakt over onder andere de bescherming en verwerking van de persoonsgegevens. Verwerkersovereenkomsten worden dus bij nieuwe diensten afgesloten.
