ENSIA 2019
Het grootste deel van de gemeentelijke administratie is digitaal. Dat betekent dat de gemeentelijke systemen vol staan met privacygevoelige informatie en met informatie die nodig is om de dagelijkse werkzaamheden uit te kunnen voeren. Om de gegevens en systemen te beschermen tegen aanvallen van buitenaf (hackpogingen) en om te voorkomen dat gegevens vanuit de organisatie per ongeluk naar buiten worden gebracht (datalekken) heeft de gemeente Zwartewaterland een scala aan maatregelen getroffen. Daarbij kun je denken aan fysieke maatregelen zoals toegangsbeveiliging van het gebouw en de afdelingen, screening van medewerkers en controle op toegang tot systemen, maar ook aan technische maatregelen die het moeilijk maken om van buitenaf (e-mail, internet, mobiele apparaten) in onze systemen te komen.
Alle gemeenten in Nederland zijn verplicht om op de meest kwetsbare onderdelen van de systemen jaarlijks een evaluatie te houden over de mate waarin die onderdelen voldoende veilig zijn. Daarvoor is een standaard evaluatie methode ontwikkeld, met vragenlijsten en rapportages, ENSIA genaamd. Via Ensia legt het college van burgemeester en wethouders vertrouwelijk verantwoording af aan de gemeenteraad en aan de toezichthoudende ministeries.
Over het algemeen kan voor de gemeente Zwartewaterland worden gesteld dat de maatregelen met betrekking tot informatiebeveiliging voldoende zijn. Diverse testen en evaluaties tonen aan dat de maatregelen tegen aanvallen van buitenaf afdoende werken. Ook is de informatie in de systemen die deel uitmaken van de evaluatie voldoende beveiligd. Dat wil echter niet zeggen dat we als gemeente achterover kunnen leunen. De techniek en mogelijkheden die kwaadwillenden tot hun beschikking hebben om in de systemen binnen te dringen worden steeds groter. Tegelijkertijd neemt het gebruik van systemen en daarmee de opslag van informatie in die systemen nog steeds toe. Daar komt bij dat gebruikers (zowel medewerkers, als digitale bezoekers) de wens en verwachting hebben om eenvoudig en snel toegang te hebben tot de informatie dat op dat moment nodig is. Die wens is strijdig met het belang van een gecontroleerde toegang tot een beperkte hoeveelheid informatie. Om in dat spanningsveld continu datgene te doen dat goed is, moet de gemeente blijvend aandacht en begrip vragen voor het belang van informatieveiligheid en investeren in technische maatregelen om de systemen en informatie te beschermen.
Privacy
In 2019 is er verdere inspanning verricht om te voldoen aan de basiselementen uit de AVG. Dit betekent dat er onder andere privacybeleid is opgesteld, verwerkersovereenkomsten zijn gesloten, een datalekkenregister wordt bijgehouden en dat er beleid voor het uitvoeren Data Protection Impact Assesments is opgesteld.
Tevens is een begin gemaakt met het toetsen van werkprocessen binnen de gemeenten aan de beginselen uit de AVG. Ook is er ingezet op bewustwording van werknemers. Dit blijft een belangrijk aandachtspunt de komende jaren. Om tot een hoger volwassenheidsniveau te komen, gaan we de meest risicovolle verwerkingen verder in kaart brengen en waar nodig van beheersingsmaatregelen voorzien.
Een verdere inbedding van de eisen uit de AVG zal pas slagen wanneer dit gepaard gaat met meer procesmatig werken en een verdere digitalisering van de werkprocessen. Hier is in 2019 een start mee gemaakt door de verbinding op te zoeken met andere disciplines binnen de gemeente zoals informatiebeveiliging en Informatisering en Automatisering.