Als gemeente zijn we schatbewaarder van een breed scala van data, zowel van inwoners als van ondernemers en andere organisaties. Door het gebruik van deze data kunnen wij onze dienstverlening steeds verder verbeteren en optimaliseren en een bijdrage leveren aan realiseren van het raadsprogramma, het coalitie akkoord en de missie en visie van onze gemeente.
Gemeenten moeten zich elk jaar verantwoorden over de kwaliteit van de informatieveiligheid van diverse informatiesystemen. Dit moet verplicht met de audit systematiek Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Overheid ( BIO ). Dit gebeurt door middel van een zelfevaluatie op de normen van de BIO aangevuld met zelfevaluaties op de Basisregistraties en een audit op de normen van het gebruik van DigiD en Suwinet. RID
De kwaliteit van de informatieveiligheid en de diverse informatiesystemen worden geborgd in de samenwerking met de RID-ICT. Voor een groot deel worden de general en applicationcontrols ingericht en onderhouden door de RID. Bij de RID zit een belangrijke waarborg voor de betrouwbaarheid van de systemen. De kwaliteit van de RID en de afspraken met de RID zijn daarmee van fundamenteel belang. Vanwege dit belang heeft de accountant ook verschillende adviezen opgenomen in zijn rapporten over de relatie tussen de RID en de gemeente. Baseline Informatiebeveiliging Overheid (BIO)
Uit de zelfevaluatie op de BIO blijkt dat veel maatregelen al (gedeeltelijke) geïmplementeerd zijn. In 2023 zijn er goede stappen gezet door het functioneel beheer binnen de gemeente zelf verder te professionaliseren, maar we zien dat de uitvoer van een aantal maatregelen nog niet volledig gerealiseerd zijn en de gemeente hiermee nog niet voldoet aan de BIO. Ook uit de evaluatie van een aantal (landelijke) beveiligingsincidenten is gebleken hoe belangrijk het is processen en maatregelen op orde te hebben om de risico's beheersbaar te maken. In de I&A-visie en -strategie 2023-2025 “Beter Samen” zijn daarom voor de komende jaren op het gebied van Informatiebeveiliging en Privacy 4 speerpunten benoemd; Basis (processen) op orde krijgen, Voldoen aan wet- & regelgeving, digitale weerbaarheid en inzetten op bewustwording. DigiD en Suwinet
In april 2024 is door het College van B&W een collegeverklaring DigiD en Suwinet afgegeven over de ENSIA verantwoording 2023. Met de ENSIA-collegeverklaring geeft het college aan in hoeverre de beheersingsmaatregelen voldoen aan de normen die gelden voor Suwinet en DigiD. Met de ENSIA-collegeverklaring geeft het college aan in hoeverre de beheersingsmaatregelen voldoen aan de normen die gelden voor Suwinet en DigiD. Uit de zelfevaluatie blijkt dat de gemeente niet aan alle normen voor Suwinet en DigiD voldoet. De bevindingen uit de collegeverklaring zijn in het 1e kwartaal van 2024 nog apart getoetst door een IT-auditor en deze heeft de juistheid van de collegeverklaring bekrachtigd. Op basis van het assurancerapport van de door RSD De Liemers ingeschakelde IT auditor, is vastgesteld dat de vereiste interne beheersmaatregelen niet allemaal daadwerkelijk zijn geïmplementeerd door RSD De Liemers. Hiervoor is door de RSD De Liemers een verbeterplan opgesteld en de gemeente Zevenaar heeft de RSD gevraagd de geconstateerde problemen met spoed op te lossen en geconstateerd dat de benodigde acties hierop door de RSD zijn uitgezet Zelfevaluaties Basisregistraties
Over de Basisregistratie Adressen en Gebouwen (BAG), de Basisregistratie Grootschalige Topografie (BGT), de Basisregistratie Ondergrond (BRO), Basisregistratie Personen (BRP) en de Paspoortuitvoeringsregeling (PUN) moet de gemeenten verantwoording afleggen door middel van een verantwoordingsrapportage. De verantwoordingsrapportages geven een oordeel over de borging van het proces en de tijdigheid, de volledigheid en de juistheid van de basisregistraties van de BAG, BGT, BRO en de normen die behoren bij de BRP en PUN. De rapportages laten zien dat de gemeente Zevenaar voor de meeste basisregistraties aan haar verplichtingen voldoet. Acties voortvloeiend uit deze rapportage worden in 2024 verder uitgezet. Incidenten en datalekken
In 2023 zijn 18 datalekken geregistreerd. Geen van deze lekken was de oorzaak van een IT-incident, in alle gevallen was er sprake van menselijk handelen. Afgelopen jaar zijn er (landelijk) een aantal beveiligingsincidenten geweest, deze zijn tijdig gesignaleerd en hebben niet geleid tot ongeoorloofd verlies van beschikbaarheid, integriteit en betrouwbaarheid van de gegevens. Zowel de landelijke als eigen incidenten worden geëvalueerd en aandacht- en verbeterpunten worden doorgevoerd in de processen. Het belangrijkste adviespunten liggen hier ook op het gebied van inzicht in en up-to-date houden van de soft- en hardware ( patchmanagement en configuratiemanagement ) Privacybescherming - AVG
Privacy is een doorlopend proces dat zich steeds beter verankerd binnen de organisatie, maar ook complex is, gezien de diversiteit van taken binnen de gemeente. Het bewustzijn over het verwerken van persoonsgegevens neemt toe maar levert ook weer nieuwe vraagstukken op. We zien dat privacy maatregelen op onderdelen niet voldoende ingebed zijn binnen de processen van de gemeente en dit vraagt de komende jaren ook nog blijvend aandacht. Ook op het gebied van informatiebeheer, opslag en beschikbaarheid tot privacygevoelige informatie staan verbeteracties gepland. Essentieel hierin blijft gerichte aandacht voor het juiste gedrag en de bewuste omgang met informatie. Tot slot zien we een duidelijke ontwikkeling in de samenwerking bij de implementatie van nieuwe processen en wetgeving met de VNG. Hierdoor wordt optimaal gebruik gemaakt van de kennis en ervaring en is privacy ook een standaard onderdeel van het implementatietraject. In 2023 hebben diverse burgers gebruik gemaakt van het recht op inzage, verwijdering of informatie over de verwerking van persoonsgegevens bij de gemeente Zevenaar. Over een aantal van deze verzoeken lopen nog gerechtelijk procedures. Uitspraken van deze procedures kunnen voor de gemeente eventueel reden zijn tot aanpassen van beleid of aanscherpen van procedures en processen. We zien dat deze verzoeken behoorlijke veel capaciteit van de organisatie vraagt. Het hebben van een goede informatievoorziening en dossiervorming is dan van belang om aan de privacywetgeving te kunnen voldoen. Op deze onderdelen zijn nog een aantal verbeterslagen te maken, met name op het gebied van documenteren en archiveren. Privacybescherming - Wet politiegegevens (Wpg)
Gemeenten (en andere werkgevers) die beschikken over boa’s met opsporingstaken zijn op grond van de Wet politiegegevens verplicht om jaarlijks een interne audit uit te voeren. Een auditor heeft in een audit in 2022 vastgesteld dat gemeente Zevenaar niet (geheel) voldoet aan het bij of krachtens de wet bepaalde en heeft haar bevindingen vastgelegd in een rapport. Naar aanleiding van de eindconclusie en bevindingen is er door de gemeente Zevenaar in 2023 een verbeterplan opgesteld. De hercontrole op het verbeterplan, uitgevoerd door een externe auditor wordt in het 2e kwartaal van 2024 wordt afgerond. In de hercontrole wordt de opzet en bestaan van de verbeteractiviteiten uit 2023 getoetst. | 