Informatieveiligheid | Programmarekening 2024 Gemeente Den Helder

Informatiebeveiliging en Privacy

Informatieveiligheid en zorgvuldige verwerking van persoonsgegevens zijn onderdeel uit van een zorgvuldig werkende overheid. Op het gebied van informatiebeveiliging en zorgvuldig omgaan met persoonsgegevens waren in 2024 de volgende doelen gesteld:

De gemeente opereert volledig volgens de eisen van de Baseline Informatiebeveiliging Overheid (BIO), in voorbereiding op de NIS2 waarin de BIO een verplichtend karakter krijgt. Risicomanagement, waaronder bedrijfscontinuïteitsmanagement (BCM) is hierin het uitgangspunt en is bepalend voor de inzet van middelen (capaciteit van medewerkers, budget en tijd).
De volwassenheid van de organisatie op het gebied van gegevensbescherming en zorgvuldige verwerking van persoonsgegevens bevindt zich op het niveau 'beheerst' (schaal 3 op een schaal van 5).
De gemeente verhoogt planmatig en gestructureerd de informatiebeveiliging en bescherming van persoonsgegevens door het verhogen van de kennis van medewerkers, en zet in op het verbeteren van houding en het gedrag. De gemeente maakt dit meetbaar.
De gemeente Den Helder slaagt voor verplichte audits en inspecties op het gebied van informatieveiligheid en verwerken van politiegegevens.

Uitvoering doelen in 2024.

1. De gemeente opereert volgens de eisen van de Baseline Informatiebeveiliging Overheid (BIO).

De BIO is het gezamenlijk normenkader voor de overheid, gebaseerd op ISO27001/2. De BIO omvat een pakket maatregelen die betrekking hebben op de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. Om te voldoen aan de BIO heeft de gemeente maatregelen om de veiligheid van informatie en persoonsgegevens te waarborgen. De maatregelen zijn zowel technisch als organisatorisch van aard. Een technische maatregel, een SIEM/SOC operationeel hebben is gerealiseerd. Daarnaast is er in beperkte mate een start gemaakt met de introductie van de NIS2 en de bijbehorende verplichtingen van de gemeente. Hierop wordt in 2025 verder op geacteerd om oktober 2025 voldoende te zijn voorbereid op de inwerkingtreding van de NIS2, waaronder het verplichte karakter van de BIO.

2. De volwassenheid van de organisatie op het gebied van bescherming van informatie en persoonsgegevens bevindt zich op het niveau beheerst.

Uit onderzoek, (Rekenkamerrapport ‘informatieveiligheid’, 2024) is gebleken dat de taakvolwassenheid van de organisatie op het gebeid van informatieveiligheid en privacy groeipotentie heeft om op het niveau van beheerst te komen. In 2024 zijn plannen gemaakt om het team Informatieveiligheid en Privacy uit te breiden met een privacy-officer en information security officer om de organisatie op tactisch en operationeel niveau te versterken. In 2025 wordt ingezet op een groei in de taakvolwassenheid naar het beoogde niveau ‘beheerst’.

3. De gemeente verhoogt planmatig de informatiebeveiliging door het verhogen van de kennis van medewerkers en zet in op het verbeteren van de houding en het gedrag op gebied van iBewustzijn. De gemeente maakt dit meetbaar.

Sinds 2021 werkt de gemeente met een communicatieplan en per 2022 de gemeente gestructureerd en planmatig activiteiten uit die de kennis van, en houding en gedrag ten aanzien van informatiebeveiliging en zorgvuldig verwerken van persoonsgegevens verhogen. De medewerkers worden met een i-bewustzijnscampagne (online trainingen, micro-learnings en modules) getraind in het bewust veilig en zorgvuldig omgaan met informatie en persoonsgegevens. In 2024 is een nieuw informatiebeveiligings-bewustzijnsprogramma oor de hele organisatie in gebruik wordt genomen. De resultaten van de toetsen van kennis van informatieveiligheid en privacybescherming worden gemeten en teruggevonden in dashboards waardoor inzichtelijk wordt op welke gebieden de medewerkers aanvullend training of kennis nodig hebben.
Er is een goed bezochte interactieve workshop gegeven met een serious game over informatieveiligheid en beschermen van de privacy. Naast een generieke aanpak blijft de gemeente investeren in kennis van de individuele medewerker als voor de rol van de medewerker meer specialistische kennis van informatieveiligheid en bescherming van de privacy vereist is.

4. De gemeente Den Helder slaagt voor verplichte audits en inspecties.

De gemeente verantwoordt zich jaarlijks over informatiebeveiliging en – kwaliteit middels (verplichte) ENSIA. Dat staat voor Eenduidige Normatiek Single Information Audit. De focus van ENSIA ligt op het afleggen van verantwoording van voldoen aan de ENSIA-normen aan de gemeenteraad en het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Over 2023 is gemeente Den Helder geslaagd voor de ENSIA. De resultaten van de ENSIA-audit 2024 worden eind maart 2025 verwacht.
Daarnaast verantwoordt de gemeente zich jaarlijks aan het college van burgemeester en wethouders over de zorgvuldige omgang met politiegegevens, wettelijk verplicht gesteld in de Wet politiegegevens. De audit op de zorgvuldige verwerking van politiegegevens over 2024 laat, ten opzichte van de resultaten van de audit 2022 en 2023, een stijgende lijn zien in het (aantoonbaar) voldoen aan zorgvuldige verwerking van politiegegevens. De resultaten van de audit 2025, uitgevoerd door een extern gecertificeerd auditor, worden (wettelijke verplichting Wet politiegegevens) aangeleverd bij de Autoriteit Persoonsgegevens.