Paragrafen

Bedrijfsvoering

Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met informatie omgaat. Wij spelen hier als gemeente een belangrijke rol in. Het gaat om beschikbaarheid, integriteit en vertrouwelijkheid van informatie, in de meest brede zin van het woord. Het waarborgen van de betrouwbaarheid van informatie zorgt voor een goede kwaliteit en continuïteit van de bedrijfsvoerings- en dienstverleningsprocessen.

Hoe staan we ervoor?
Gemeente Medemblik heeft een driejarenplan opgesteld voor opzet, implementatie en beheer voor de BIO. Om het risicomanagement op een professionele wijze te kunnen uitvoeren en beheersen is er een GRC (Governance Risk & Control tool) aangeschaft. In 2020 is hier een pilot voor geweest en de basisgegevens geïmplementeerd. Voor het onderdeel Logische Toegangsbeveiliging is er een uitwerking gemaakt naar beleid, procedure en processen. Deze zijn geaccepteerd binnen de gemeente Medemblik van MT naar functioneel beheerders. Dit is de eerste aanzet tot verdere opzet van de BIO.

De aandachtsgebieden liggen bij:

  • Verantwoording
  • Risicomanagement
  • PDCA (Plan-Do-Check-Act)
  • ISMS (Informatiesystematiek Management systeem)
  • Continuïteit

Binnen deze kenmerken zal ook de verantwoording richting het rijk plaatsvinden, dat betekent ten opzichte van de huidige werking op het gebied van informatiebeveiliging een volledige transitie naar de verplichtingen die door het rijk worden gesteld.

Om deze veranderingen gestaag en met draagvlak binnen de gemeente vorm te laten geven en krijgen is er voor spreiding gezorgd binnen deze overgang/transitie naar BIO.

Door verdere digitalisering vanuit de overheid zal in de komende periode de Gemeente Medemblik ook met nieuwe wetten te maken krijgen. WDO (Wet Digitale Overheid), dit heeft verregaande consequenties voor uitvoering, informatiebeveiliging en risicomanagement alsmede uitbreiding van de audits die verplicht zijn.

Rol uitvoering:
Op dit moment is de functie nog coördinator informatiebeveiliging, in de functie liggen twee taakgebieden ENSIA en Informatiebeveiliging. Om ook te voldoen aan de criteria van IBD zal deze worden omgezet naar CISO.

Voor de CISO is er nog geen continuïteit geborgd op de functie, deze wordt deels verhuurd binnen de KOM-samenwerking. Om de risico’s op een juiste wijze te beperken is er continuïteit nodig en ook uitbreiding middels ISO (een uitvoerende op gebied informatiebeveiliging). Hiervoor zal in 2021 een directienotitie worden opgesteld van wat er nodig is om informatiebeveiliging beheersbaar te maken en de data op orde te houden.

ENSIA (Eenduidige Normatiek Single Information Audit)
We legden het afgelopen jaar de ENSIA verantwoording af en leverde dit tijdig in. Door middel van verschillende sessies met betrokken medewerkers hebben we de ENSIA zelfevaluatievragenlijsten ingevuld en verbeteracties geformuleerd. Wij leggen, op basis van ENSIA, met een collegeverklaring verantwoording af aan de raad over de geselecteerde informatiebeveiligingsnormen inzake SUWInet. Een externe IT-auditor heeft inmiddels tijdens een pre-audit verklaard dat de interne beheersingsmaatregelen in opzet en bestaan voldoen aan de geselecteerde normen inzake SUWInet. De daadwerkelijke audit zal in het eerste kwartaal van 2021 plaatsvinden.

De Algemene Verordening gegevensbescherming (AVG) stelt eisen aan de omgang met en het verwerken van persoonsgegevens. Binnen de gemeente Medemblik wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners Deze persoonsgegevens worden voornamelijk gebruikt voor het goed uitvoeren van de gemeentelijke (wettelijke) taken.

Voorafgaand en na inwerkingtreding van de AVG in 2018 is hard gewerkt aan het implementeren van de AVG. Zo is er tijdig privacy beleid geïmplementeerd en zijn verantwoordelijkheden in de organisatie belegd. In 2020 heeft de gemeente Medemblik heel wat werk verzet om de AVG verder in de organisatie te implementeren. Hierbij is veel aandacht besteed aan de inrichting van digitale systemen en de verschillende werkprocessen. Een aantal maatregelen waren zeer effectief, zoals de implementatie van de AVG-tool en de positionering van privacy-medewerkers.

Er zijn ook aandachtspunten voor de organisatie om aantoonbaar te kunnen voldoen aan de AVG. Zo is het van belang dat er in de eigen organisatie wordt geïnvesteerd in de vorm van een structurele privacy officer. Aanvullend dient de organisatie meer grip te krijgen op haar eigen ICT en de ontwikkelingen daarvan. ICT gerelateerde wijzigingen worden nog te vaak ad hoc doorgevoerd waardoor onvoldoende kwaliteitszorg kan worden geboden en het risico op menselijke fouten aanwezig blijft.

Tot slot, de Functionaris Gegevensbescherming (intern toezichthouder) constateert dat de gemeente ruimte tot verbetering heeft op de onderwerpen als fysieke en digitale toegang en het ‘privacy proof’ inrichten van digitale systemen.

Deze pagina is gebouwd op 07/06/2021 12:05:19 met de export van 07/06/2021 11:58:53