Paragraaf 5: Bedrijfsvoering

De bedrijfsvoering wordt door de GR BAR-organisatie (BAR) uitgevoerd. Voor een toelichting op de bedrijfsvoering verwijzen wij u naar de Jaarstukken 2019 van de BAR.
De bijdrage aan onze organisatie voor de bedrijfsvoering ziet er als volgt uit:

Een onderdeel van de bedrijfsvoering van de BAR is informatiebeveiliging. Als gemeente hebben we te maken met uiterst gevoelige informatie van burgers en we hebben de wettelijke, maar ook morele, verplichting om zorgvuldig met deze informatie op te gaan.
Om aan te tonen dat wij in overeenstemming met de geldende wet- en regelgeving, interne regels en gedragscodes werken, worden alle gemeenten sinds 2017 jaarlijks onderworpen aan de ENSIA (Eenduidige Normatiek Single Information) audit. Deze ENSIA-audit bestaat uit een zelfevaluatie over de mate waarin de gemeente voldoet aan de afspraken uit de BIG (Baseline Informatieveiligheid Gemeenten), een horizontale verantwoording aan de gemeenteraad en een verticale verantwoording aan de landelijke toezichthouders zoals LOGIUS (DigiD) en het ministerie (inspectie) van Sociale Zaken en Werkgelegenheid (Suwinet). Hieronder wordt de integrale tekst van deze rapportage weergegeven.

Inleiding/aanleiding

VNG resolutie “Informatieveiligheid, randvoorwaarde voor de professionele gemeente”
Met de VNG-resolutie “Informatieveiligheid, randvoorwaarde voor de professionele gemeente” van 2013 hebben de gemeenten afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. De BIG is de kern van de verantwoording over informatieveiligheid aan de gemeenteraad. De horizontale verantwoording bestaat uit de zelfevaluatie, een IT-audit, een verklaring van het college van burgemeester en wethouders en een passage over informatieveiligheid in het jaarverslag.

Verantwoordingsverplichting ENSIA
Om aan te tonen dat de gemeente Ridderkerk werkt in overeenstemming met de geldende wet- en regelgeving, interne regels en gedragscodes worden gemeenten sinds 2017 jaarlijks onderworpen aan de ENSIA (Eenduidige Normatiek Single Information) audit. Deze ENSIA-audit bestaat uit een zelfevaluatie over de mate waarin de gemeente voldoet aan de afspraken uit de BIG, een horizontale verantwoording aan de gemeenteraad en een verticale verantwoording aan de landelijke toezichthouders zoals LOGIUS (DigiD) en het ministerie (inspectie) van Sociale Zaken en Werkgelegenheid (Suwinet).

IB-beleid, doelstellingen en afspraken

Gemeenten beschikken over uiterst gevoelige informatie van burgers en hebben zowel de wettelijke als morele plicht om daar zorgvuldig mee om te gaan. Het college van burgemeesters en wethouders van de gemeente Ridderkerk draagt als eigenaar van gemeentelijke informatieprocessen en (informatie)systemen de politieke verantwoordelijkheid voor een passend niveau van informatieveiligheid en privacybescherming. 100%-veilig bestaat niet. Risico’s worden doelbewust en proactief geaccepteerd en beheerst. Het college van burgemeester en wethouders van de gemeente Ridderkerk stelt, op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders zoals de BIG, de kaders ten aanzien van informatieveiligheid en privacybescherming voor de gemeente vast.

De belangrijkste gemeentelijke doelstellingen van het informatiebeveiligingsbeleid, zijn:
• Het zorgvuldig omgaan met informatie;
• Zorgen voor een betrouwbare en continue dienstverlening;
• Het voldoen aan wet- en regelgeving;
• Het beheersen van risico’s.

Het informatiebeveiligingsbeleid van de gemeente Ridderkerk bevat de kaders voor treffen en onderhouden van een samenhangend pakket van maatregelen teneinde de betrouwbaarheid (beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) van de informatievoorziening te waarborgen. Het informatiebeveiligingsbeleid van de gemeente Ridderkerk is gebaseerd op de (strategische, tactische en operationele) Baseline Informatiebeveiliging Gemeenten (BIG).

Algemeen beeld en resultaten afgelopen periode
Informatieveiligheid reikt veel verder dan het implementeren van technische maatregelen. Het is namelijk een groot misverstand om te denken dat informatieveiligheid iets technisch is. Hieronder wordt schematisch op hoofdlijnen weergegeven binnen welke domeinen door de gemeente Ridderkerk maatregelen worden getroffen en onderhouden.

Beheersmaatregelen IB
Hieronder wordt een overzicht gegeven van de belangrijkste maatregelen die bijdragen aan het realiseren van de IB-doelstellingen van de gemeente Ridderkerk:
a) Het creëren van bewustzijn binnen de organisatie. Er werden in 2019 diverse bewustwordingssessie georganiseerd voor de afdelingen, leidinggevenden en bestuurders. Daarnaast werden er screensavers met informatiebeveiligingstips geïnstalleerd op al onze computers;
b) Het actief borgen van informatieveiligheid en privacybescherming bij diverse inkooptrajecten als verplicht onderdeel van de aanbesteding.

Realisatie doelstellingen IB-beleid (effectiviteit beheersmaatregelen en risico’s)
Hieronder wordt een overzicht gegeven van de belangrijkste IB-doelstelling welke zijn gerealiseerd:
a) De Baseline Informatiebeveiliging Overheid (BIO) is per 01-01-2020 de opvolger Baseline Informatiebeveiliging Gemeenten (BIG). De BIO is vanaf dat moment van het verplichte normenkader voor de informatieveiligheid binnen gemeenten. 2019 betrof het overgangsjaar waarin gemeenten zich konden voorbereiden op de implementatie van de BIO. In 2019 werd geïnventariseerd wat de status is van de implementatie van de BIO in de BAR-organisatie en de gemeente Ridderkerk en werd bepaald welke verplichte overheidsmaatregelen als eerste worden geïmplementeerd;
b) In 2019 werd op 20 risicovolle gegevensverwerkingen een Data Protection Impact Analyse (DPIA) inclusief een dataclassificatie uitgevoerd;
c) Door de CISO werden ondersteunende producten ontwikkeld om de managers te ondersteunen bij de implementatie van informatiebeveiligingsmaatregelen binnen hun processen. Denk hierbij aan diverse procedures;
d) De CISO heeft samen met de domeindeskundige medewerkersmedewerkers vanuit de verschillende afdelingen (ICT, HRM, Backoffice, Sociaal Domein, informatiemanagement) over het jaar 2019 de zelfevaluatie ENSIA uitgevoerd.

Incidenten(afhandeling)

Cybercriminaliteit heeft de laatste jaren een grote vlucht genomen en geen enkele overheidsorganisatie ontkomt aan pogingen van onbevoegden om informatie buit te maken of om de bedrijfsvoering te verstoren. Cybercriminaliteit is inmiddels “big business” en een serieus verdienmodel voor criminelen. Daarmee is een permanente wedloop ontstaan tussen beveiligingsmaatregelen en innovatie in het hacken van organisaties. Ook de gemeente Ridderkerk heeft het afgelopen jaar (2019) te maken gehad met diverse cyberaanvallen, waaronder phishingmails en ransomware dreigingen, enzovoorts. We ervaren binnen de gemeente Ridderkerk een toename van het aantal cybercrime aanvallen. Helaas betreft het voorkomen van onrechtmatige toegang (cyberaanvallen en hacking) tot onze gegevens en het treffen van passende beveiligingsmaatregelen een bewegend doel, waardoor we nooit “klaar” zijn. De dreigingen, kwetsbaarheden en technische mogelijkheden veranderen namelijk constant. Om dergelijke incidenten af te handelen hebben we intern een Computer Emergency Response Team (CERT) samengesteld onder aansturing van de CISO.

In 2019 heeft de BAR-organisatie namens de gemeente Ridderkerk drie (3) keer een datalek gemeld bij het meldloket datalekken van de Autoriteit Persoonsgegevens (AP).

Doorkijk prioriteiten voor 2020 informatieveiligheid

Hieronder wordt een overzicht gegeven van de belangrijkste IB-doelstelling voor 2019. Voor informatieveiligheid zijn deze prioriteiten:
• De verdere implementatie van de BIO en de bijbehorende verplichte overheidsmaatregelen;
• De uitvoering van de ENSIA-cyclus voor de verantwoording over het jaar 2020;

Naast deze prioritering zal een aanzienlijk deel van de capaciteit worden besteed aan “reguliere” werkzaamheden zoals:
• Het afhandelen van cybercrime dreigingen (phishingmails en ransomware) en datalekken (zoals vermiste telefoons enzovoorts);
• Het treffen en onderhouden van preventieve en correctieve beveiligingsmaatregelen, waaronder het installeren van beveiligingspatches op het moment dat deze naar aanleiding van een kwetsbaarheid door de leverancier beschikbaar worden gesteld;
• Het adviseren van het college van burgemeester en wethouders van de gemeente Barendrecht, de BAR-directie, de managers en medewerkers binnen de afdelingen;
• Het opstellen, evalueren en/of onderhouden van verwerkersovereenkomsten en beveiligingsmaatregelen;
• Awareness, oftewel het “scherp” houden van medewerkers op het gebied van informatieveiligheid en privacybescherming.
• Enzovoort.