3.5.5 Informatieveiligheid en privacy
In 2024 hebben we volop ingezet om technische en organisatorische maatregelen te borgen. Dit om de privacy en informatiebeveiliging te kunnen verzekeren. Datalekken en informatiebeveiligingsincidenten moeten immers voorkomen worden. De (Europese) wet- en regelgever onderstreept het belang van privacy en informatiebeveiliging. Dit is zichtbaar in de Algemene verordening gegevensbescherming (AVG)/Wet politiegegevens (Wpg), maar ook de NIS 2-richtlijn/Cyberbeveiligingswet en de Baseline Informatiebeveiliging Overheid 2.0 (BIO 2.0). Hierin staan verplichte maatregelen die geïmplementeerd moeten worden voor netwerk- en informatiesystemen. Deze preventieve maatregelen hebben we voorbereid dan wel ingevoerd.
Zo is het strategische informatiebeveiligingsbeleid geactualiseerd en in lijn gebracht met deze nieuwe wet- en regelgeving. Hierin zijn de strategische kaders geschetst van informatiebeveiliging op het gebied van beschikbaarheid , integriteit en vertrouwelijkheid van informatie. Om te bepalen of voldaan wordt de gestelde informatiebeveiligingseisen op grond van de BIO, vindt jaarlijkse toetsing plaats. Dit gebeurt via de Eenduidige Normatiek Single Information Audit (ENSIA) verantwoording.
Privacy en informatiebeveiliging zijn onderdeel van alle processen. De privacy officer (PO) en Chief Information Security Officer (CISO) informeren en trainen alle medewerkers doorlopend met interne bewustwordingsprogramma’s.
Het college van B&W is eindverantwoordelijk voor de verwerking van persoonsgegevens. Praktisch is dit eigenaarschap belegd bij proceseigenaren. Zij dienen in hun proces de eisen rondom privacy en informatiebeveiliging te borgen in samenhang met specifieke wet- en regelgeving. Een continu proces. In 2024 is dit eigenaarschap verder geprofessionaliseerd.
De verplichte Data Protection Impact Assessments (DPIA’s) zijn uitgevoerd.