Maatschappelijk effect 4 – Beter beheer en zorgvuldig gebruik van gegevens van inwoners, ondernemers en organisaties
Wat wilden we bereiken?
Toenemende digitalisering vereist dat we zorgvuldig en veilig omgaan met de informatie en gegevens van inwoners, ondernemers en organisaties. Een betrouwbare, beschikbare en correcte informatiehuishouding is essentieel. Inwoners willen zaken digitaal kunnen regelen bij de gemeente, ongeacht plaats en tijd. Denk bijvoorbeeld aan het maken van een afspraak of het aanvragen van producten of diensten. Dit vraagt om een organisatie die informatieveiligheid op orde heeft en gebruik kan maken van beschikbare data en technische mogelijkheden. De gemeente volgt de richtlijnen die in de BIO (Baseline Informatiebeveiliging Overheid) worden weergegeven waarin wordt gestreefd naar één basisniveau voor informatiebeveiliging binnen de gehele overheid. Een onderdeel van de BIO zijn de jaarlijks terugkomende zelfevaluaties. Hierbij wordt gekeken op welke onderdelen we als gemeente extra aandacht willen vestigen. De focus voor 2023 lag vooral op het veilig houden van gegevens zowel binnen als buiten de deuren van het gemeentehuis, bewustwording binnen de organisatie en vernieuwde afspraken met leveranciers.
Wat hebben we daarvoor gedaan?
Eenduidige Normatiek Single Information Audit (ENSIA) is een gezamenlijk project van het ministerie van Binnenlandse Zaken, de VNG, gemeenten, het ministerie van Sociale Zaken & Werkgelegenheid en het ministerie van Infrastructuur & Milieu en is bedoeld om het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren. Door het toezicht te bundelen en aan te sluiten op de gemeentelijke planning & control-cyclus heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier ook beter op sturen. De ENSIA-selfassessments worden jaarlijks, periodiek afgenomen voor de basisregistraties BAG, BGT, BRO, BRP en PUN. Voor DIGID en Suwinet is de gemeente succesvol getoetst door een externe auditor.
Doordat er meer tijd- en plaats onafhankelijk gewerkt wordt, is alle apparatuur van de gemeente beveiligd. Alle data is versleuteld opgeslagen en de apparaten zijn op afstand te wissen. Bij Cloudapplicaties wordt standaard gebruik gemaakt van Multi factor authenticatie. Toegang tot gemeentelijke applicaties wordt gemonitord.
Medewerkers die toegang krijgen tot apparatuur en data van de gemeente volgen een training, krijgen wekelijks extra mogelijkheden kennis op te doen, worden 2 keer per jaar via een phising mail getest en 2 keer per jaar wordt er een training aangeboden op een thema binnen informatieveiligheid.
Beheren en het veilig houden van applicaties en data vergt tijd, kennis en capaciteit. De gemeente Woudenberg kan dit niet zelfstandig leveren voor alle aanwezige applicaties. Daarom worden zoveel mogelijk applicaties naar de Cloud gemigreerd. De gemeente Woudenberg treedt op als regisseur, waarbij duidelijk afspraken met leveranciers gemaakt worden. Hiernaast worden functionaliteiten van bestaande applicaties optimaler gebruikt, waardoor er ook applicaties uitgefaseerd worden. Een kleiner applicatielandschap levert een duidelijker overzicht. Voor de meeste kleinere applicaties is dit in 2023 gerealiseerd, de grotere applicaties volgen later aangezien dit een grotere inspanning vereist.