Maatschappelijk effect 4 – Zorgvuldig beheer en gebruik van gegevens van inwoners, ondernemers en organisaties
Wat wilden we bereiken?
Toenemende digitalisering vereist dat we zorgvuldig en veilig omgaan met de informatie en gegevens van inwoners, ondernemers en organisaties. Een betrouwbare, beschikbare en correcte informatiehuishouding is essentieel. Inwoners willen zaken digitaal kunnen regelen bij de gemeente, ongeacht plaats en tijd. Denk bijvoorbeeld aan het maken van een afspraak of het aanvragen van producten of diensten. Dit vraagt om een organisatie die informatieveiligheid op orde heeft en gebruik kan maken van beschikbare data en technische mogelijkheden. De gemeente voldoet aan de verplichte maatregelen vanuit de BIO (Baseline Informatiebeveiliging Overheid) waarin wordt gestreefd naar één basisniveau voor informatiebeveiliging binnen de gehele overheid. Deze maatregelen worden ieder jaar verscherpt en daarnaast zijn er ook maatregelen die niet verplicht, maar wel wenselijk zijn. Daarom blijft dit een continu proces. Daarnaast voldoen we aan de AVG en ENSIA-normen die worden gesteld aan informatieveiligheid, privacy, beheer en ontsluiting van gegevens van inwoners, ondernemers en organisaties. Bijvoorbeeld het gebruik van DIGID, Suwinet en de basisregistraties.
Wat hebben we daarvoor gedaan?
Eenduidige Normatiek Single Information Audit (ENSIA) is een gezamenlijk project van het ministerie van Binnenlandse Zaken, de VNG, gemeenten, het ministerie van Sociale Zaken & Werkgelegenheid en het ministerie van Infrastructuur & Milieu en is bedoeld om het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren. Door het toezicht te bundelen en aan te sluiten op de gemeentelijke planning & control-cyclus heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier ook beter op sturen. De ENSIA-selfassessments worden jaarlijks, periodiek afgenomen voor de basisregistraties BAG, BGT, BRO, BRP en PUN. Voor DIGID en Suwinet is de gemeente getoetst door een externe auditor.
Doordat er meer tijd- en plaats onafhankelijk gewerkt wordt, is alle apparatuur van de gemeente beveiligd. Alle data is versleuteld opgeslagen en de apparaten zijn op afstand te wissen. Bij Cloudapplicaties wordt standaard gebruik gemaakt van Multi factor authenticatie. Toegang tot gemeentelijke applicaties wordt gemonitord.
Medewerkers die toegang krijgen tot apparatuur en data van de gemeente volgen een training en krijgen wekelijks extra mogelijkheden om kennis op te doen. Daarnaast worden ze 2 keer per jaar via een phishing mail getest en wordt er 2 keer per jaar een training aangeboden op een thema binnen informatieveiligheid.
Het beheren en veilig houden van applicaties en data vergt tijd, kennis en capaciteit. De gemeente Woudenberg kan dit niet zelfstandig leveren voor alle aanwezige applicaties. Daarom worden zoveel mogelijk applicaties naar de Cloud gemigreerd. De gemeente Woudenberg treedt op als regisseur, waarbij duidelijk afspraken met leveranciers gemaakt worden. Hiernaast worden functionaliteiten van bestaande applicaties optimaler gebruikt, waardoor er ook applicaties uitgefaseerd worden. Een kleiner applicatielandschap levert een duidelijker overzicht. Voor de meeste kleinere applicaties is dit al gerealiseerd, de grotere applicaties volgen later aangezien dit een grotere inspanning vereist.
In 2024 is er geen Cloud migratie geweest, dit om dubbele kosten te voorkomen. Vanuit de huidige dienstverleningsovereenkomst ICT met de gemeente Veenendaal bleek het namelijk niet mogelijk afspraken te maken over een korting op de kosten bij een Cloudmigratie.