Inwoners en bedrijven verwachten een betrouwbare overheid die op een zorgvuldige en veilige manier met hun informatie omgaat. De gemeente Medemblik speelt hierin een belangrijke rol om deze verwachting waar te maken voor haar inwoners en bedrijven. Een goede informatieveiligheid draagt bij aan een hogere kwaliteit en continuïteit van de bedrijfsvoering en dienstverlening voor inwoners en bedrijven. In dit onderdeel leest u daar meer over.
Hoe staan wij ervoor?
In 2023 zijn diverse verbeteringen doorgevoerd in de bedrijfsvoering op het gebied van informatieveiligheid. In het algemeen vraagt informatieveiligheid een continue aandacht door een steeds meer en sneller veranderende (digitale)wereld.
Zo blijken geo-politieke spanningen ook een negatieve invloed te hebben op Nederlandse gemeente. Maar ook de professionalisering van de digitale criminaliteit neemt steeds meer toe. Dit maakt het dreigingsbeeld voor Nederlandse gemeenten, en dat van de gemeente Medemblik, grimmig en onzeker. Dit terwijl de maatschappelijke gevolgen van een digitale aanval, waarbij gegevens van onze inwoners en/ of ondernemers buit worden gemaakt, steeds groter worden.
De afhankelijkheid van digitale oplossingen wordt in de bedrijfsvoering steeds groter. Een verstoring of fout in één informatiesysteem kan leiden tot verstoringen of fouten in meerdere informatiesystemen maar ook in een verlaagde beschikbaarheid van de dienstverlening aan onze inwoners en/of verstoringen in de bedrijfsvoering.
De grootste risico’s voor gemeente Medemblik vanuit informatieveiligheid zijn:
- Uitval van dienstverlening en bedrijfsvoering (beschikbaarheid);
- Vertrouwelijke en/of gevoelige (persoonlijke) informatie in verkeerde handen (vertrouwelijkheid);
- Fouten in de dienstverlening (integriteit).
Dit heeft hoge herstelkosten, reputatieschade en minder vertrouwen in de overheid als gevolg. Daarnaast kan dit ook leiden tot identiteitsdiefstal en financiële fraude waardoor onze inwoners en/of ondernemers ernstige schade kunnen oplopen.
Dit maakt dat de reeds geïmplementeerde controle onderdelen en maatregelen continu geëvalueerd moeten worden en waar nodig moeten worden aangescherpt en/of nieuw geïmplementeerd. In het volgend jaar zal hiermee worden doorgegaan.
Wettelijke ontwikkeling
In december 2022 heeft het Europese Parlement een nieuwe versie van de Network and Information Security Directive, NIS2, aangenomen. De NIS2 stelt strengere eisen aan de mate van informatieveiligheid waarbij een zorgplicht, meldplicht en toezicht (voor- en achteraf) wettelijk worden geregeld.
De NIS2 zal in Nederland worden opgenomen in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) en zal op 17 oktober 2024 actief worden.
Het omzetten van de NIS2 naar de Wbni heeft vertraging opgelopen waardoor de Nederlandse wettekst nog niet is gepubliceerd. Wel zijn inmiddels diverse zaken duidelijk. Gemeente gaan vallen onder de zwaarste vorm van toezicht. Door de zorgplicht zal de Baseline Informatiebeveiliging Overheid (BIO) wettelijk worden verplicht maar ook de meldplicht richting de sectorale CERT, de Informatiebeveiligingsdienst (IBD), zal hiermee worden verankerd. Maar ook zal voor- en achteraf toezicht worden gehouden op gemeenten. Bij afwijkingen of overtredingen kunnen entiteiten een boete opgelegd krijgen. Hoe het toezicht en boetebeleid vormgegeven gaat worden is nog onbekend.
Als gevolg van de vertraging is onduidelijk hoe de lagere regelgevingen, als onderdeel van de Wbni, vorm gegeven gaan worden en welke impact dit heeft op gemeente Medemblik. Mede hierom is gemeente Medemblik toegetreden tot een expertgroep van de VNG die in een vroeg stadium extra informatie heeft over komende wet- en regelgeving op het gebied van informatieveiligheid.
Volgend jaar zal de ontwikkeling rond de Wbni nauwlettend in de gaten worden gehouden en waar nodig, en mogelijk, zal tijdig worden bijgestuurd.
Resultaten van ENSIA cyclus 2023
Gemeenten zijn verplicht om, jaarlijks uiterlijk op 30 april van het nieuwe jaar verantwoording over het vorig jaar af te leggen, over de informatieveiligheid, de zogeheten Eenduidige Normatiek Single Information Audit ( ENSIA). Uitgangspunt is de horizontale verantwoording van het college aan de gemeenteraad. In dit kader dient het college hierover in het jaarverslag een passage op te nemen. Genoemde verantwoording vormt ook de basis voor de verticale verantwoording aan de nationale partijen die een rol hebben in het toezicht op de informatieveiligheid.
In de tabel hieronder vindt u de resultaten over de ENSIA-cyclus van het jaar 2023.
Stelsel | Resultaat |
|---|---|
BAG | Door de organisatieontwikkeling is er personeelsverloop geweest en daarmee de benodigde kennis vertrokken. De personele bezetting is nog niet op orde. De verwachting is dat in 2024 de openstaande vacatures worden ingevuld en de kennis weer op het gewenste peil gaat komen. Mede hierdoor is een achterstand in het verwerken in van gegevens. De gemeentelijke kwaliteit van de BAG is wel hoger dan het landelijke gemiddelde. |
BGT | Voldoet |
BRO | De BRO is een relatief nieuwe basisregistratie. In 2023 is een grote kwaliteitslag gemaakt. Dit toont aan dat de verbeteraanpak werkt. De verwachting is dat volgend jaar de kwaliteit, onder voorbehoud van onvoorzienbare omstandigheden, opnieuw gaat toenemen. |
BIO | Zie toelichting: Hoe staan wij ervoor |
BRP | Voldoet |
Reisdocumenten | Voldoet |
DigiD | Voldoet |
Suwinet | Als gevolg van een onvoorziene koppeling met DKD-inlezen ten tijde van de DigiD-audit krijgt gemeente Medemblik een aantekening van de auditor. Deze aantekening is zonder gevolgen voor de dienstverlening en bedrijfsvoering. Een verbeterplan is opgesteld en reeds uitgevoerd. |
WOZ | De WOZ-verantwoording is in 2023 komen te vervallen. |
Privacy
Waar informatiebeveiliging over de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie gaat, gaat privacy meer over de bescherming van persoonsgegevens.
Het jaar 2023 was vooral gericht op de uitvoering van de in 2022 ingeslagen weg om de AVG verder te implementeren binnen de gemeente Medemblik. Er is verdere uitvoering gegeven aan het privacy beleid door twee Privacy Officers aan te stellen en het inrichten van een kwaliteitsmanagementsysteem.
Zo is de gemeente Medemblik goed op weg om de kwaliteit van privacy te verhogen.