Informatiebeleid 2021-2025
Het informatiebeleid dient als gezamenlijk richtsnoer voor de ICT-ontwikkelingen van de Dommelvallei-gemeenten voor komende jaren. Dienst Dommelvallei biedt het beleid begin 2e kwartaal 2021 aan de raden aan en bereidt zich voor op het opstellen van dit beleid:
- Om in financiële en formatieve zin te bepalen waar we als Dommelvallei-organisaties staan met onze digitale infrastructuur en beheerorganisatie namen we deel aan de ICT-Benchmark gemeenten. In de benchmark werden de ICT-investeringen, exploitatiekosten en salariskosten van de totale beheerorganisatie afgezet tegen het aantal inwoners. De uitkomst van € 74,- per inwoner van de Dommelvallei-gemeenten is € 12,- lager dan het benchmarkgemiddelde. Dit wordt grotendeels veroorzaakt door een lagere bezetting op de I&A-functies en financieel afgeschreven hardware.
- In een digitale interactieve informatiebijeenkomst voor de 3 gemeenteraden zijn speerpunten voor dit informatiebeleid opgehaald.
- Begin 2020 is een verdiepingsslag uitgevoerd op de talloze ICT-ambities vanuit de verschillende domeinen. Daarbij is gezocht naar de grote gemene delers en zijn deze vertaald naar de 5 belangrijkste ontwikkelingen waarop de focus zou moeten liggen, Implementatie DSO, Informatiebeveiliging, Datagedreven werken, Digitale dienstverlening en Digitale duurzaamheid.
Digitaal stelsel Omgevingswet (DSO)
Door uitstel van de omgevingswet naar 1 januari 2022 is een groot gedeelte van de implementatie van het Digitaal Stelsel Omgevingswet verschoven naar 2021. De aanbesteding van een VTH-systeem onder coördinatie van de Odzob is afgerond en de implementatie is gestart. Het streven is dit systeem op 1 mei 2021 op basis van de huidige wetgeving in productie te nemen, inclusief koppeling met het zaaksysteem. Later volgt nog een implementatie op basis van de omgevingswet. De inkoop en implementatie van plansoftware en regelsoftware loopt.
Datagedreven werken
Er is door Dienst Dommelvallei onderzocht welke software, ondersteuning en expertise nodig is om de ontwikkeling naar datagedreven werken te faciliteren. Daarnaast is samen met experts van vakafdelingen uit de gemeenten een drietal pilots uitgevoerd vanuit verschillende domeinen (dienstverlening, veiligheid en bedrijfsvoering).
Van gegevensknooppunt naar informatieknooppunt
In het project gegevensuitwisseling (oplevering medio 2021) is het gegevensknooppunt voor de Dommelvallei-organisaties gerealiseerd. Sinds december is het nieuwe geharmoniseerde systeem voor gegevensdistributie in gebruik. Gegevens tussen systemen worden efficiënter uitgewisseld. In een datawarehouse kunnen we gegevens uit verschillende bronnen centraal opslaan, aan elkaar relateren en analyseren. Het datawarehouse fungeert daarmee als een informatieknooppunt en is daarmee een belangrijke schakel in de ontwikkeling naar datagedreven werken.
Applicatieportfoliomanagement
De uitgevoerde Benchmark maakt duidelijk dat in Dommelvallei-verband inkopen van software loont. De nog niet geharmoniseerde systemen binnen het sociaal domein en de afdelingen dienstverlening (burgerzaken) zijn relatief duur. Op dit moment lopen projecten om deze systemen te vervangen. Het totaal van onderhoudskosten voor applicaties is in 2020 relatief hoog. Dit is vooral te wijten aan de tijdelijk samenloop van nieuwe nog in te richten systemen naast de oude uit te faseren systemen (zaaksystemen en Corsa). Er is actief gestuurd op het uitfaseren van deze systemen.
Digitale Duurzaamheid
Met de implementatie van een zaaksysteem voor de 4 Dommelvallei-organisaties is ingezet op een centraal digitaal archief. Tot dusver is sprake van een hybride archivering (digitaal en analoog door elkaar) en wordt informatie in verschillende systemen opgeslagen waardoor de beheersbaarheid zeer te wensen over laat. Naast de centralisatie van digitale informatie werken we aan het digitaliseren van analoog archief (bouw- en milieuvergunningen) om deze ook in het zaaksysteem op te kunnen nemen.
Windows en Office
Het project voor de upgrade van Windows en Office is in 2020 grotendeels afgerond. Nagenoeg alle gebruikers zijn overgezet op de nieuwe omgeving. De paar restpunten worden in het eerste kwartaal 2021 opgelost.
Gelijktijdig hiermee is de beveiliging van de omgeving verhoogd door een extra beveiligingslaag in te richten. Deze vermindert de mogelijkheden dat ongewenste programma's, virussen en ransomware (on)bewust door medewerkers worden uitgevoerd.
GGI-Netwerk
De Dommelvallei-organisaties zijn in het eerste kwartaal aangesloten op het landelijke GGI-Netwerk. Dit is een beveiligd netwerk van en tussen gemeenten. Hiermee kan de overdracht van data tussen de Dommelvallei-organisaties en andere partijen beveiligd plaatsvinden via dit netwerk. Op termijn gaat dit het huidige nog in gebruik zijnde commerciële netwerk van beveiligde data-overdracht (Gemnet) vervangen.
GGI-Veilig
De Dommelvallei-organisaties hebben deelgenomen aan de landelijke aanbesteding GGI-Veilig. Doel hiervan is de digitale weerbaarheid van de organisaties te verhogen. In 2020 is opdracht gegeven om het dataverkeer van de Dommelvallei-organisaties te monitoren op ongewenste datastromen en hackaanvallen. De monitoring wordt begin 2021 opgeleverd.
Corona
Door de coronacrisis gingen de medewerkers massaal thuiswerken. Om dit mogelijk te maken zijn door ICT extra inspanningen verricht, zoals het faciliteren van digitaal overleg en het beschikbaar stellen van thuiswerkfaciliteiten als tokens, chromebooks, beeldschermen en kabels. Door deze extra inspanning vertraagden andere werkzaamheden zoals het omzetten van Windows en Office.
Informatiebeveiliging
In 2020 is het nieuwe informatiebeveiligingsbeleid voor de 4 Dommelvallei-organisaties vastgesteld op basis van de Baseline Informatiebeveiliging Overheid (BIO). De BIO is de opvolger van de Baseline Informatiebeveiliging Gemeente en is het stelsel van normen om de informatiebeveiliging verhogen. Op basis van risicoafwegingen worden passende maatregelen genomen.
Samen met Dienst Dommelvallei willen we de informatiebeveiliging van de organisatie naar een hoger niveau brengen. Medio 2020 is een programma (BIO Top10) opgestart om de 10 belangrijkste maatregelen te implementeren. In 2020 zijn de eerste stappen gezet voor de onderdelen:
- een brede bewustwordingscampagne die in 2021 uitgevoerd gaat worden;
- GGI-Veilig;
- Information Security Management System en een Privacy Management Tool;
- het invoeren van technische beveiligingen van de Forumstandaardisatie;
- het verbeteren van processen en het toegangsbeleid van onze gebouwen.
In 2020 zijn er in de Dommelvallei-organisaties 34 beveiligingsincidenten (exclusief datalekken) gemeld bij de CISO, waarvan 28 phishing/spam-meldingen. De overige incidenten betreffen autorisatieproblemen en vragen over de virusscanner.
Het programma BIO top 10 sluit ook aan bij het rekenkameronderzoek, de voortgang wordt teruggekoppeld in het portefeuillehoudersoverleg.
De penetratietest is onderdeel van de BIO top 10.
Onderzoek van de rekenkamercommissie
In 2020 heeft de rekenkamercommissie een onderzoek uitgevoerd naar de stand van zaken op het gebied van de Informatiebeveiliging en Privacy. In 2021 en verder vervolgen we de opvolging van de aanbevelingen van de rekenkamercommissie. Dit is onderdeel van de BIO Top10.
Audit
De jaarlijkse ENSIA audit wordt ieder jaar uitgebreid en wordt vanaf 2020 op Baseline Informatiebeveiliging Overheid (BIO) gehouden.
Privacy
Bewustwording
Omdat de meeste datalekken ontstaan door onbewust gedrag van mensen, stond bewustwording hoog op de agenda. In de eerste maanden van het jaar is veel tijd gestoken in het vullen van Social Intranet en kennissysteem met informatie over allerlei privacy gerelateerde onderwerpen. Aanvullend daarop zijn presentaties gegeven, over gegevensbescherming in het algemeen of over specifieke onderwerpen, waaronder de gevolgen van de AVG voor de postregistratie.
Door het toegenomen aantal vragen zien de privacybeheerders en de Functionarissen Gegevensbescherming (FG's) dat het bewustzijn groeit. Om de kennis van de medewerkers verder te vergroten, gaan zij in 2021 een Dommelvallei-brede bewustwordingscampagne Informatiebeveiliging en Privacy starten. Als voorbereiding daarop zijn zij de behoefte aan het inventariseren.
Data Protection Impact Assessments
Voor steeds meer verwerkingen voeren we Data Protection Impacts Assessments (DPIA’s) uit. Waar mogelijk worden deze privacyrisicoanalyses door de drie gemeenten gezamenlijk uitgevoerd, zoals voor het project Vernieuwing gegevensuitwisseling. Waar de processen vergelijkbaar zijn, worden de DPIA's van de 3 gemeenten hergebruikt, zoals voor de Wvggz.
Verwerkersovereenkomsten
De inhaalslag die we nog moeten maken is benoemd als één van de tien prioriteiten om de BIO te implementeren. In 2021 gaan we hier uitvoering aan geven.
Zaaksysteem Djuma
Het zaaksysteem Djuma is ingericht volgens het principe “open, tenzij…”. Dit kan botsen met de privacywetgeving. De Stuurgroep BetERe Dienstverlening en Bedrijfsvoering heeft op advies van de (FG’s) en programmamanager BetERe Dienstverlening en Bedrijfsvoering besloten om de inrichting van de vertrouwelijkheden in het zaaksysteem opnieuw te bekijken en indien noodzakelijk aan te passen. De FG’s hebben hier een start mee gemaakt en stemmen hun bevindingen af met de vakafdelingen. De vakafdelingen dragen de verantwoordelijkheid voor de inrichting van Djuma. Zij besluiten op basis van het advies van de FG’s om de vertrouwelijkheid van een zaaktype wel of niet aan te passen.
Jaarrapportage Gegevensbescherming
De FG’s hebben GAP-analyses uitgevoerd. Daarmee hebben zij in beeld gebracht welke acties de Dommelvallei-organisaties nog in gang moeten zetten om (beter) aan de privacywetgeving te voldoen. De FG’s werken hun bevindingen begin 2021 uit in een Jaarrapportage Gegevensbescherming.
Datalekken
In 2020 zijn er binnen de gemeente Son en Breugel bij de privacybeheerders en FG's 3 datalekken gemeld. Geen daarvan hebben we gemeld bij de Autoriteit Persoonsgegevens. In 1 geval is de betrokkene op de hoogte gesteld van het datalek. Soms melden ook de betrokkenen zelf het datalek bij ons.
Een melding bij de AP betekent niet ook automatisch een melding bij de betrokkenen en andersom. Of we een datalek melden bij de AP en/of de betrokkenen is altijd een individuele afweging. Dit is afhankelijk van het privacyrisico voor de betrokkenen. De FG's en de privacybeheerder stemmen in overleg met de burgemeester en de gemeentesecretaris af welke datalekken bij wie gemeld worden.