Informatievoorziening: informatiebeleid en informatieplan
In het tweede kwartaal stelden het college en de raad het Informatiebeleid Dommelvallei vast. Het gezamenlijke informatiebeleid is de leidraad voor het jaarlijkse informatieplan: de lijst met uit te voeren projecten in dat jaar. In de eerste raadsinformatieavond, voor de drie raden, keken we terug naar 2021 en keken op basis van het informatieplan naar 2022. Dit herhalen we jaarlijks.
Organisatie van de Informatievoorziening: meer balans tussen vraag en aanbod
In de eerste helft van 2021 constateerden we dat verschillende grote implementatieprojecten meer I&A-capaciteit vereisten dan voorzien. De uitvoering van de overige projecten kwam daardoor in gevaar. In onderling overleg tussen de platforms, vakafdelingen, en I&A-clusters, maakten we afspraken voor de uitvoering in 2021. Structureel liggen er meer wensen en ambities dan uitvoerbaar. We lanceerden de projectportfolioboard om tot een gezamenlijk gedragen Dommelvallei-brede prioritering van ambities te komen.
Digitaal Stelsel Omgevingswet (DSO)
De Dommelvallei-gemeenten zijn in afwachting van de oplevering van het landelijke DSO. De implementatie van de technische applicatie-infrastructuur die nodig is om hier op aan te sluiten is afgerond. De Dommelvallei-organisaties organiseerden gezamenlijk het beheer voor deze systemen. De vakafdelingen kunnen zich met ondersteuning van beheer verder voorbereiden op de implementatie van de omgevingswet(processen).
Datagedreven organisatie
Dienst Dommelvallei nam een datawarehouse, een centraal gegevensmagazijn in gebruik. Hierin verzamelen we samen, volgens de richtlijnen, steeds meer gegevens vanuit basisregistraties, processen en ketenpartners. Het vormt de basis voor het ontwikkelen van data-instrumenten die het werk van professionals in de uitvoering, beleidsmakers en managers ondersteunen.
Applicatiemanagement
Het merendeel van de applicaties voor de kern van de informatievoorziening is nu gelijk voor de vier Dommelvallei-organisaties. Om de al ingeboekte besparingen uit het programma BetERe dienstverlening en bedrijfsvoering te realiseren, is actief ingezet op het uitfaseren van oude software. De exploitatielasten van de totale applicatieportfolio zijn daardoor substantieel lager in 2022. Dit is verwerkt in de meerjarenbegroting 2022-2025 van Dienst Dommelvallei.
Project professionaliseren functioneel beheer
De colleges van de drie Dommelvallei-gemeenten zien voordeel bij het samen oppakken van de (professionalisering) van functioneel beheer en applicatiebeheer om kwetsbaarheid te verminderen en expertise te vergroten. Het project is in 2021 gestart en levert in 2022 een visie voor doorontwikkeling inclusief ontwikkelplan en een kosten-batenanalyse op.
Veilig inloggen en hybride werken (voorheen 2-factor-authenticatie en beheer mobiele apparaten)
Met de implementatie van onder andere 2-factor-authenticatie en software om mobiele devices op afstand te beheren hebben we een veiligere werkomgeving die voldoet aan de beveiligingseisen. We stelden kaders voor hybride werken op. Hiermee bereiden we ons voor op de vervanging van de werkplekken en chromebooks in 2022.
Gezamenlijke gemeentelijke uitvoering: Telefonie-omgeving (voorheen GT Connect)
In het tweede kwartaal kozen we voor een eigen aanbesteding voor de telefonie-omgeving. Dit nadat de VNG eind 2020 de stekker uit de landelijke aanbesteding (GT-Connect) trok. De voorbereidingen zijn gestart. We nemen in 2022 de nieuwe telefonie-omgeving in gebruik.
Gezamenlijke gemeentelijke uitvoering: GT-Mobiel
De Dommelvallei-organisaties kozen ervoor om gezamenlijk deel te nemen aan de aanbesteding GT Mobiel 3. Dienst Dommelvallei heeft namens de Dommelvallei-organisaties de trekkende rol in het inkooptraject. Daarvoor hebben de drie colleges in juni mandaat verleend aan Dienst Dommelvallei om namens het college deel te nemen aan het inkooptraject van GT Mobiel 3. Het inkooptraject loopt op schema. De beoogde ingangsdatum van de raamovereenkomst is 25 april 2022.
Digitale duurzaamheid
We werkten door aan de opbouw van het centrale digitale archief in het zaaksysteem. Met een centraal digitaal archief vergroten we de vindbaarheid en de beheersbaarheid. We koppelden de nieuwe systemen voor burgerzaken en VTH (Vergunningen, Toezicht en Handhaving), zodat documenten automatisch in het zaaksysteem worden gearchiveerd.
We werken aan het digitaliseringsproject bouw- en milieuvergunningen. Dit is een meerjarig digitaliseringstraject, gestart in 2020, waarbij permanent te bewaren analoge documenten worden vervangen door digitale kopieën. Later ontsluiten we deze documenten in het zaaksysteem.
Informatiebeveiliging en Privacy
Aanschaf ISMS en PMS
In 2021 hebben we voor de drie gemeenten en Dienst Dommelvallei een Information Security Management System (ISMS) en Privacy Management System (PMS) aangeschaft en een start gemaakt met de inrichting en implementatie daarvan. Met behulp van dit ISMS en PMS kunnen we informatiebeveiliging en gegevensbescherming op een gestructureerde en structurele manier borgen in de P&C-cyclus. Het gaat de organisatie helpen om zichzelf continue en volgens het PDCA-model cyclisch te verbeteren.
Ons ISMS ondersteunt en zorgt ervoor dat er een gestructureerde manier is om informatiebeveiliging te beheren. Het biedt overzicht, bewijs en zekerheid waar we hebben voldaan aan de normvereisten. En het verbeter de governance van informatiebeveiliging.
In het PMS kunnen wij daarnaast op een georganiseerde manier het verwerkingenregister, de verwerkers met verwerkersovereenkomsten, datalekken, inzageverzoeken en Data Protection Impact Assessments (DPIA’s/privacyrisicoanalyses) vastleggen. Deze informatie is noodzakelijk voor de privacyboekhouding van de gemeente.
BIO Top10
Belangrijke maatregelen als multi-factor authenticatie en het bewaken van applicaties en devices waarmee in onze omgeving wordt gewerkt zijn ingevoerd. Cyber Incident management beleid is vastgesteld om ons te ondersteunen bij incidenten.
Bewustwording
Dit jaar hebben we vanwege de toegenomen dreiging op ons intranet veel aandacht besteed aan het herkennen en melden van phishingmails. Daarnaast heeft het Privacyteam een plan van aanpak Bewustwordingscampagne Privacy en Informatieveiligheid opgesteld. We hebben daarvoor in de organisatie de behoeften opgehaald, de relevante onderwerpen en prioriteiten geïdentificeerd en vervolgens draagvlak, betrokkenheid en budget gezocht. In 2022 starten we met de bewustwordingscampagne.
Verwerkingenregister
In het verwerkingenregister staan alle verwerkingen van persoonsgegevens die in de gemeente plaatsvinden. De gemeente is op grond van de Algemene Verordening Gegevensbescherming verplicht om zo’n verwerkingenregister bij te houden. Eind van het jaar zijn we gestart met een grondige actualisatie van het register van de gemeente Son en Breugel. We ronden dit in het eerste kwartaal van 2022 af. Daarna zetten we het bijgewerkte register over in ons PMS, waarmee we de verwerkingen op een meer gestructureerde manier bij kunnen houden.
Data Protection Impact Assessments (DPIA’s)
Een DPIA is een risicoanalyse, waarin we beoordelen wat het effect van een beoogde verwerking is op de bescherming van persoonsgegevens. We hebben dit jaar opnieuw een aantal DPIA’s uitgevoerd. Waar mogelijk doen we dat voor de Dommelvallei-organisaties gezamenlijk. Uitgevoerde DPIA’s dit jaar zijn onder andere:
- DPIA voor de nieuw aangeschafte software voor het Sociaal Domein.
- DPIA’s voor de Gegevensmakelaar, het Datawarehouse en iNzicht.
- DPIA voor de nieuwe applicatie voor Vergunningen, Toezicht en Handhaving.
- DPIA voor de inzet van bodycams.
- DPIA Vroegsignalering bij schulden.
Verwerkersovereenkomsten
Waar nodig sluiten we met onze samenwerkingspartners verwerkersovereenkomsten af. Bij nieuwe aanbestedingen hebben we dit standaard als onderdeel in het aanbestedingstraject meegenomen, zoals bij de aanbesteding voor de nieuwe software voor het Sociaal Domein en de nieuwe Burgerzakenapplicatie. Waar we ontbrekende verwerkersovereenkomsten signaleerden, sloten we die alsnog af.
Zaaksysteem Djuma
Privacybeheerders en Functionarissen Gegevensbescherming zijn met de medewerkers in gesprek gegaan over de inrichting van het zaaksysteem. Op basis van die gesprekken is, gezien de informatie die daarin vastgelegd wordt, besloten om bepaalde zaaktypes nog maar voor een beperkte groep mensen beschikbaar te maken.
Datalekken
In 2021 zijn er binnen de gemeente Son en Breugel bij de privacybeheerder en FG's vijf datalekken gemeld. Twee daarvan hebben we gemeld bij de Autoriteit Persoonsgegevens. In drie gevallen is de betrokkene op de hoogte gesteld van het datalek. Soms melden ook de betrokkenen zelf het datalek bij ons.
Een melding bij de AP betekent niet ook automatisch een melding bij de betrokkenen en andersom. Of we een datalek melden bij de AP en/of de betrokkenen is altijd een individuele afweging. Dit is afhankelijk van het privacyrisico voor de betrokkenen. De FG's en de privacybeheerder stemmen in overleg met de burgemeester en de gemeentesecretaris af welke datalekken bij wie gemeld worden.
De datalekken zijn in vrijwel alle gevallen het gevolg van een incidentele menselijke fout. Meestal gaat het om een mail die per abuis is verstuurd naar een verkeerde ontvanger. We wijzen medewerkers erop om de juistheid van het mailadres goed te controleren. Omdat de mens hierin de zwakste schakel is en blijft, nemen wij dit thema continu mee in onze bewustwordingscampagne. Daarnaast gaan we in 2022 een beveiligde mailoplossing aanschaffen, waarmee de medewerkers gegevens beveiligd kunnen versturen.
Overige
In 2021 is Son en Breugel door de bezwaarschriftencommissie in het gelijk gesteld bij het buiten behandeling laten van een inzageverzoek omdat betrokkene zich niet wilde legitimeren of het verzoek via DigiD wilde indienen.
Beveiligingsincidenten
In 2021 zijn er in de vier Dommelvallei-organisaties 73 beveiligingsincidenten (exclusief datalekken) gemeld bij de CISO, waarvan 67 phishing/spam meldingen. Verder waren er een aantal systeem gerelateerde incidenten, bijvoorbeeld bij de inrichting van de nieuwe mailomgeving. Het grootste incident was een mail met een link waar een medewerker op had geklikt en gegevens had achtergelaten, het mitigeren van de gevolgen was een grote klus.