Uitvoering informatieplan 2022
De uitvoering van het informatieplan 2022, het jaarlijkse uitvoeringsplan op basis van informatiebeleid Dommelvallei 2021-2025, stond onder druk, door:
- De substantiële toename van leveringstijden en prijzen van hardware.
- Onvoldoende expertise en formatie om projectleiderschap van projecten in te vullen.
- Te weinig capaciteit systeembeheer Dienst Dommelvallei door toenemende druk op het uitvoeren van maatregelen ten behoeve van informatiebeveiliging en incidenten op dat vlak, gecombineerd met onderbezetting door ziekte.
- Krapte op de arbeidsmarkt.
- Het project vernieuwing software sociaal domein, dat substantieel meer inzet vroeg dan vooraf was ingeschat. Dit uitte zich vooral bij de beheerorganisatie zaakgericht werken.
Hoewel er projecten in de planning verschoven zijn, is het gros van de projecten in uitvoering of in voorbereiding. Maar door de druk op het portfolio, beveiligings- en capaciteitsissues bij systeembeheer, zijn achterstanden in vooral technische projecten en reguliere hardware-vervangingen ontstaan. Eind 2022 gaf Dienst Dommelvallei hierover een noodsignaal af. Op basis daarvan zijn in het informatieplan 2023 noodzakelijk onderhoud, beveiliging en modernisering van de ICT-omgeving samen onder de noemer "basis op orde" als prioriteit gesteld en is er aandacht gevraagd voor de ondercapaciteit bij systeembeheer. Nieuwe wensen voor functionaliteit en ambities uit 2022 die niet in uitvoering of voorbereiding zijn, kregen de status optioneel. Deze worden alleen opgepakt indien er naast de basis-op-orde capaciteit bij systeembeheer overblijft.
IT-regieorganisatie
Dienst Dommelvallei zette de eerste stappen in de inrichting van IT-servicemanagement en wijzigingsbeheer. Daardoor zijn ze meer "in control". Ze kregen meer zicht op hoeveel tijd er nodig is om de afgesproken diensten te leveren en de infrastructuur te onderhouden. De tijd die nodig is voor informatieveiligheid neemt toe. Systeembeheer voert alleen wijzigingen in infrastructuur en applicatielandschap door die een vastgesteld proces volgen en als de planning van het regulier beheer dit toelaat. Dit heeft gevolgen voor het aantal uit te voeren projecten. Daarbij is Dienst Dommelvallei beter in staat reële verwachtingen van doorlooptijd te geven. In het verlengde hiervan stelden we samen een ontwikkelplan functioneel beheer en applicatiebeheer op om op dit gebied te professionaliseren, met als hoofddoel de digitale mogelijkheden beter uit te nutten en continuïteit en veiligheid te borgen.
Door het stuklopen van de VNG aanbesteding GGI-veilig was het noodzakelijk om nieuwe diensten en software af te nemen om het proactief detecteren van risico's te implementeren. De verdere implementatie loopt door naar 2023.
Digitaal Stelsel Omgevingswet (DSO)
De invoering van de omgevingswet is uitgesteld naar 1 januari 2024 door problemen met de implementatie van het (landelijke) DSO.
Digitale duurzaamheid
Informatie is duurzaam toegankelijk als die gedurende de vastgestelde bewaartermijn voldoet aan de volgende kenmerken: informatie is vindbaar, beschikbaar, leesbaar, te interpreteren, betrouwbaar en toekomstbestendig. Voor iedereen die daar recht op heeft en voor zo lang als noodzakelijk, oftewel volgens wetgeving.
Dienst Dommelvallei koppelde de systemen voor burgerzaken, het sociaal domein en vergunningen-toezicht-handhaving (VTH-systeem) aan het zaaksysteem om archiefwaardige documenten hierin op te slaan. Dit blijkt in de praktijk weerbarstig. Koppelingen zijn complex en vragen veel monitoring en beheer op diverse gebieden. In het sociaal domein is tot dusver geen naar behoren werkende koppeling opgeleverd. Daarom is langer analoog archiveren nodig. Door deze ervaringen maakten we een uitzondering op de kaders en richtlijnen zaakgericht werken, door archieffunctionaliteit toe te staan in diverse vakapplicaties. Dit vraagt om een herijking van de architectuur: hoe en waar gaan we informatieobjecten bewaren, vernietigen en beheren. De keuzes die we daarin maken gaan invloed hebben op de uitvoering en daarmee benodigde formatie voor informatiebeheer. Hiermee gaan we in 2023 aan de slag.
Archiefinspectie
In 2022 heeft het Regionaal Historisch Centrum Eindhoven (RHCe) een audit uitgevoerd en hebben we de jaarlijkse rapportage aan het Interbestuurlijk Toezicht van de Provincie (IBT) gestuurd. Het toezichtoordeel van de provincie was ‘Voldoet’. Uit de audit bleek dat het archiefbeheer grotendeels voldoet aan geldende wet- en regelgeving; verbeterpunten worden opgenomen in het verbeterplan voor 2023.
Digitalisering bouw- en milieudossiers
Er was gepland dat dit project in 2022 afgerond zou zijn. Dit is niet gelukt, omdat de voorbewerking van de bouwdossiers iets meer tijd vroeg dan verwacht en de lockdown periode eerder al enige vertraging had opgeleverd. De planning is dat dit in het voorjaar van 2023 alsnog gebeurd. De bouwvergunningen verleend tot en met 1989 worden dan ook overgedragen naar het RHCe.
Werkplekvoorzieningen en Ondersteuning gemeenteraden
Bij de start van de nieuwe raadsperiode in 2022 zijn aan raads-, commissie- en burgercommissieleden digitale voorzieningen (laptop en softwarelicenties) uitgeleverd. Door lange levertijden van hardware zijn laptops voor medewerkers in het kader van hybride werken niet in 2022 maar begin 2023 uitgeleverd.
Informatiebeveiliging en Privacy
1. Basis op orde
Veiligheid eerst
De wachtwoordsterkte is aangescherpt conform de BIO norm. Dit gecombineerd met tweefactor authenticatie verhoogt de bescherming van onze applicaties en devices.
Kwetsbaarheids-/penetratietesten
In 2022 zijn twee kwetsbaarheidsscans op onze systemen uitgevoerd door externe partijen. Maatregelen zijn genomen om de bevindingen met de grootste risico's weg te nemen. Andere te nemen maatregelen zijn ingepland en begroot.
Inrichting risicomanagement
In 2022 is een pilot gestart voor interne controle op autorisaties. Dit heeft betrekking op de proceseigenaren en de toetsing door control.
Zaakgericht werken
De functionarissen gegevensbescherming (FG's) toetsen de inrichting van de vertrouwelijkheid van alle nieuwe zaaktypes. Zo zorgen we er gezamenlijk voor dat de medewerkers in het zaaksysteem alleen die gegevens kunnen raadplegen die ze nodig hebben voor hun taken.
Verwerkers- en samenwerkingsovereenkomsten
In het verwerkingenregister staan alle verwerkingen van persoonsgegevens die in een organisatie plaatsvinden. Voorheen hielden we deze registers bij in een Excelbestand. Dit jaar zijn de verwerkingenregisters voor de gemeente vanuit Excel overgezet in ons Privacy Management Systeem (PMS). Daarmee kunnen we de verwerkingen op een meer gestructureerde manier bijhouden.
2. Bedrijfscontinuïteit
Werken in de cloud / Veilig mailen en veilig bestanden uitwisselen
Na een succesvolle pilot is de organisatie brede implementatie van Zivver gestart waarmee op een veilige manier kan worden gecommuniceerd.
Crisisbeheersing
De crisisorganisatie is in de praktijk getoetst bij incidenten. Dit jaar is een aanpak van beveiligingsincidenten met als doelgroep systeembeheer opgesteld.
Bewustwording
28 januari is de Europese Dag van de Privacy. Op deze dag wordt internationaal extra aandacht gegeven aan het belang van een goede bescherming van persoonsgegevens. Privacy officers, FG's en CISO zijn hierbij aangesloten. In de week van 28 januari hebben zij dagelijks op intranet aandacht besteed aan een specifiek onderwerp dat verband houdt met privacy en informatiebeveiliging. De week werd afgesloten met een quiz, waar veel medewerkers aan meededen.
Phishingmailactie
Aan het eind van het jaar hebben CISO en FG's een nep phishingmail uit laten sturen. Zij wilden daarmee toetsen of de medewerkers een phishingmail kunnen herkennen, of zij bekend zijn met het proces rondom het melden van een phishingmail en wilden het bewustzijn bij de medewerkers vergroten. De actie was geslaagd. CISO en FG's hebben daarna voor iedereen op intranet een e-learning beschikbaar gesteld waarin zij meer konden leren over het herkennen van een phishingmail en het meldproces. De directeuren zijn over de resultaten van de actie geïnformeerd.
Rondgang door de gebouwen
In 2019 heeft een mystery guest de gemeentelijke gebouwen bezocht om bij de Dommelvallei-organisaties de informatieveiligheid te toetsen. CISO en FG's wilden onderzoeken of de aanbevelingen die de mystery guest destijds heeft gedaan, door de organisaties zijn opgevolgd. Daarvoor hebben zij in juli en augustus een rondgang door de gebouwen gemaakt. CISO en FG's constateerden veel verbeteringen en hebben aan de directeuren ook een aantal verbetervoorstellen gedaan.
3. Overig
Eenduidige Normatiek Single Information Audit (ENSIA)
Met ENSIA leggen gemeenten in één keer verantwoording af over het (veilig) gebruik van acht verantwoordingsstelsels en applicaties. Het betreft de verantwoordingsprocedure voor de Basisregistratie Personen, Reisdocumenten, Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen, Basisregistratie Grootschalige Topografie, Basisregistratie Ondergrond, Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet) en Wet Waardering Onroerende Zaken. De DigiD en Suwinet onderdelen zijn door een IT-auditor gecontroleerd, we voldeden voor deze stelsels aan alle normen. De uitkomsten van de IT-audit en de andere zelfevaluaties (met waar nodig verbeterplannen) zijn vastgesteld in de colleges en gedeeld met de verticale toezichthouders.
Externe audit Wet politiegegevens
Een IT-auditor heeft bij de gemeente Son en Breugel de wettelijk verplichte audit uitgevoerd op de verwerking van politiegegevens (persoonsgegevens die worden verwerkt voor de opsporing van strafbare feiten). De resultaten zijn tijdig bij de Autoriteit Persoonsgegevens aangeleverd. De organisatie gaat met de aanbevelingen aan de slag.
Datalekken
In 2022 is er binnen de gemeente Son en Breugel 1 datalek gemeld. Deze hebben we gemeld bij de Autoriteit Persoonsgegevens en is de betrokkene op de hoogte gesteld.
Een melding bij de AP betekent niet ook automatisch een melding bij de betrokkenen en andersom. Of we een datalek melden bij de AP en/of de betrokkenen is altijd een individuele afweging. Dit is afhankelijk van het privacyrisico voor de betrokkenen. De FG's en de privacy officer stemmen in overleg met de verantwoordelijken af welke datalekken bij wie gemeld worden.
De datalekken zijn in vrijwel alle gevallen het gevolg van een incidentele menselijke fout. Meestal gaat het om een mail die per abuis is verstuurd naar een verkeerde ontvanger. We wijzen medewerkers erop om de juistheid van het mailadres goed te controleren. Omdat de mens hierin de zwakste schakel is en blijft, nemen wij dit thema continu mee in onze bewustwordingscampagne.
Beveiligingsincidenten
In 2022 zijn er in de vier Dommelvallei-organisaties 19 beveiligingsincidenten (geen phishing/spam meldingen) gemeld bij de CISO. Dit jaar zijn er (door verbeterde mail inrichting en beveiliging) geen phishing/spam meldingen geweest. Het aantal beveiligingsincidenten (niet phishing/spam) is driemaal zo hoog als vorig jaar, vorig jaar waren er 6 beveiligingsincidenten (niet phishing/spam) en 67 phishing/spam incidenten.
Het grootste incident was een kwetsbaarheid op een nieuwe server, waardoor er een (ethical-) hacker is binnengedrongen. Deze kwetsbaarheid is meteen weggenomen en nader forensisch onderzoek heeft geen andere inbreuken aangetoond.