Informatiebeleid en informatieplan
Het informatiebeleid 2021-2025 is de leidraad voor het informatieplan 2023. Het informatieplan bevat de door de Dommelvallei-organisaties gezamenlijk geprioriteerde lijst van projecten waarmee we bouwen aan ambities op basis van de thema's:
- Digitaal voor en mét de burger
- Veilig en vertrouwd
- Meer doen met data
- Basis voor de toekomst
Door verregaande digitalisering en meer eisen op het gebied van informatiebeveiliging nemen ICT-kosten toe. Dit is een landelijke trend. Om ons voor te bereiden op deze stijging reserveren we een bedrag van €107.580 in 2023 en vanaf 2024 structureel € 64.240. Met de samenwerkingspartners gaan we kritisch kijken en keuzes maken welke projecten we uitvoeren.
Aan het einde van het jaar kijken we tijdens een gezamenlijke raadsinformatieavond terug naar 2023 en op basis van het informatieplan 2024 naar het komende jaar. Zie ook Nieuw beleid van programma 1.
Ontwikkelplan professionaliseren functioneel beheer.
Functioneel beheer is een katalysator voor digitale transformatie. In 2022 stelde de dienst het ontwikkelplan “professionaliseren functioneel beheer” op met als doel de potentie van digitale mogelijkheden beter uit te nutten. Met dit plan werken zij in 2023 verder aan een functioneel beheerorganisatie die:
- Zorgt voor kwaliteit en continuïteit van de informatievoorziening
- In staat is om het maximale uit de gebruikte systemen te halen.
- Digitale dienstverlening naar een volgend niveau kan brengen.
- Zorgt voor een optimale fit tussen gebruiker, proces en systeem.
- Kwaliteit van data een boost geeft.
Common Ground
In 2023 implementeren Dienst Dommelvallei de eerste gegevenskoppelingen die voldoen aan de Common Ground gedachte. Daarmee werken we aan een gegevenslandschap waarbij het mogelijk is om direct de bron te bevragen onder het motto “eenmalig opslaan en meervoudig gebruiken”. Koppelingen die gegevens kopiëren van het éne systeem naar het andere vervangen we in de komende jaren geleidelijk (op natuurlijke momenten en afhankelijk van het aanbod van leveranciers) door relatief eenvoudige en laagdrempelige standaarden voor koppelen. Het ontsluiten van gegevens wordt daarmee makkelijker. Dat zorgt voor betere dienstverlening door meer selfservice naar burgers en bedrijven.
Informatiebeveiliging en Privacy
1. Basis op orde
Veiligheid eerst
De Chief Information Security Officer (CISO) en Functionarissen Gegevensbescherming (FG’s) zien toe op de invoering van de BIO Top10 maatregelen. Dit programma sluit aan bij de aanbevelingen van de rekenkamercommissie en is risicogebaseerd opgezet.
Kwetsbaarheidsscan-/penetratietesten
Op basis van de uitkomsten van de kwetsbaarheidsscan die in 2022 is uitgevoerd, worden mitigerende maatregelen genomen en wordt bepaald welk soort penetratietest uitgevoerd wordt.
Risicomanagement
In 2022 zijn het Information Security Management System (ISMS) en Privacy Management System (PMS) geïmplementeerd en heeft het privacyteam daar de eerste ervaringen mee opgedaan. Met behulp van dit ISMS en PMS kunnen we informatiebeveiliging en gegevensbescherming op een gestructureerde manier borgen in de P&C-cyclus. In 2023 krijgen de proceseigenaren beter inzicht in de risico’s. FG’s en CISO adviseren over de te nemen maatregelen.
Verwerkers- en samenwerkingsovereenkomsten
De FG’s blijven ook in 2023 sturen op het vastleggen van afspraken met onze samenwerkingspartners.
Verwerkingenregister
In het verwerkingenregister staan alle verwerkingsactiviteiten die onder de verantwoordelijkheid van een organisatie plaatsvinden. Dit register bevat onder andere de verwerkingsdoeleinden, de categorieën van persoonsgegevens die we verwerken, wie de betrokkenen daarbij zijn, wie de gegevens mag ontvangen en hoe lang we de gegevens mogen bewaren. Iedere organisatie is verplicht om een eigen register bij en actueel te houden. De FG’s sporen de leidinggevenden hiertoe aan en toetsen de volledigheid.
2. Bedrijfscontinuïteit
Bedrijfscontinuïteitsplannen
Om voorbereid te zijn op cyberincidenten moeten bedrijfscontinuïteitsplannen opgesteld worden. Daarin werken we de volgende 3 onderwerpen uit:
- Inhoudelijk en technisch: We bepalen welke processen het meest kritisch zijn en op welke wijze de dienstverlening kan doorgaan bij uitval of niet-beschikbaarheid van systemen.
- Privacy: Als (persoons)gegevens die de gemeenten in beheer hebben in verkeerde handen vallen zijn de mogelijke gevolgen voor inwoners, ondernemers en medewerkers bijna niet te overzien. We moeten de impact daarvan op de betrokkenen bepalen en maatregelen beschrijven om de gevolgen te verkleinen. Dit doen we om onze inwoners en medewerkers te beschermen. Ook om aansprakelijkheidsstellingen van getroffenen of boetes van de privacytoezichthouder te voorkomen.
• Communicatie: In hun bedrijfscontinuïteitsplannen beschrijven we hoe ze over incidenten communiceren. Zowel intern als extern. Een goede communicatie zorgt ervoor dat de berichtgeving gebaseerd is op feiten en minder op speculaties.
Werken in de Cloud
We werken steeds meer in de Cloud. De risico’s die daarmee gepaard gaan mitigeren worden op 3 fronten gemitigeerd:
- Veilige inrichting van de omgeving. Dienst Dommelvallei heeft aandacht voor de juiste inrichting van de Cloud en bij de keuzes in de licenties. Ook besteden zij aandacht aan de juiste back-up strategie en de versleuteling van gegevens.
- Beschermen van de gegevens door er voor te zorgen dat alleen de bevoegden toegang hebben, door de autorisatieprocessen hierop aan te passen en periodieke controles op autorisaties uit te voeren.
- Beschermen van de toegang tot de gegevens door te zorgen dat alleen toegestane apparaten toegang krijgen door dat technisch af te dwingen.
Crisisbeheersing
Met de toegenomen dreigingen van buitenaf is een goede crisisbeheersing onontbeerlijk. Immers de risico’s met betrekking tot de bedrijfscontinuïteit nemen toe omdat digitale processen steeds meer de standaard worden. Bij het bestrijden van een crisis is het belangrijk om de verantwoordelijkheden en rollen duidelijk af te spreken. Het crisisteam is bezig met het opstellen van een draaiboek, met daarin een stappenplan om de gevolgen van een ransomware aanval of een hack te bestrijden. Vervolgens zal hiermee geoefend worden.
3. Bewustwording
Bewustwording is en blijft voor informatiebeveiliging en gegevensbescherming essentieel. Het privacyteam maakt medewerkers bewust van de risico’s van het werken met (persoons)gegevens en we maken risicomanagement expliciet onderdeel van de besluitvorming. We gaan door met onze Dommelvallei brede bewustwordingscampagne, o.a. bestaande uit e-Learning, een Nano training en een phishing mail campagne. Op basis van de behaalde resultaten beoordelen we op welke onderwerpen we ons daarna focussen. Bewustwording is een cyclisch proces.
FG’s en CISO zien er op toe dat gegevensbescherming een wezenlijk onderdeel is van het verwerken en analyseren van (big)data.