Informatiebeveiliging

De bewustwording, herkenning en beheersing van de risico’s van de EHZM organisaties op het gebied van privacy en informatieveiligheid blijft topprioriteit. Uit landelijke onderzoeken blijkt dat de medewerkers in de gehele keten van de informatiehuishouding de zwakste schakel zijn. Daarom is het van groot belang dat de medewerkers blijvend getraind worden in het herkennen en beheersen van de risico’s. Vandaar dat ingezet wordt op introductiesessies voor (nieuwe) medewerkers om dit stevig onder de aandacht te brengen. De verwachting is dat risico’s op het gebied van o.a. cyberaanvallen alleen maar toenemen. Het gebruik van Artificial Intelligence maakt het steeds moeilijker om malafide zaken te onderkennen. De inzet is erop gericht om hacks zoals bij de gemeente Buuren te voorkomen. 

Op het gebied van privacy zijn de EHZM organisaties voorloper in vergelijking met andere gemeentelijke organisaties. Binnen de samenwerking zijn bewuste keuzes gemaakt om een privacyteam neer te zetten, dat onafhankelijk kan en mag opereren. De inzet van het team is om de organisaties zo goed mogelijk te ondersteunen in het voldoen aan de wettelijke regels en tegelijkertijd naar oplossingen te zoeken voor het zo effectief mogelijk uitvoeren van beleid. Steeds vaker weten collega’s het privacyteam in een vroeg stadium te vinden, waardoor er vroegtijdig kan worden meegedacht en “by design” privacykaders bij de dienstverlening en uitvoering worden meegenomen.

Een van de belangrijkste speerpunten is de informatiehuishouding op orde brengen, waarbij het van groot belang is het benoemen, trainen en begeleiden van proceseigenaren. Zij zijn de ankerpunten in de organisatie om de informatiehuishouding op orde te krijgen en te houden. Een ander speerpunt is het uitvoeren en leren van de audits, die verplicht zullen moeten worden uitgevoerd, zoals de ENSIA, DigiD, Suwinet, NIS2, Wpg, Algoritmes, verwerkingsregister. Vanaf 2025 zullen de audits steeds meer gaan in de beoordeling van opzet, bestaan en werking. Het onderdeel werking werd in de audits van de afgelopen jaren niet meegenomen. Wat op papier staat, wordt in de praktijk niet altijd zo uitgevoerd (bij de Boa’s is dat omgekeerd: men werkt in de praktijk conform, maar het staat niet op papier). Door hierop te toetsen, kunnen eventuele knelpunten in beeld worden gebracht en biedt dit de kans voor de organisaties om deze aandachtspunten te verbeteren. 

We willen onze informatie beter beschermen bij alles wat we doen. We streven ernaar te voldoen aan de regels/wetten die daarvoor zijn (en op ons af gaan komen), maar besteden ook veel aandacht aan het ontwikkelen van het bewustzijn dat informatieveiligheid een belangrijk onderdeel uitmaakt van het dagelijkse werk van medewerkers, management en bestuur. De basis is gelegd door naast de CISO (Chief Information Security Officer) de formatie van ISO (Information Security Officer) en TISO (Technical Information Security Officer) te creëren en in te vullen. De organisaties (EHZM) hebben een CISO, ISO en TISO nodig om informatiebeveiliging op alle niveaus te borgen. De CISO adviseert m.b.t. het strategisch beleid, de ISO vertaalt dit naar organisatiebrede processen en de TISO richt zich op de technische uitvoering.  Zo ontstaat een effectieve samenwerking tussen beleid, toezicht en techniek. 

In de komende periode onderzoeken we wat er allemaal verder ingericht moet worden (roadmap) in het kader van de Europese Network and Information Security Directive (NIS2-richtlijn). Eén van de aspecten is het inrichten van een scholingsprogramma voor de verschillende B&W’s, directies, controllers en overige gesprekspartners van de colleges vanuit de drie gemeenten, zodat niet alleen de huidige functionarissen, maar ook nieuwe functionarissen over de actuele kennis beschikken om verantwoordelijkheden te kunnen invullen.