Inwoners en bedrijven verwachten een betrouwbare overheid die op een zorgvuldige en veilige manier met hun informatie omgaan. Gemeente Medemblik speelt hierin een belangrijke om deze verwachting waar te maken naar haar inwoners en bedrijven. Een goede informatieveiligheid draagt bij aan een hogere kwaliteit en continuïteit van de bedrijfsvoering en dienstverlening naar inwoners en bedrijven.
Hoe staan wij ervoor?
De “Rekenkamerrapportage Informatieveiligheid gemeente Medemblik” heeft aangetoond dat de informatieveiligheid onvoldoende is. De komende jaren wordt verder gebouwd aan professionalisering en integratie van de informatieveiligheid in bedrijfsvoering van de gemeente. De raad zal medio 2023 over de actuele stand van zaken vertrouwelijk worden geïnformeerd.
Wettelijke ontwikkeling
Op 27 december 2022 heeft het Europees Parlement een update geplaatst van de Netwerk- en Informatiesystemen (NIS2) richtlijn. Er zijn vier hoofdlijnen binnen de NIS2. Opgelegde beveiligingseisen worden aangescherpt, volledige leveranciersketen dient beveiligd te zijn, stroomlijning van rapportageverplichting en er komt strenger toezicht.
Waar lokale overheden onder de NIS1-richtlijn buiten de scope vielen is nu duidelijk dat deze wel vallen binnen de scope van de NIS2-richlijn. De verwachting is dat de Nederlandse overheid deze richtlijn zal verwerken in een nieuwe versie van de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni). De verwachting is dat in het najaar van 2023 meer duidelijk wordt over de verdere gevolgen voor gemeenten.
Algemeen wordt verwacht dat in 2024 de Baseline Informatiebeveiliging Overheid (BIO) wettelijk steviger verankerd zal worden binnen de Wbni. De BIO is het normenkader voor informatieveiligheid voor de vier overheidslagen.
Resultaten van ENSIA cyclus 2022
Gemeenten zijn verplicht om, jaarlijks uiterlijk op 30 april van het nieuwe jaar verantwoording over het vorig jaar af te leggen, over de informatieveiligheid (zogenaamde ENSIA). Uitgangspunt is de horizontale verantwoording van het college aan de raad. In dit kader dient het college hierover in het jaarverslag een passage op te nemen. Genoemde verantwoording vormt ook de basis voor de verticale verantwoording aan de nationale partijen die een rol hebben in het toezicht op de informatieveiligheid.
In de tabel hieronder vindt u de resultaten over de ENSIA cyclus van het jaar 2022.
Stelsel | Resultaat |
|---|---|
BAG | Voldoet |
BGT | Voldoet |
BRO | Voldoet |
BIO | In lijn met de “rekenkamerrapportage Informatieveiligheid gemeente Medemblik wordt niet voldaan aan het normenkader van de BIO. Op het moment wordt gewerkt aan verbeteringen. De raad zal medio 2023 over de actuele stand van zaken worden geïnformeerd. |
BRP | Voldoet |
Reisdocumenten | Voldoet |
DigiD | Een verbeterplan dient opgesteld te worden voor de norm U/TV.01 waarna een her-audit zal plaatsvinden. |
Suwinet | Voldoet |
WOZ | Voldoet |
Algemene Verordening gegevensbescherming
De Algemene Verordening gegevensbescherming (AVG) stelt eisen aan de omgang met en het verwerken van persoonsgegevens. Binnen de gemeente Medemblik wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners. Deze persoonsgegevens worden voornamelijk gebruikt voor het goed uitvoeren van de gemeentelijke (wettelijke) taken.
Voorafgaand en na inwerkingtreding van de AVG in 2018 is hard gewerkt aan het implementeren van de AVG. Zo is er tijdig privacy beleid geïmplementeerd en zijn verantwoordelijkheden in de organisatie belegd. In 2022 heeft de gemeente Medemblik heel wat werk verzet om de AVG verder in de organisatie te implementeren en onderdeel te maken van de dagelijkse praktijk van medewerkers van de gemeente. Hierbij is veel aandacht besteed aan de inrichting van digitale systemen en de verschillende werkprocessen en de vertaling hiervan naar de medewerkers. Een aantal maatregelen waren zeer effectief, zoals de implementatie van de AVG-tool en de positionering van privacy-medewerkers. Ook is financiële ruimte vrij gemaakt voor het aantrekken van een structurele privacy officer. Deze is per 1 januari 2023 aan de slag gegaan.
Het aantoonbaar kunnen voldoen aan de AVG en aanverwante wetgeving is een doorlopende uitdaging. Grip op de gebruikte ICT en de doorontwikkeling daarvan en het doorlopend onder de aandacht brengen bij de medewerkers van de gemeente van vraagstukken op het gebied van privacy en informatiebeveiliging staan daarbij geprioriteerd op de agenda.