Paragrafen

Informatieveiligheid

Informatieveiligheid

Informatieveiligheid is het geheel van maatregelen, procedures en processen die de beschikbaarheid, integriteit en vertrouwelijkheid van alle vormen van informatie binnen de gemeente garanderen. Het doel van informatieveiligheid is de continuïteit van de informatie en de informatievoorziening te waarborgen en de eventuele gevolgen van beveiligingsincidenten tot een acceptabel niveau te beperken.

BIO en ENSIA
Vanaf 1 januari 2020 is voor informatiebeveiliging één uniform normenkader voor informatiebeveiliging van toepassing: de Baseline Informatiebeveiliging Overheid (BIO). Onderstaande is jaarlijks noodzakelijk:

  • informatiebeveiligingsbeleid (4- jaarlijks);
  • beveiligingsorganisatie Maassluis;
  • jaarlijkse risicoanalyse en GAP- analyse;
  • jaarlijkse actieplan;
  • jaarlijkse actualisatie Handboek Informatiebeveiligingsbeleid en privacy.

Met Eenduidige Normatiek Single Information Audit (ENSIA) legt de gemeente jaarlijks één keer verantwoording af aan de gemeenteraad en aan het rijk (stelselhouders) inzake Informatiebeveiliging DigiD en Suwinet.

Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) en GGI-veilig aanbesteding
Gemeenten en andere overheden kunnen via de GGI beter, veiliger en gemakkelijker samenwerken.
GGI- veilig ondersteunt de gemeente bij het verhogen van de digitale weerbaarheid en het veiliger maken van de ICT-infrastructuur.   

Wat hebben wij gedaan?
Voor het informatiebeveiligingsbeleid hebben wij het onderstaande uitgevoerd:

Verantwoording naar de gemeenteraad
Wij leggen horizontale verantwoording af over de informatiebeveiliging door één Collegeverklaring ENSIA inzake Informatiebeveiliging DigiD en Suwinet op te stellen. Over deze verklaring is begin 2024 een audit uitgevoerd door een RE-auditor en een Assurancerapport opgesteld.

Verantwoording naar de Rijksoverheid
Verticale verantwoording vindt plaats aan de stelselhouders (Binnenlandse Zaken/ Logius en Inspectie SoZaWe) door het beschikbaar stellen van de uitkomsten van de zelfevaluatie en verplichte audit.

Algemene Verordening Gegevensbescherming (AVG)
Doel van de AVG is om inwoners meer zeggenschap te geven over de verwerking van hun persoonsgegevens. Vanaf 25 mei 2018 is deze van kracht geworden en houdt de Autoriteit Persoonsgegevens (AP) hierop toezicht. Gemeenten zijn verplicht een functionaris voor de gegevensbescherming (FG) aan te stellen, die toeziet op de naleving van de privacyregels.
In 2024 is een Werkplan Privacy goedgekeurd voor verdere implementatie van het in 2023 vastgestelde Privacybeleidskader.  

Overzicht verwerkingen
Een van de onderdelen van de verantwoordingsplicht, die de gemeente in het kader van de AVG heeft, is het bijhouden van een register van verwerkingsactiviteiten, ook wel verwerkingsregister genoemd.
Het bestaande register is in 2024 geactualiseerd.  

Meldplicht datalekken
Bij een datalek gaat het om toegang tot of vernietiging, verlies, wijziging of vrijkomen van persoonsgegevens zonder dat dit de bedoeling is. Een ontdekt datalek dient binnen 72 uur te worden gemeld bij de AP. Voor de meldplicht datalekken heeft de gemeente een procedure vastgesteld. Meldingen 2024: totaal zes datalekken, waarvan twee zijn aangemeld bij de AP.

Wet Politiegegevens (Wpg)
De Wet politiegegevens is op 9 maart 2019 ingevoerd. De scope omvat verwerking(en) van politiegegevens die onder verantwoordelijkheid van de verwerkingsverantwoordelijke vallen. De gemeente Maassluis is als werkgever van de BOA’s (buitengewoon opsporingsambtenaren) die tot taak hebben de handhaving van openbare orde en veiligheid verwerkingsverantwoordelijke voor het gebruik van politiegegevens door de boa's. Door de AP wordt hierop toezicht gehouden.
Eind 2022 heeft de gemeente het (externe) Assurancerapport inzake Privacy- Audit Wet Politiegegevens  aan de AP (autoriteit persoonsgegevens) toegezonden, waarmee de gemeente aan zijn verplichtingen heeft voldaan. Naar aanleiding van de resultaten hiervan heeft de gemeente medio 2023 en 2024 een (verplichte) hercontrole laten uitvoeren door externe RE-auditor.

In 2025 zullen wij voor de Wpg onderstaande (verplichte) werkzaamheden uitvoeren:
- opstellen en uitvoeren Werkplan Privacy (AVG) 2025
- interne Wpg- audit 2024

- externe Wpg- audit 2024

Deze pagina is gebouwd op 06/27/2025 18:30:12 met de export van 06/27/2025 09:52:54