In hoofdstuk 2 wordt de kern van het strategisch beleid uiteengezet. Dit beleid wordt op tactisch niveau aangevuld met onderwerp specifieke tactische beleidsregels die aanvullend zijn op dit strategisch beleid. In het jaarlijks uit te brengen gemeentelijk Informatiebeveiligings- en privacyplan (vastgesteld door het managementteam) worden deze tactische en operationele aspecten van informatiebeveiliging en privacy verder uitgewerkt en geconcretiseerd.

Hoofdstuk 3 beschrijft vervolgens hoe de taken en verantwoordelijkheden in de organisatie belegd zijn.

Onder informatiebeveiliging wordt verstaan het treffen en onderhouden van een samenhangend pakket van maatregelen om de betrouwbaarheid van de informatievoorziening aantoonbaar te waarborgen. Kernpunten daarbij zijn beschikbaarheid, integriteit (juistheid) en vertrouwelijkheid van (persoons)gegevens en andere informatie.

Het informatiebeveiligingsbeleid geldt voor alle processen van de gemeente en borgt daarmee de informatievoorziening gedurende de hele levenscyclus van informatiesystemen, ongeacht de toegepaste technologie en ongeacht het karakter van de informatie. Het beperkt zich niet alleen tot de ICT en heeft betrekking op verschillende groepen personen (bijvoorbeeld: het politieke bestuur, alle medewerkers, burgers, bezoekers en externe relaties).

De gemeente werkt met (persoons)gegevens van onder meer inwoners, ondernemers, medewerkers en (keten)partners. Deze gegevens verzamelt de gemeente voor het goed kunnen uitvoeren van de gemeentelijke wettelijke taken. Denk hierbij onder andere aan taken in het sociaal domein, openbare orde en veiligheidsdomein of voor burgerzaken.

Bij de omgang met deze persoonsgegevens hebben gemeenten een grote verantwoordelijkheid. Privacy is een essentieel en complex vraagstuk. Dit komt onder andere door de toenemende digitalisering van de samenleving en dienstverlening van gemeenten, de decentralisatie van overheidstaken naar gemeenten, de gegevensuitwisseling met (keten)partners, de technische mogelijkheden en veranderende wetgeving. Privacy raakt de hele gemeentelijke organisatie en verdient, samen met informatiebeveiliging, continu aandacht. Inwoners en andere betrokkenen moeten erop kunnen vertrouwen dat de gemeente zorgvuldig en veilig met deze persoonsgegevens omgaat.

Dit beleid beschrijft op strategisch niveau het informatiebeveiligings- en privacy beleid. Dit is uitgewerkt binnen diverse algemene kaders en andere (strategische) beleidsstukken c.q. uitgangspunten.

Het strategisch beleid wordt gebruikt om de basis te leggen voor de tactische beleidsdocumenten en dient daarmee als “kapstok” voor de verdere invulling en uitwerking van beleid op tactisch niveau voor informatiebeveiliging en privacy en implementatie op operationeel niveau.

Doel van deze beleidsnota is het vastleggen van een solide basis voor informatiebeveiliging- en privacy binnen onze organisatie. Hiermee voorkomen we bijvoorbeeld datalekken, hacken, datagijzeling en andere beveiligingsincidenten en minimaliseren we de impact ervan indien zich een beveiligingsincident voordoet.

Dit beleid is het strategisch kader om de beschikbaarheid, integriteit en vertrouwelijkheid van de (persoons)gegevens en andere informatie(systemen) te waarborgen. Ten aanzien van verwerking van persoonsgegevens geldt specifiek nog dat deze moeten voldoen aan de beginselen uit de Algemene Verordening Gegevensbescherming (AVG).

De 6 AVG-beginselen zijn:

• 1.

  rechtmatigheid, behoorlijkheid en transparantie;

• 2.

  doelbinding;

• 3.

  dataminimalisatie;

• 4.

  juistheid;

• 5.

  opslagbeperking;

• 6.

  vertrouwelijkheid en integriteit.

Door te werken binnen dit strategisch kader kan de gemeente voldoen aan relevante wet- en regelgeving.

Dit beleid is de basis voor het tactische beleid en de operationele procedures om daarmee richting te geven voor de verdere invulling van informatiebeveiliging en privacy.

Dit vertaald zich in de volgende strategische doelen:

• •

  Informatiebeveiliging en privacybescherming is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen het managementsysteem van informatiebeveiliging en privacybescherming.

• •

  Adequate bescherming van bedrijfsmiddelen en persoonsgegevens.

• •

  Het toepassen van dataminimalisatie.

• •

  Het minimaliseren van risico’s van menselijk gedrag.

• •

  Het voorkomen van ongeautoriseerde toegang.

• •

  Het garanderen van correcte en veilige informatievoorzieningen.

• •

  Het beheersen van de toegang tot informatiesystemen.

• •

  Het waarborgen van veilige informatiesystemen.

• •

  Het adequaat reageren op incidenten.

• •

  Het beschermen van (kritieke) bedrijfsprocessen.

• •

  Het beschermen en correct verwerken van persoonsgegevens van burgers en medewerkers.

• •

  Voldoen aan de wettelijke verplichtingen voortvloeiend uit de AVG en dit op ieder moment met bewijs kunnen aantonen.

• •

  Het waarborgen van de naleving van dit beleid.

De scope van deze beleidsnota omvat alle gemeentelijke processen, onderliggende informatiesystemen, procesautomatisering, informatie en gegevens bij de gemeente, het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.

Dit beleid is een algemene basis en dekt tevens aanvullende beveiligingseisen uit wetgeving af zoals de AVG⁴, UAVG⁵, Wpg⁶, BRP⁷, PUN⁸, DigiD⁹ en diverse sectorale wetgeving. Voor bepaalde kerntaken gelden op grond van deze wet- en regelgeving ook nog enkele specifieke (aanvullende) beveiligingseisen (bijvoorbeeld SUWI en gemeentelijke basisregistraties) en DigiD met norm B.01 eisen. Deze worden in aanvullende beleidsdocumenten geformuleerd.

Alle informatie en informatiesystemen zijn van belang voor de gemeente, bepaalde informatie is van vitaal en kritiek belang. Het college van B en W is eindverantwoordelijke voor de informatiebeveiliging en privacy. Dit geldt voor alle gemeentelijke informatiesystemen en processen ongeacht waar deze worden gehost c.q. zijn belegd.

Alle Proces Automatiseringssystemen (PA) die binnen de gemeentelijke gebouwen en in de publieke ruimte van de gemeente worden gebruikt, die van de gemeente zijn, zoals gebouwbeheersingssystemen en bijvoorbeeld camera technologie of pompen en gemalen.

De ontwikkelingen genoemd zijn van belang voor de actualisering van het informatiebeveiligings- en privacybeleid. Nieuwe ontwikkelingen kunnen er uiteraard toe leiden dat dit beleid tussentijds geactualiseerd wordt. Dit wordt jaarlijks bekeken.

Om de continuïteit in de dienstverlening en bedrijfsvoering te borgen is een solide inrichting van informatiebeveiliging nodig. Het college en het managementteam maken hierbij op basis van risicomanagement bewuste keuzes om informatieveiligheid te borgen en om kwetsbaarheden in de bedrijfsvoering te minimaliseren. Risico op dataverlies en -manipulatie van gegevens van inwoners en bedrijven worden hiermee verkleind. Veiligheids- en imagorisico’s voor de organisatie - zoals afpersing, diefstal van persoon- en bedrijfsgegevens, uitval van ICT-diensten- worden hiermee verkleind.

Uiteraard moeten alle organisaties daarnaast te voldoen aan privacy wet- en regelgeving, zoals het onderhouden van een verwerkingsregister, het naleven van de meldplicht voor datalekken en het aanstellen van een Functionaris voor Gegevensbescherming (FG), etc. Niettemin wordt de mate van naleving van de AVG door organisaties ook bepaald door hun ambities op dit gebied.

Een degelijke inrichting van informatiebeveiliging en privacy aan de voorkant voorkomt herstelwerkzaamheden achteraf. Om deze inrichting te bereiken, is het noodzakelijk om op het gebied van de bescherming van onze (persoons)gegevens te professionaliseren.

Het huidige volwassenheidsniveau van informatiebeveiliging en privacy¹⁴ van Etten-Leur ligt momenteel op niveau 2 en op enkele gebieden op niveau 3. Dit blijkt uit eerder uitgevoerde ENSIA- en DigiD-audits en diverse DPIA’s.

De ambitie is om volwassenheidsniveau 4 in 2027 in stappen te bereiken. De wijze waarop zal nader worden uitgewerkt in uitvoeringsplannen.

Op dit niveau heeft de gemeente de informatiebeveiliging en privacy op een professionele wijze geborgd binnen de organisatie en processen. Daarbij zijn de risico’s geminimaliseerd tot een acceptabel niveau. Dit niveau is ook noodzakelijk om te kunnen voldoen aan (aankomende) wet- en regelgeving.

Volwassenheidsniveau 5 is het ultieme, maar vraagt een grote betrokkenheid van alle medewerkers voor informatieveiligheid. Dat is voorlopig niet reëel.

Het managementteam zorgt dat alle (persoons)gegevens, processen en systemen en de daarbij behorende middelen altijd onder de verantwoordelijkheid vallen van een teamleider. Het managementteam zorgt dat de teamleiders zich verantwoorden over de beveiliging en bescherming van de privacy van de (persoons)gegevens of andere informatie die onder hen berust. Het managementteam zorgt dat de eindverantwoordelijke portefeuillehouders binnen het college gevraagd en ongevraagd geïnformeerd worden over de mate waarin informatiebeveiliging en privacybescherming een onderdeel is van het handelen van de bedrijfsvoering. Op die manier kan het college zich ook verantwoorden naar de raad.

Het managementteam stelt het gewenste niveau van continuïteit en vertrouwelijkheid vast. Het managementteam draagt zorg voor het uitwerken van tactische informatiebeveiligings- en privacybeleidsonderwerpen en laat zich hierin bijstaan door de CISO en PO van de gemeente. Zij vormen het kloppend hart van dit beleid en coördineren en bewaken mede de uitvoering hiervan. Daarmee fungeren zij als aanjager voor het onderwerp informatiebeveiliging en privacy.

Het managementteam autoriseert de benodigde procedures en uitvoeringsmaatregelen. Het onderwerp informatiebeveiliging en privacybescherming wordt in de gemeente gezien als een integraal onderdeel van risicomanagement.

Alle informatiebronnen en -systemen die gebruikt worden door de gemeente Etten-Leur hebben een interne eigenaar die de primaire verantwoordelijkheid draagt voor de bescherming van de daarin aanwezige informatie. Om deze verantwoordelijkheid waar te maken moeten zij goed ondersteund worden vanuit de tweede lijn.

Deze verantwoordelijkheid kunnen zij niet delegeren, uitvoerende werkzaamheden wel (bijvoorbeeld aan een kwaliteitsmedewerker of vakspecialist binnen het eigen team). De bedoeling is dat alle processen, systemen, verwerkingen en (persoons)gegevens altijd een eigenaar hebben; er moet dus altijd iemand verantwoordelijk zijn.

Afdelingshoofden en teamleiders rapporteren aan het managementteam over de door hen tactisch en operationeel uitgevoerde informatiebeveiligings- en privacybeschermende activiteiten. Afstemming met de afdelingen over de inhoudelijke aanpak vindt plaats door minimaal 2 keer per jaar het onderwerp informatiebeveiliging en privacy te bespreken in het MT-overleg.

Enkele belangrijke taken van de afdelingshoofden en teamleiders in het kader van informatiebeveiliging en privacybescherming zijn, in samenwerking met de CISO en PO:

• •

  Het leveren van input voor wijzigingen op maatregelen en procedures.

• •

  Het voldoen aan wet- en regelgeving die op hun processen van toepassing is en invulling geven aan de rollen die binnen die wet- en regelgeving bedacht is.

• •

  Het binnen de eigen afdeling uitdragen van het IB&P beleid en de daaraan gerelateerde procedures.

• •

  Het vroegtijdig signaleren van de voornaamste (privacy)bedreigingen waaraan de bedrijfsinformatie is blootgesteld.

• •

  Het vroegtijdig betrekken van CISO, PO en FG, bij nieuwe of gewijzigde processen.

• •

  Het (laten) uitvoeren van risicoanalyses en (pre-)DPIA’s voor de processen waar zij verantwoordelijk voor zijn.

• •

  Het leveren van informatie voor de bijhouding van diverse voorgeschreven registers, zoals het verwerkingsregister, algoritmeregister, etc.

• •

  Bespreking van beveiligingsincidenten en privacy inbreuken en de consequenties die dit moet hebben voor beleid en maatregelen.

Dit Strategisch IB&P Beleid is een verantwoordelijkheid van het bestuur van de gemeente Etten-Leur. Bestuur en management werken volgens de 10 principes voor informatiebeveiliging en privacy en de beginselen voor het verwerken van (persoons)gegevens. Zij geven sturing aan het onderwerp informatiebeveiliging en privacy door het geven van voorbeeldgedrag en het vragen om informatie.

Het managementteam is verantwoordelijk voor het gevraagd en ongevraagd rapporteren over informatiebeveiliging en privacy aan respectievelijke portefeuillehouders. Het managementteam rapporteert daarnaast over de mate waarin zij invulling hebben gegeven aan het uitwerken van tactische (deel) beleidsonderwerpen die aanvullend zijn op dit strategische beleid.

De FG, CISO en PO hebben de bevoegdheid om gevraagd en ongevraagd te rapporteren over informatiebeveiliging en privacy aan bestuur en management.

De gemeente verantwoordt zich over informatiebeveiliging middels de ENSIA¹⁵ -systematiek. Dat betekent dat hiervoor een ENSIA-coördinator wordt aangewezen. Deze zorgt ervoor dat de informatie die nodig is voor het beantwoorden van vragen binnen ENSIA wordt opgehaald bij de verantwoordelijke afdelingshoofden en teamleiders. Zij leveren alle informatie die nodig is voor het invullen van de jaarlijkse ENSIA-vragenlijsten.

De verantwoording over de informatiebeveiliging en privacybescherming komt in het jaarverslag tot uitdrukking in de collegeverklaring Informatiebeveiliging en privacy. Met deze verklaring geeft het college van B en W aan in hoeverre de gemeente voldoet aan de afspraken die gemaakt zijn voor de ENSIA-verantwoording Informatiebeveiliging en wettelijke eisen zoals uit de AVG. Ook worden de eventuele verbetermaatregelen vermeld die de gemeente gaat treffen. De ingevulde zelfevaluatievragenlijst vormt de basis voor het opstellen van de collegeverklaring aan de raad.

Via ENSIA verantwoordt de gemeente zich ook aan de stelselhouders voor DIGID/WOZ¹⁶ /BAG¹⁷/SUWI¹⁸.

Middels deze verantwoording worden het bestuur van de gemeente en de raad geïnformeerd. De betrokkenheid van het bestuur is essentieel en laat zien dat de gemeente Etten-Leur informatiebeveiliging en privacybescherming serieus neemt en het een onderdeel laat zijn van de ambities om informatie van haar inwoners adequaat te beschermen.

Voortbordurend op het gehanteerde “Three lines of defense”-model zal het managementteam de governance binnen deze kaders nader uitwerken. Deze zijn uitgewerkt in de bijlage bij dit beleid.

Praktische uitgangspunten hierbij zijn:

• •

  Het college van B en W stelt als eindverantwoordelijke het strategisch IB&P beleid vast.

• •

  Het managementteam stelt jaarlijks het IB&P plan vast.

• •

  Het managementteam is verantwoordelijk voor het (laten) uitwerken en uitvoeren van onderwerp specifieke tactische beleidsregels die aanvullend zijn op dit strategisch beleid.

• •

  Vastgestelde beleidsstukken en uitwerkingen daarvan (bijv. procedures, standaarden en werkinstructies) worden centraal beheerd in een managementsysteem voor informatiebeveiliging en privacybescherming.

• •

  Het managementteam is verantwoordelijk voor het vragen om informatie bij de afdelingshoofden en teamleiders en ziet erop toe dat deze adequate maatregelen genomen hebben voor de bescherming van de (persoons)gegevens, informatiesystemen en procesautomatiseringsystemen die onder hun verantwoordelijkheid valt.

• •

  De CISO ondersteunt vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover rechtstreeks aan het managementteam

• •

  De PO ondersteunt vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de bescherming van persoonsgegevens en rapporteert hierover rechtstreeks aan het managementteam.

• •

  De FG is verantwoordelijk voor het intern onafhankelijk toezien op en adviseren van het college van B&W over de juiste en zorgvuldige omgang met persoonsgegevens zoals de AVG en WPG voorschrijven.

• •

  De CISO, FG en PO brengen jaarlijks gezamenlijk voorgaand jaarverslag uit, mitsdien hierover overeenstemming is, waarbij rekening wordt gehouden met de wettelijke onafhankelijkheid van de FG en CISO.

• •

  Het managementteam, afdelingshoofden en teamleiders stellen proactief informatie over de bescherming van persoonsgegevens ter beschikking aan de functionaris gegevensbescherming. Desgevraagd verstrekken zij aanvullende informatie aan de functionaris gegevensbescherming.

• •

  Tijdens Planning & Control-gesprekken dient er aandacht te zijn voor de informatiebeveiliging en privacy n.a.v. de rapportage van de CISO, PO en/of de FG. De onderwerpen, die als risicovol worden gezien, moeten tevens worden opgenomen in de auditplannen.

• •

  De afdelingshoofden en teamleiders zijn verantwoordelijk voor de uitvoering van de informatiebeveiliging en privacy voor de bedrijfsmiddelen (processen, projecten, systemen, etc.) waarvoor zij verantwoordelijk zijn.

• •

  Iedereen, intern en/of extern, die werkzaamheden verricht voor of namens de gemeente Etten-Leur is verantwoordelijk voldoende basiskennis, waaronder informatiebeveiliging en privacy, op te doen en deze bewust altijd toe te passen bij het uitvoeren van deze werkzaamheden. Hiervoor wordt in of naast het jaarplan informatiebeveiliging en privacy een bewustwordingsprogramma opgesteld en uitgevoerd.

Om dit beleid goed uit te kunnen voeren zijn een aantal uitgangspunten en randvoorwaarden van belang. Deze worden in deze paragraaf verder uitgewerkt.