Informatiebeveiligingsbeleid gemeente Bergen (L) 2026-2027

Managementsamenvatting

Informatie is een uiterst belangrijk bedrijfsmiddel van de gemeente Bergen. Iedere medewerker is afhankelijk van informatie voor de te verrichten taken. Een betrouwbare informatievoorziening is noodzakelijk voor het goed functioneren van de gemeente als dienstverlener en de basis voor het beschermen van rechten van burgers en bedrijven.

 

Informatiebeveiligingsbeleid is niet vrijblijvend, het is een wettelijke plicht welke voortvloeit uit wetgeving welke in dit beleidsstuk nader aandacht krijgt.

 

Het beleid voor informatiebeveiliging uit 2016 wordt hiermee vervangen omdat er zich nieuwe ontwikkelingen voordoen namelijk:

  • De komst van een nieuw normenkader voor de gehele overheid, de Baseline Informatiebeveiliging Overheid (BIO2).

  • In werking treden van de Algemene Verordening Gegevensbescherming (AVG), Europese wetgeving op het gebied van privacy.

  • Per 1-11-2023 in werking getreden Wet politiegegevens (Wpg)

  • Vaststelling van de 10 principes voor informatiebeveiliging door de VNG.

  • Uitgave dreigingsbeeld informatiebeveiliging voor Nederlandse gemeenten door de Informatiebeveiligingsdienst (IBD, jaarlijks).

Het beleid beschrijft vooral de ambitie, visie en de voorwaarden en uitgangspunten welke nodig zijn om deze te realiseren.

 

Met dit beleid wordt bijgedragen aan het vergroten van de betrouwbaarheid van de informatievoorziening. Dit valt uiteen in drie begrippen: beschikbaarheid, integriteit en vertrouwelijkheid.

 

Door periodieke controle, organisatiebrede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie. Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan (IBP) het fundament onder een betrouwbare informatievoorziening. In het IBP wordt de betrouwbaarheid van de informatievoorziening organisatiebreed benaderd. Het plan wordt jaarlijks op basis van naleving van de BIO2, ontwikkelingen, uitgevoerde controles en registraties in het incidentenregister aangepast en indien nodig opnieuw opgesteld. In dit plan zijn alle openstaande taken betreffende informatiebeveiligingsbeleid opgenomen om deze juist te adresseren en in een tijdslijn te plaatsen.

 

Het bestuur en het management spelen een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. Het management maakt een inschatting van het belang dat de verschillende delen van de informatievoorziening voor de gemeente heeft, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn.

 

Informatiebeveiliging raakt alle onderdelen van de organisatie. Het is daarom nodig verantwoordelijkheden, rollen, taken en bevoegdheden volstrekt helder te hebben. Hieronder zijn deze benoemd.

  • Het college van Burgemeester en Wethouders is integraal eindverantwoordelijk voor de beveiliging van informatie binnen de werkprocessen van de gemeente. Als zodanig stelt het college het informatiebeveiligingsbeleid vast, delegeert de uitvoering aan het MT en informeert de gemeenteraad over dit thema.

  • Het MT is verantwoordelijk voor de beveiliging. Zij wordt daarin met adviezen en coördinatie ondersteund door de Chief Information Security Officer (CISO).

  • De afdelingsmanagers van de gemeente zijn verantwoordelijk voor de integrale beveiliging van de organisatieonderdelen, eveneens ondersteund door de CISO.

  • Het MT zorgt voor het beleggen van taken met betrekking tot beveiliging bij de juiste medewerkers en stimuleert al zijn of haar medewerkers tot het vertonen van een veilige werkwijze.

  • De CISO ondersteunt vanuit een onafhankelijke positie de organisatie met betrekking tot het borgen van informatieveiligheid en heeft de mogelijkheid om rechtstreeks aan het management en/of portefeuillehouder te rapporteren.

  • De Privacy Officer is samen met de Functionaris Gegevensbescherming het aanspreekpunt voor medewerkers van gemeente Bergen als het om persoonsgegevens gaat. De Privacy Officer is de privacy beheerder en borgt de bescherming van persoonsgegevens binnen gemeente Bergen.

  • De Functionaris Gegevensbescherming (FG) is de interne toezichthouder op het gebied van privacy. De FG houdt toezicht op de wijze waarop de organisatie invulling geeft aan maatregelen om aan de privacywetgeving te voldoen.

  • De security officer Suwinet is verantwoordelijk voor het zorgdragen, op basis van de richtlijnen met betrekking tot Suwinet (BIO2.0), voor een samenhangend pakket van maatregelen ter waarborging van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen het domein dat Suwinet gebruikt.

  • Een privacy-ambassadeur is de ogen en oren van de afdeling. In gemeente Bergen is er per afdeling een ambassadeur aangesteld. Deze persoon is het aanspreekpunt voor wat betreft privacy voor zijn of haar afdeling.

Het college van Burgemeester en Wethouders legt verantwoording af over informatiebeveiliging en hanteert daarvoor de ENSIA 1 systematiek. Met deze systematiek wordt enerzijds de gemeenteraad op de hoogte gesteld van de stand van zaken en anderzijds de ministeries die namens het Rijk toezicht houden op het gebruik en de kwaliteit van delen van de informatievoorziening. De CISO treedt hierbij op als coördinator.

 

1. Inleiding

Dit document geeft algemene beleidsuitgangspunten over informatiebeveiliging en -veiligheid. Deze uitgangspunten hebben een sterk normerend karakter en geven keuzes weer. Dit document is het optimum beleid gebaseerd op de Baseline Informatiebeveiliging Overheid 2.0 (BIO2).

 

In dit document is een aanzienlijk aantal beleidsuitgangspunten nader uitgewerkt en zijn beveiligingseisen en -maatregelen opgenomen, die organisatie breed voor alle processen en systemen gelden. Onderdeel van dit document is een beheerstructuur voor informatiebeveiliging en -veiligheid, waarmee verantwoordelijkheden voor informatiebeveiliging en -veiligheid worden belegd en ingebed in de reguliere planning- en control cyclus binnen de (kwaliteitshandhaving van de) bedrijfsvoering.

 

De toegepaste hoofdstukken (Controls) uit de Baseline Informatiebeveiliging Overheid (zie bijlage1: Handreiking BIO2.0-opmaat-v2.2-def) zijn:

 

Controls 5.01 t/m 5.37 Organisatorisch; Controls 6.01 t/m 6.08 Mensgericht; Controls 7.01 t/m 7.14 Fysiek; Controls 8.01 t/m 8.34 Technologisch;

 

1.1 Aanleiding

Informatie is één van de belangrijkste bedrijfsmiddelen van de gemeente. Toegankelijke en betrouwbare overheidsinformatie is essentieel voor de gemeente, die zich verantwoordelijk gedraagt, aanspreekbaar en servicegericht is, die transparant en proactief verantwoording aflegt aan burgers, politiek bestuur, raadsleden, gasten, bezoekers en externe relaties en die met minimale middelen maximale resultaten behaalt. De bescherming van waardevolle informatie is datgene waar het uiteindelijk om gaat. Hoe waardevoller de informatie is, hoe meer maatregelen er getroffen moeten worden.

 

1.2 Leeswijzer

In hoofdstuk 2 wordt de kern van het beleid uiteengezet. Dit beleid wordt aangevuld met onderwerp specifieke beleidsregels. In het jaarlijks uit te brengen gemeentelijk Informatiebeveiligingsplan (IBP) worden deze tactische en operationele aspecten van de informatiebeveiliging verder uitgewerkt en geconcretiseerd. Dit wordt gedaan op basis van input van de afdelingsmanagers, de CISO, het dreigingsbeeld van de IBD en de uitkomsten van ENSIA. Daarin staan dan ook de acties en planning vermeld, om de praktijk in overeenstemming te brengen met datgene wat in het beleid is geëist. Hoofdstuk 3 beschrijft vervolgens hoe de taken en verantwoordelijkheden in de organisatie belegd zijn. Hoofdstuk 4 gaat in op de manier waarop controle en verantwoording plaatsvindt.

 

1.3 Wat is informatiebeveiliging?

Informatiebeveiliging en -veiligheid is de verzamelnaam voor de processen, die ingericht worden om de betrouwbaarheid van processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen al dan niet opzettelijk onheil. Het begrip ‘informatiebeveiliging en -veiligheid’ heeft betrekking op:

  • beschikbaarheid / continuïteit: het zorg dragen dat de juiste informatie voor de juiste persoon op het juiste moment beschikbaar is.;

  • exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die hiertoe geautoriseerd zijn;

  • integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking.

 

Reikwijdte en afbakening informatiebeveiliging en -veiligheid

Informatiebeveiliging en -veiligheid is meer dan ICT, computers en automatisering. Het gaat om alle uitingsvormen van informatie (analoog, digitaal, tekst, video, geluid, geheugen, kennis), alle mogelijke informatiedragers (papier, elektronisch, foto, film, CD, DVD, USB, SD kaart, tapes, beeldscherm et cetera) en alle informatie verwerkende systemen (applicaties, systeemprogrammatuur, databases, hardware, bijbehorende bedrijfsmiddelen), maar vooral ook mensen en processen. Studies laten zien dat de meeste incidenten niet voortkomen uit gebrekkige techniek, maar vooral door menselijk handelen en een tekortschietende organisatie. Voorbeelden van informatiebeveiligingsmaatregelen zijn: clean desk policy implementeren of hoe om te gaan met mobiele apparaten en aanwijzingen voor telewerken

 

1.4 Ambitie en visie van Bergen op het gebied van informatieveiligheid

De gemeente Bergen wil alle informatie waar zij verantwoordelijk voor is zo goed mogelijk beschermen. De gemeente Bergen moet voldoen aan de normen uit de BIO2.

 

2. Beleid

2.1 Doel

Gemeente Bergen beheert veel informatie en wisselt deze uit zowel binnen als buiten de organisatie, met medewerkers, burgers, bedrijven, bezoekers en ketenpartners. Het betrouwbaar en beschikbaar zijn van deze informatie binnen een organisatie is van essentieel belang voor het goed functioneren van de gemeentelijke organisatie.

 

Informatiebeveiliging is het proces dat deze betrouwbare informatievoorziening borgt. En daarmee draagt dit bij aan het uiteindelijke doel:

 

Het borgen van betrouwbare dienstverlening en een aantoonbaar niveau van informatiebeveiliging dat:

  • Voldoet aan de relevante wetgeving;

  • Algemeen wordt geaccepteerd door haar (keten) partners;

  • Er mede voor zorgt dat de kritische bedrijfsprocessen bij een calamiteit voortgezet kunnen worden.

Het informatiebeveiligingsbeleid wordt minimaal eens in de 3 jaar geëvalueerd door de CISO, zo nodig bijgesteld en opnieuw door het college vastgesteld worden. De uitwerking van dit beleid in concrete maatregelen vindt plaats in het jaarlijks bij te stellen informatiebeveiligingsplan (IBP). Hierbij zal de methode ‘Plan, do, check en act’ worden gehanteerd.

 

 

2.2 Ontwikkelingen

De ontwikkelingen die van belang zijn voor de actualisering van het informatiebeveiligingsbeleid zijn de volgende:

2.2.1 De BIO2

De Baseline Informatiebeveiliging Overheid (BIO) is vanaf 1 januari 2020 het nieuwe normenkader voor de gehele overheid. Deze baseline is ten opzichte van de Baseline Informatiebeveiliging Gemeenten (BIG) meer gericht op risicomanagement. De bestuurders en de (afdelings)managers hebben een prominente rol met betrekking tot informatiebeveiliging en met de komst van de BIO2 een cruciale rol met betrekking tot risicomanagement. Hierbij maken het bestuur en het management op voorhand keuzes en continu afwegingen of informatie in bestaande en nieuwe processen adequaat beveiligd zijn in termen van beschikbaarheid, integriteit en vertrouwelijkheid.

 

De BIO2 helpt het management bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging. In de BIO2 zijn op basis van de generieke schades en dreigingen voor de overheid standaard basisbeveiligingsniveaus gedefinieerd met bijbehorend verplicht in te richten beveiligingsmaatregelen. Dit wil zeggen dat het belang van afdelingsmanagers om te werken volgens de aanpak van de ISO 27001 groter is geworden en daarbij is risicomanagement van belang. Dit houdt voor het management in dat men op voorhand keuzes maakt en continu afwegingen maakt of informatie in bestaande en nieuwe processen adequaat beveiligd zijn in termen van beschikbaarheid, integriteit en vertrouwelijkheid. Indien naleving (nog) niet volledig mogelijk is, maakt het management de aanwezige risico’s inzichtelijk aan hun stakeholders.

 

Het management legt verantwoording af over de risicoafweging en over de effectieve invulling van de beheersmaatregelen. Deze verantwoording is onderdeel van de bestuurlijke verantwoording over informatiebeveiliging. De BIO2 biedt hiermee de basis om te zorgen dat informatiebeveiliging geïmplementeerd en geborgd wordt.

2.2.2 De 10 principes voor informatiebeveiliging

De 10 principes voor informatiebeveiliging zijn een bestuurlijke aanvulling op het normenkader van de BIO2 en gaan over de waarden die de bestuurder zichzelf oplegt.

 

De principes gaan vooral over de rol van het bestuur bij het borgen van informatiebeveiliging in de gemeentelijke organisatie. Deze principes ondersteunen de bestuurder bij het uitvoeren van goed risicomanagement. Als er iets verkeerd gaat met betrekking tot het beveiligen van de informatie binnen de gemeentelijke processen, dan kan dit directe gevolgen hebben voor inwoners, ondernemers en (keten-)partners van de gemeente. Daarmee is het onderwerp informatiebeveiliging nadrukkelijk gewenst op de bestuurstafel. De principes zijn als volgt:

  • 1.

    Bestuurders bevorderen een veilige cultuur.

  • 2.

    Informatiebeveiliging is van iedereen.

  • 3.

    Informatiebeveiliging is risicomanagement.

  • 4.

    Risicomanagement is onderdeel van de besluitvorming.

  • 5.

    Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking.

  • 6.

    Informatiebeveiliging is een proces.

  • 7.

    Informatiebeveiliging kost geld.

  • 8.

    Onzekerheid dient te worden ingecalculeerd.

  • 9.

    Verbetering komt voort uit leren en ervaring.

  • 10.

    Het bestuur controleert en evalueert.

2.2.3 Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten

Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten geeft een actueel zicht op incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst. Dit dreigingsbeeld is daarmee het ideale document om focus aan te brengen in het actualiseren van beleid en plannen voor informatiebeveiliging. (zie bijlage 1; dreigingsbeeld 2023 - 2024)

2.2.4 Informatie uit incidenten en inbreuken op de beveiliging

De gemeente kent naast het hierboven genoemde dreigingsbeeld natuurlijk een eigen registratie van de datalekken. Deze registratie geeft ook waardevolle informatie om van te leren en dus zijn incidenten uit het verleden ook nadrukkelijk input bij het actualiseren van het beleid.

 

2.3 Standaarden informatiebeveiliging

De basis voor de inrichting van het beveiligingsbeleid is NEN-ISO/IEC 27001:2017. De maatregelen worden op basis van best practices bij (lokale) overheden en NEN-ISO/IEC 27002:2017 genomen.

 

Voor de ondersteuning van gemeenten bij het formuleren en realiseren van hun informatiebeveiligingsbeleid heeft de interbestuurlijke werkgroep Normatiek in 2018 de Baseline Informatiebeveiliging Overheid (BIO) uitgebracht, afgeleid van beide NEN-normen. Deze BIO bestaat uit een baseline met verschillende niveaus van beveiligen. Ook zullen praktische operationele handreikingen worden uitgebracht, zoals een handleiding voor het uitvoeren van een risicoanalyse voor het opstellen van een beveiligingsplan. In 2024 is de BIO2 geïntroduceerd.

 

De inhoud en structuur van dit beleid zijn afgestemd op die van de ISO en de BIO2. Ook het Informatiebeveiligingsplan zal deze structuur volgen.

 

2.4 Plaats van het beleid

Het beleid wordt gebruikt om de basis te leggen voor de overige plannen en daarmee richting te geven voor de verdere invulling van informatiebeveiliging op operationeel niveau.

 

Dit beleidsdocument beschrijft op het informatiebeveiligingsbeleid en heeft een sterke relatie met Informatievoorziening(IV). Dit beleid zal worden vertaald in operationele richtlijnen en maatregelen. De daaruit voortkomende werkzaamheden worden uitgewerkt in het jaarlijks te schrijven ‘Gemeentelijk Informatiebeveiligingsplan’ (IBP).

 

2.5 Scope van het informatiebeveiliging beleid

Het bovenstaande overzicht geeft zowel een beeld van de positie van IB als van IV.

 

De scope van dit beleid omvat alle gemeentelijke processen, onderliggende informatiesystemen, informatie en gegevens van de gemeente en externe partijen, het gebruik daarvan door medewerkers en (keten)partners in de meest brede zin van het woord, ongeacht locatie, tijdstip en gebruikte apparatuur.

Dit gemeentelijke Informatiebeveiligingsbeleid is een algemene basis en dekt tevens aanvullende beveiligingseisen uit wetgeving af zoals voor de AVG, WPG, DigiD, BRP, PNIK en SUWI. Voor bepaalde kerntaken gelden op grond van deze en wet- en regelgeving ook nog enkele specifieke (aanvullende) beveiligingseisen (bijvoorbeeld SUWI en gemeentelijke basisregistraties). Deze aanvullende specifieke eisen zijn niet meegenomen in dit beleid.

 

2.6 Uitgangspunten

Het bestuur en het MT spelen een cruciale rol bij het uitvoeren van dit informatiebeveiligingsbeleid. Het MT maakt een inschatting (samen met de CISO en de IC-medewerker) van het belang dat de verschillende delen van de informatievoorziening voor de gemeente heeft, de risico’s die de gemeente hiermee loopt en welke van deze risico’s onacceptabel hoog zijn.

Op basis hiervan zet het management dit beleid voor informatiebeveiliging op, draagt dit uit naar de organisatie en ondersteunt en bewaakt de uitvoering ervan.

Het management geeft een duidelijke richting aan informatiebeveiliging en demonstreert dat zij informatiebeveiliging ondersteunt en zich hierbij betrokken voelt, door het uitdragen en handhaven van een informatiebeveiligingsbeleid van en voor de hele gemeente. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Het informatiebeveiligingsbeleid is in lijn met het algemene beleid van de gemeente en de relevante landelijke en Europese wet- en regelgeving.

2.6.1 Doelen

De doelen van het informatiebeveiligingsbeleid zijn:

  • Het managen van de informatiebeveiliging.

  • Adequate bescherming van bedrijfsmiddelen.

  • Het minimaliseren van risico’s van menselijk gedrag.

  • Het voorkomen van ongeautoriseerde toegang.

  • Het garanderen van correcte en veilige informatievoorzieningen.

  • Het beheersen van de toegang tot informatiesystemen.

  • Het waarborgen van veilige informatiesystemen.

  • Het adequaat reageren op incidenten.

  • Het beschermen van kritieke bedrijfsprocessen.

  • Het beschermen en correct verwerken van persoonsgegevens van burgers en medewerkers.

  • Het waarborgen van de naleving van dit beleid.

2.6.2 Belangrijkste uitgangspunten

De belangrijkste uitgangspunten van het beleid zijn:

  • Alle informatie en informatiesystemen zijn van belang voor de gemeente, bepaalde informatie is van vitaal en kritiek belang. Het college is eindverantwoordelijke voor de informatiebeveiliging.

  • De uitvoering van de informatiebeveiliging is een verantwoordelijkheid van het management. Alle informatiebronnen en -systemen die gebruikt worden door de gemeente Bergen hebben een interne eigenaar die de vertrouwelijkheid en/of waarde bepaalt van de informatie die ze bevatten. De primaire verantwoordelijkheid voor de bescherming van informatie ligt dan ook bij de eigenaar van de informatie.

  • Door periodieke controle door de CISO, recordmanager en de IC-medewerker organisatiebrede planning én coördinatie wordt de kwaliteit van de informatievoorziening verankerd binnen de organisatie.

  • Het informatiebeveiligingsbeleid vormt samen met het informatiebeveiligingsplan het fundament onder een betrouwbare informatievoorziening.

  • In het informatiebeveiligingsplan wordt de betrouwbaarheid van de informatievoorziening organisatie breed benaderd.

  • Het plan wordt periodiek bijgesteld op basis van nieuwe ontwikkelingen, registraties in het incidentenregister en bestaande risicoanalyses.

  • Informatiebeveiliging is een continu verbeterproces. ‘Plan, do, check en act’ vormen samen

  • Het managementsysteem van informatiebeveiliging.

  • De gemeente stelt de benodigde mensen en middelen beschikbaar om haar eigendommen en werkprocessen te kunnen beveiligen volgens de wijze zoals gesteld in dit beleid.

  • Regels en verantwoordelijkheden voor het beveiligingsbeleid dienen te worden vastgelegd en vastgesteld.

  • Iedere medewerker, zowel vast als tijdelijk, intern of extern, is verplicht waar nodig gegevens en informatiesystemen te beschermen tegen ongeautoriseerde toegang, gebruik, verandering, openbaring, vernietiging, verlies of overdracht en bij vermeende inbreuken hiervan melding te maken.

2.6.3 Invulling van de uitgangspunten

Praktisch wordt als volgt invulling gegeven aan de uitgangspunten:

  • Het college van B&W stelt als eindverantwoordelijke het informatiebeveiligingsbeleid vast.

  • Het MT stelt jaarlijks het informatiebeveiligingsplan (IBP) vast.

  • Het MT is verantwoordelijk voor het (laten) uitwerken en uitvoeren van onderwerp specifieke tactische beleidsregels die aanvullend zijn op dit beleid.

  • De Chief Information Security Officer (CISO) ondersteunt vanuit een onafhankelijke positie de organisatie bij het bewaken en verhogen van de betrouwbaarheid van de informatievoorziening en rapporteert hierover rechtstreeks aan het management.

  • Tijdens P&C-gesprekken dient er aandacht te zijn voor de informatiebeveiliging n.a.v. de rapportage van de CISO. De onderwerpen, die als risicovol worden gezien, moeten tevens worden opgenomen in het IC-plan.

  • De afdelingsmanagers zijn verantwoordelijk voor de uitvoering van de informatiebeveiliging voor de processen waarvoor zij verantwoordelijk zijn.

  • Hoewel de basiskernregistraties (BRP, PUN, SUWI, BAG, BGT, BRO) en toekomstige basisregistraties belangrijk zijn in het kader van informatiebeveiliging, krijgen zij niet meer of minder voorrang dan andere (primaire) processen binnen de gemeente. Het samenspel van alle processen binnen de bedrijfsvoering is belangrijk voor de missie en de visie van de gemeente en het behalen van de doelen die zijn gesteld.

  • Alle medewerkers van de gemeente worden periodiek getraind in het gebruik van beveiligingsprocedures.

  • Medewerkers dienen verantwoord om te gaan met persoonsgegevens en andere informatie.

  • De coordinatoren dienen erop toe te zien dat de controle op het verwerken van persoonsgegevens regelmatig wordt uitgevoerd, zodat zij kunnen vaststellen dat alleen rechthebbende ambtenaren de juiste persoonsgegevens ingezien en verwerkt hebben.

  • De beveiligingsmaatregelen worden bepaald op basis van risicomanagement. Managers voeren QuickScans informatiebeveiliging uit op basis van de BIO2.0 om deze risico-afwegingen te kunnen maken.

2.6.4 Randvoorwaarden

Belangrijke randvoorwaarden zijn:

  • 1.

    De werkgever zorgt voor een veilige, digitale werkomgeving.

  • 2.

    De informatiebeveiliging maakt deel uit van afspraken met ketenpartners.

  • 3.

    Alle medewerkers van de gemeente worden periodiek getraind in het gebruik van beveiligingsprocedures. Medewerkers kennen de beveiligingsprocedures en gebruiken deze procedures. Medewerkers zijn daarnaast op de hoogte van eisen die vanuit wet- en regelgeving aan hun bedrijfsprocessen gesteld worden en kennen deze kaders.

  • 4.

    Medewerkers gaan verantwoord om met (persoons)gegevens en andere informatie(systemen), spreken elkaar aan op onveilig gedrag en melden mogelijke hiaten direct aan de leidinggevenden.

  • 5.

    Kennis en bewustzijn van informatiebeveiliging en omgaan met persoonsgegevens binnen de organisatie dienen actief bevorderd en geborgd te worden.

  • 6.

    Er zijn voldoende maatregelen geïmplementeerd die zorgen dat kwetsbaarheden in bedrijfsprocessen worden verkleind. Hierdoor worden informatiebeveiligingsincidenten verkleind en de effecten van de incidenten beperkt.

  • 7.

    De werknemer gaat zorgvuldig om met zijn gebruikersnaam, wachtwoord. Deze gegevens zijn strikt persoonlijk en worden geheimgehouden.

  • 8.

    De werknemer zorgt ervoor dat bij het verlaten van de werkplek het beeldscherm wordt beveiligd (zogenaamde schermbeveiliging).

  • 9.

    De werknemer zorgt ervoor dat derden geen mogelijkheid tot inzage hebben in bedrijfsgegevens, dat wil zeggen noch op het beeldscherm, noch in bestanden of op papier.

  • 10.

    De werknemer hanteert te allen tijde een ‘clean desk policy’.

  • 11.

    Het is de werknemer niet toegestaan om gegevens toebehorende aan de werkgever op te slaan in een andere omgeving dan die van de werkgever.

  • 12.

    Het is de werknemer expliciet niet toegestaan om bedrijfsgegevens op een eigen apparaat lokaal op te slaan of voor privégebruik aan te wenden (‘zero footprint’). Ook niet op een externe geheugenschijf, chip, USB-stick, openbare Cloud diensten zoals Google Drive, Dropbox, WeTransfer etc.

  • 13.

    Jaarlijks wordt een informatiebeveiligingsplan opgesteld onder leiding van de CISO, gebaseerd op:

    • a.

      De uitkomsten van de jaarlijkse Eenduidige Normatiek Single Information Audit (ENSIA);

    • b.

      Het dreigingsbeeld gemeenten van de IBD;

    • c.

      De door de afdelingsmanagers ingebrachte onderwerpen voor de informatievoorziening waarvoor zij verantwoordelijk zijn;

    • d.

      Incidenten die de voorgaande jaar zijn gemeld.

3. Organisatie, taken & verantwoordelijkheden

De wijze waarop het informatiebeveiligingsbeleid binnen de gemeente is verankerd, vormt het kader van de borging op informatiebeveiliging. Het vaststellen van een beheerkader is van belang om de implementatie en uitvoering van de informatiebeveiliging binnen de organisatie te initiëren en te borgen.

 

Het bestuur en het MT spelen een cruciale rol bij het uitvoeren van dit beleid. De verantwoordelijkheden en rollen ten aanzien van informatiebeveiliging zijn gebaseerd op relevante voorschriften en wetten.

 

Alle verantwoordelijkheden bij informatiebeveiliging behoren te worden gedefinieerd en toegewezen. Hieronder is toegelicht welke rollen, taken en verantwoordelijkheden met betrekking tot informatiebeveiliging zijn belegd in de organisatie.

 

3.1 Gemeenteraad

De gemeenteraad heeft een toezichthoudende rol op basis van de controlerende taak die de Gemeentewet aan de gemeenteraad toekent.

 

3.2 College van Burgemeester & Wethouders

Het college van B&W is in de sturende rol eindverantwoordelijk voor de adequate beveiliging van informatie binnen de gemeente. Een lid van het college heeft informatiebeveiliging expliciet in de portefeuille. Het is de verantwoordelijkheid van het college om dit proces te faciliteren door:

  • Het informatiebeveiligingsbeleid vast te stellen.

  • Toezicht te houden op de uitvoering van het informatiebeveiligingsbeleid.

  • Ervoor te zorgen dat voldoende middelen beschikbaar gesteld worden voor de adequate inrichting van informatiebeveiliging.

  • Risico’s te beoordelen en keuzes te maken.

3.3 Aansturing: MT

Het MT zorgt ervoor dat alle processen en systemen en de daarbij behorende middelen altijd onder de verantwoordelijkheid vallen van een afdelingsmanager. Het MT zorgt dat de coordinatoren zich verantwoorden over de beveiliging van de informatie die onder hen berust. Het MT zorgt dat de eindverantwoordelijke portefeuillehouders binnen het college gevraagd en ongevraagd geïnformeerd worden over de mate waarin informatiebeveiliging een onderdeel is van het handelen van de bedrijfsvoering. Op die manier kan het college zich ook verantwoorden naar de raad.

 

Het MT stelt het gewenste niveau van continuïteit en vertrouwelijkheid vast. Het management draagt zorg voor het uitwerken van de tactische informatiebeveiliging en laat zich hierin bijstaan door de CISO van de gemeente. Het MT autoriseert de benodigde procedures en uitvoeringsmaatregelen. Het onderwerp informatiebeveiliging wordt in de gemeente Bergen gezien als een integraal onderdeel van risicomanagement.

 

3.4 Uitvoering: afdelingsmanagers

Informatiebeveiliging valt onder de verantwoordelijkheden van alle afdelingsmanagers. Om deze verantwoordelijkheid waar te maken dienen zij goed ondersteund te worden door de CISO en security officers. Deze verantwoordelijkheid kunnen zij niet delegeren, uitvoerende werkzaamheden wel. De bedoeling is dat alle processen, systemen, data, applicaties altijd minimaal 1 eigenaar hebben; er moet dus altijd iemand verantwoordelijk zijn. Het afdelingshoofd die het dichtst op het bedrijfsproces zit kan daar het beste uitvoering aan geven. Afdelingsmanagers rapporteren binnen het MT over de door hen tactisch en operationeel uitgevoerde informatiebeveiligingsactiviteiten. Afstemming met de afdelingen over de inhoudelijke aanpak vindt plaats door minimaal 1 keer per jaar het onderwerp Informatiebeveiliging te bespreken.

 

Taken van de afdelingsmanagers in het kader van informatiebeveiliging zijn:

  • Het leveren van input voor wijzigingen op maatregelen en procedures.

  • Het binnen de eigen afdeling uitdragen van het beveiligingsbeleid, de daaraan gerelateerde procedures.

  • Het vroegtijdig signaleren van de voornaamste bedreigingen waaraan de bedrijfsinformatie is blootgesteld.

  • Bespreking van beveiligingsincidenten en de consequenties die dit moet hebben voor beleid en maatregelen.

Voorbereiding en coördinatie van het overleg ligt bij de CISO.

 

3.5 CISO

De CISO ondersteunt vanuit een onafhankelijke positie de organisatie met betrekking tot het borgen van informatieveiligheid en heeft de mogelijkheid om rechtstreeks aan het management en/of portefeuillehouder te rapporteren.

 

De CISO is binnen de gemeente degene die kaders stelt op het gebied van informatiebeveiliging die voor de gehele organisatie gelden. De CISO stuurt de organisatie aan met betrekking tot informatiebeveiliging. Hiermee zorgt de CISO ervoor dat de organisatie informatiebeveiliging doorvoert in haar processen, conform wet- en regelgeving. Daarnaast creëert de CISO het draagvlak voor informatiebeveiliging binnen de organisatie. De rol van de CISO is vooral adviserend en coördinerend.

 

Om aan bovenstaande te kunnen voldoen, heeft de CISO de volgende bevoegdheden:

  • Gevraagd en ongevraagd onderzoek kunnen doen en advies geven aan het college van B&W/ Raad.

  • Gevraagd en ongevraagd rapporteren aan het managementteam en College van B&W.

  • Mogelijkheid tot direct ingrijpen zonder toestemming vooraf bij beveiligingsincidenten.

  • Het beschikbare budget is ondergebracht bij I&A. De beschikbare resources worden geleverd door de diverse organisatieonderdelen.

3.6 Functionaris Gegevensbescherming

De Functionaris Gegevensbescherming (FG) is de interne toezichthouder op het gebied van privacy. De FG houdt toezicht op de wijze waarop de organisatie invulling geeft aan maatregelen om aan de privacywetgeving te voldoen.

 

De taken van de FG zijn:

  • Toezicht houden op de verwerking van persoonsgegevens en naleving hiervan door de gemeente Bergen (L), en houdt toezicht op het gemeentelijk privacy en beveiligingsbeleid en de naleving hiervan door middel van advisering en controles.

  • Gevraagd en ongevraagd signaleren, adviseren en informeren van de gemeente en de verwerkers die namens de gemeente persoonsgegevens verwerken over hun verplichtingen aangaande de Wet Bescherming Persoonsgegevens en diens opvolger per 25 mei 2018 de Algemene Verordening Gegevensbescherming, andere EU wet en regeling en nationale bepalingen omtrent gegevensbescherming en overige onderwerpen die de privacy betreffen

  • Zorgdragen voor de inventarisatie van de verwerkingsprocessen en het beheren van meldingen van verwerkingen in het register van de Autoriteit Persoonsgegevens.

  • Is verantwoordelijk voor de coördinatie van de werkprocessen in geval van datalekken en het beheren van het logboek en register inzake datalekken.

  • Is het aanspreekpunt en de contactpersoon aangaande privacy, voor zowel de Autoriteit Persoonsgegevens, de interne organisatie als externe organisaties.

  • Indien een betrokkene zijn rechten op grond van de Wet bescherming persoonsgegevens dan wel de Algemene Verordening Gegevensbescherming wil uitoefenen of een klacht heeft ten aanzien van de verwerking van persoonsgegevens, dan zal de FG altijd worden betrokken in de besluitvorming ten aanzien van de uitoefening van deze rechten, en desgewenst een onafhankelijke bemiddelende rol spelen in de oplossing van de klacht.

  • Het toezien op toewijzing van verantwoordelijkheden, bewustmaking en opleiding van bij de verwerking betrokken medewerkers en de betreffende audits.

  • Het communiceren met de afdelingen en medewerkers over alle ontwikkelingen op het gebied van techniek en wetgeving die relevant zijn voor het gemeentelijk privacy-en beveiligingsbeleid.

  • Het geven van een bindend advies met betrekking tot de Data Protection Impact Assessment (DPIA) en het toezien of de uitvoering daarvan in overeenstemming is met de Algemene Verordening Gegevensbescherming. Dit in verband met de verplichting dat voordat een beslissing wordt genomen over nieuwe of wijzigingen van bestaande verwerkingen door middel van een PIA/DPIA wordt aangetoond dat de privacy voldoende is gewaarborgd en worden de al dan niet te nemen maatregelen gemotiveerd.

3.7 Privacy Officer (PO)

Samen met de FG is de PO het aanspreekpunt voor medewerkers van gemeente Bergen als het om persoonsgegevens gaat. De Privacy Officer is de privacy beheerder en borgt de bescherming van persoonsgegevens binnen gemeente Bergen.

 

De taken van de PO zijn:

  • Het aanspreekpunt en de contactpersoon aangaande privacy voor zowel de interne organisatie als externe organisaties.

  • Toezicht houden op de verwerking van persoonsgegevens en naleving hiervan door de gemeente Bergen (L), en houdt toezicht op het gemeentelijk privacy- en beveiligingsbeleid en de naleving hiervan door middel van advisering en controles.

  • Gevraagd en ongevraagd signaleren, adviseren en informeren van de gemeente en de verwerkers die namens de gemeente persoonsgegevens verwerken over hun verplichtingen aangaande de AVG, andere EU wet- en regeling en nationale bepalingen omtrent gegevensbescherming en overige onderwerpen die de privacy betreffen.

  • Het toezien op toewijzing van verantwoordelijkheden, bewustmaking en opleiding van bij de verwerking betrokken medewerkers en de betreffende audits.

  • Het communiceren met de gemeentelijke diensten en medewerkers over alle ontwikkelingen op het gebied van techniek en wetgeving die relevant zijn voor het gemeentelijk privacy- en beveiligingsbeleid.

  • Zorgdragen voor de inventarisatie van de verwerkingsactiviteiten en het beheren van het register van verwerkingsactiviteiten.

  • Verantwoordelijk voor het actualiseren van het privacybeleid en privacyreglement voor medewerkers.

  • Verantwoordelijk voor het actualiseren van privacy gerelateerde processen binnen de gemeente.

  • Zorgdragen (samen met de FG) voor dat verwerkersovereenkomsten waar nodig worden afgesloten door het geven van advies aan de betreffende afdeling.

  • Het toezien of de uitvoering van de DPIA in overeenstemming is met de AVG.

  • Indien een betrokkene zijn rechten op grond van de AVG wil uitoefenen of een klacht heeft ten aanzien van de verwerking van persoonsgegevens, dan zal de PO altijd worden betrokken in de besluitvorming ten aanzien van de uitoefening van deze rechten.

  • Bij afwezigheid van de FG, overname van taken ten aanzien van de afhandeling van datalekken.

3.8 Security Officer Suwinet

Het zorgdragen, op basis van de richtlijnen met betrekking tot Suwinet (BIO2.0), voor een samenhangend pakket van maatregelen ter waarborging van de vertrouwelijkheid, integriteit en beschikbaarheid van de informatie binnen het domein dat Suwinet gebruikt.

  • Periodiek, per kwartaal, controle logging gegevens.

  • Controleren of het gebruik van de gegevens binnen Suwinet-inkijk plaatsvindt binnen de wettelijke kaders en in overeenstemming met de doelen die de organisatie hiertoe heeft geformuleerd.

  • Periodieke, per half jaar, rapportage over controle login en gebruik Suwinet;

  • Jaarlijkse controle op actualiteit. Het beveiligingsplan controleren op actualiteit en volledigheid.

  • Bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat, met betrekking tot de beveiliging van Suwinet, de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet.

  • De jaarlijkse controle is in opdracht gegeven bij een externe auditor (BKBO).

3.9 Privacy-ambassadeur per afdeling

Een privacy-ambassadeur is de ogen en oren van de afdeling. In gemeente Bergen is er per afdeling een ambassadeur aangesteld. Deze persoon is het aanspreekpunt voor wat betreft privacy voor zijn of haar afdeling.

 

Taken van de privacy ambassadeur:

  • Is binnen de afdeling bekend als privacy-ambassadeur: de collega’s weten wanneer ze de privacy-ambassadeur moeten benaderen.

  • Heeft periodiek overleg met overleg met de PO.

  • Draagt de privacy positief én proactief uit binnen de afdeling.

  • Coördineren van onderzoeken naar de datalekken op de afdeling en heeft daarbij nauw contact met de FG/PO.

  • Signalerende functie bij het schenden van de privacyregels en communiceert met de PO/FG hierover.

  • Uitvoering van DPIA’s (Data protection impact assessment) in samenspraak met de PO.

4. Controle en verantwoording

Dit beleid is een verantwoordelijkheid van het bestuur van de gemeente Bergen. De bestuurders en het management van de gemeente Bergen zullen volgens de 10 principes voor informatiebeveiliging richting en sturing geven aan het onderwerp informatiebeveiliging door het geven van voorbeeldgedrag en het vragen om informatie.

 

Het management is verantwoordelijk voor het gevraagd en ongevraagd rapporteren over informatiebeveiliging aan respectievelijke portefeuillehouders. Het management rapporteert daarnaast over de mate waarin zij invulling hebben gegeven aan het uitwerken van tactische (deel) beleidsonderwerpen die aanvullend zijn op dit beleid.

 

4.1 ENSIA

De gemeente verantwoordt zich over informatiebeveiliging middels de ENSIA-systematiek. Dat betekent dat een ENSIA-coördinator wordt aangewezen. Deze zorgt ervoor dat de informatie die nodig is voor het beantwoorden van vragen binnen ENSIA wordt opgehaald bij de verantwoordelijke afdelingsmanagers. De afdelingsmanagers leveren alle informatie die nodig is voor het invullen van de jaarlijkse ENSIA-vragenlijsten.

 

De verantwoording over de informatiebeveiliging komt in het jaarverslag tot uitdrukking in de collegeverklaring Informatiebeveiliging. Met deze verklaring geeft het college van B en W aan in hoeverre de gemeente voldoet aan de afspraken die gemaakt zijn voor de ENSIA- verantwoording Informatiebeveiliging. Ook worden de eventuele verbetermaatregelen vermeld die de gemeente gaat treffen. De ingevulde zelfevaluatievragenlijst vormt de basis voor het opstellen van de collegeverklaring.

 

JAARCYCLUS ENSIA

 

Middels deze verantwoording worden het bestuur van de gemeente Bergen en de raad geïnformeerd. De betrokkenheid van het bestuur is essentieel, en laat zien dat de gemeente Bergen informatiebeveiliging serieus neemt en het een onderdeel laat zijn van de ambities om informatie van haar inwoners adequaat te beschermen.

 

4.2 Communicatie en evaluatie van dit beleid

Na vaststelling van dit beleid door het college wordt dit beleid gepubliceerd en via het management gecommuniceerd met medewerkers en relevante externe partijen

 

Het informatiebeveiligingsbeleid geldt voor een periode van 4 jaar en wordt met een frequentie van 4 jaar geëvalueerd of eerder bij belangrijke wijzigingen.

 

Dit beleid wordt aangehaald als “Informatiebeveiligingsbeleid gemeente Bergen 2026-2027". Het beleid treedt in werking na bekendmaking ervan.

Vastgesteld op: 16 december 2025 door het college van burgemeester en wethouders van de gemeente Bergen(L).

Naar boven