Het informatiebeleid valt uiteen in ICT (het gebruik van systemen, digitale communicatie en computers) en informatiebeveiliging. Hieronder stukken over beide onderwerpen, met onder beveiliging speciale aandacht voor NIS2, ENSIA en privacy.
ICT
ICT blijft belangrijk voor onze taken en het functioneren van de gemeente. Onze organisatie en de maatschappij worden steeds meer afhankelijk van ICT. Bedrijfsprocessen moeten goed werken met IT, waarbij we een balans zoeken tussen gebruiksvriendelijkheid en informatiebeveiliging.
De ontwikkeling naar een informatiesamenleving biedt kansen en uitdagingen. We kunnen onze dienstverlening verbeteren, transparantie en vertrouwen vergroten en maatschappelijke uitdagingen aanpakken. Inwoners en ondernemers vragen om goede randvoorwaarden voor de omgang met data en digitale voorzieningen. Samen werken we aan efficiënte en effectieve digitale oplossingen, met aandacht voor veiligheid, toegankelijkheid, privacy en gelijke behandeling.
Intern blijft de wens om digitaal samen te werken. Het is belangrijk dat medewerkers plaats- en tijdonafhankelijk kunnen werken, zowel onderling als met inwoners en partners. Het juiste gebruik van bestaande en nieuwe applicaties kan hierbij helpen. ICT en DIV werken samen om een goede informatievoorziening te bieden en een stabiel en veilig digitaal netwerk te onderhouden. Een belangrijke opgave hierin is opgave om pro-actief informatie te openbaar maken (conform de Wet Open Overheid).
Gegevensbeheer blijft datagericht werken ondersteunen. Data geeft inzicht en kan maatschappelijke en ruimtelijke vraagstukken ondersteunen. We bieden dit inzicht al voor het sociaal domein en nu ook steeds meer voor bedrijfsvoering. De komende periode vertalen we KPI’s van organisatieontwikkeling steeds meer naar dashboards.
Technische ontwikkelingen helpen ons om collega’s en inwoners beter te ondersteunen. Denk aan 3D en Digital Twin, waarbij een virtuele representatie van de gemeente wordt gemaakt. Ook Datawarehousing, waarbij data uit verschillende systemen in één database wordt opgeslagen, helpt ons snel en efficiënt te reageren op vraagstukken. We werken ook aan de presentatie van data, bijvoorbeeld in een dashboard, rapport of geografische kaart.
Informatiebeveiliging
NIS2
De maatschappelijke impact van verstoringen neemt steeds verder toe doordat ICT steeds meer is verweven met bedrijfsprocessen, en doordat organisaties onderling steeds meer met elkaar verweven raken in ketenprocessen. Dit is aanleiding geweest om vanuit Europa te komen tot een nieuwe richtlijn: de Network and Information System (NIS2)-richtlijn. In Nederland wordt deze richtlijn momenteel omgezet in de cyberbeveiligingswet.
Het is duidelijk dat deze wet voor gemeenten flinke gevolgen zal gaan krijgen. De richtlijn stelt namelijk strengere normen aan onze beveiliging. De impact is onder andere:
- Beveiliging van technische automatisering (zoals verkeersregelinstallaties, camera’s, brugbediening) moet passende aandacht gaan krijgen. Dit is tot nu toe een onderbelicht domein geweest.
- Ministeries hebben taken gedelegeerd aan gemeenten. De ministers zullen zich ook over deze gedelegeerde taken moeten verantwoorden. De verwachting is dat hiervoor verantwoordingskaders zullen worden opgelegd waaraan de gemeente moet voldoen. Mogelijk heeft de gemeente dit weer bij andere partijen ondergebracht (bijvoorbeeld GGD voor volksgezondheid) waardoor hier veel interactie met derde partijen nodig kan zijn.
- Er zal veel meer aandacht gegeven moeten worden aan beveiliging waar de gemeente taken niet zelf uitvoert (uitbesteed aan leveranciers, verbonden partijen, werk in ketens). Hiervoor zijn nog geen normen gesteld, maar de gemeente moet straks wel aan deze normen voldoen. Hier kan veel interactie met derde partijen nodig zijn.
- De BIO (Baseline Informatiebeveiliging Overheid) wordt een wettelijke verplichting. Het volwassenheidsniveau waarna we toe moeten werken zal waarschijnlijk niveau 3 zijn. Dit is momenteel nog niet in de gehele organisatie het geval.
- Er komt een voorgeschreven wijze om informatiebeveiliging in onze organisatie toe te passen. Op deze wijze wordt de organisatie, en in het bijzonder de bestuurder, in staat om de juiste afwegingen te maken.
ENSIA
Het Gemeentelijk InformatieBeveiligingsBeleid toont de kaders en verantwoordelijkheden waarbinnen de gemeente de informatiebeveiliging inricht en onderhoudt. Daarbij geldt de Baseline Informatiebeveiliging Overheid (BIO) als leidend normenkader. Hier zijn vervolgens de ‘10 bestuurlijke principes voor informatiebeveiliging’ aan toegevoegd. De informatiebeveiliging draagt actief bij aan de vereisten voor een veilige verwerking van persoonsgegevens (waaronder AVG en Wpg) waarbij security by design wordt toegepast. Verantwoording over de stand van de informatiebeveiliging wordt jaarlijks afgelegd middels ENSIA (Eenduidige Normatiek Single Information Audit).
Privacy
Privacy gaat over het beschermen van persoonsgegevens. Sinds mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht. De AVG regelt de rechtmatige en zorgvuldige omgang met persoonsgegevens binnen de EU. Daarnaast is sinds 2019 de aangepaste Wet politiegegevens (Wpg) van toepassing op gegevensverwerkingen door boa’s in de uitvoering van hun opsporingstaak. Hiermee heeft de bescherming van persoonsgegevens en politiegegevens een nog grotere rol gekregen binnen de organisatie. Het komende jaar blijft privacy door maatschappelijke vraagstukken en de steeds verder gaande digitalisering een belangrijk onderwerp, en dit vraagt van de organisatie ook steeds meer expertise.
Een belangrijk speerpunt is het werken vanuit Privacy by Design: aan de voorkant meedenken over het zo privacy vriendelijk mogelijk inrichten van applicaties. We stellen aan leveranciers eisen op het gebied van gegevensverwerking en sluiten verwerkersovereenkomsten.
Voor processen/gegevensverwerkingen met een hoog privacyrisico zitten we dicht op het proces om zo samen met de verantwoordelijken de risico’s voldoende te beperken. Immers persoonsgegevens veilig houden kunnen we niet alleen. Daarvoor hebben we de hele organisatie nodig. Om die reden brengen we, ook in 2025, het onderwerp privacy onder de aandacht van alle medewerkers. Dit doen we door (soms ludieke) communicatieacties en campagnes. Zo blijven we samen scherp op het onderwerp privacy en wat dit betekent voor alle verschillende functies binnen onze organisatie.
De Wet open overheid (Woo)
De Wet open overheid (Woo) heeft de Wet van openbaarheid (Wob) van bestuur vervangen per 1 mei 2022. De nieuwe wet verplicht overheidsinstellingen (in stappen) meer informatie actief openbaar te maken en de informatiehuishouding op orde te krijgen. Om een transparante overheid en een goede informatiehuishouding tot stand te brengen heeft het Rijk een tijdsbestek van 5 tot 8 jaar voorgeschreven. Verplichtingen uit de Woo zullen aldus gefaseerd in werking treden op een nader te bepalen tijdstip. De achterliggende gedachte van de Wet open overheid (Woo) is dat iedereen recht heeft op informatie van de overheid.
Tot nu toe zijn de volgende acties verricht t.b.v. implementatie van de Woo:
• Impactanalyse
• Themasessie directie Woerden
• Themasessie college Oudewater
• Het Woo -ambitieniveau is door de directie vastgesteld (op Medium)
• Reactieve openbaarheid geregeld
In 2025 zullen we ons verder focussen om de actieve openbaarmaking verder mogelijk te maken, waaronder o.a. keuze voor een publicatieplatform en (hulpsoftware)systemen, en aansluiting op een Woo-index. Ook zullen we in 2025 de Woo-contactpersoon binnen de organisatie structureel gaan borgen. De Woo-contactpersoon is mede aan zet om de actieve openbaarmaking verder vorm te geven.