SSC DeSom
Op 20 juni 2022 heeft uw gemeenteraad de motie SSC DeSom als ICT-partner unaniem aangenomen. Om antwoord te geven op de vier punten genoemd in de motie hebben wij meerdere deelonderzoeken uitgevoerd. De uitkomsten van deze deelonderzoeken hebben wij samengevat in het rapport “Gemeente Koggenland en SSC DeSom - Een nieuwe koers bepalen”. De afhandeling van de motie inclusief de (onderzoeks)rapporten hebben wij u in februari 2023 aangeboden.
Informatiebeveiliging
Vanuit onze wettelijke verplichting, de Baseline Informatiebeveiliging Overheid (BIO), hebben we invulling gegeven aan strategisch beleid, beleid logische toegangsbeveiliging en het wachtwoordenbeleid. Daarnaast hebben we zichtbare stappen gemaakt op mens & organisatie-vlak. Rollen & verantwoordelijkheden en informatiebeveiliging in projectbeheer hebben we verder gedefinieerd. We hebben hiermee onze doelstelling: ‘’groeien in volwassenheidsniveau’’ behaald. Zo zijn we sinds Q4 2022, niveau twee waardig (herhaalbaar), daar waar wij streven naar niveau vier (beheerst en meetbaar). Daarnaast zijn wij in 2022 gestart met een nieuwe e-learning training (Arda) die we aanbieden aan al onze medewerkers, zowel interne als externe medewerkers. Dit interactieve platform maakt medewerkers bewust van hun rol en verantwoordelijkheid bij de cybersecurity in de organisatie.
Eenduidige Normatiek Single Information Audit (ENSIA)
Via de Eenduidige Normatiek Single Information Audit (ENSIA) leggen we verantwoording af over onze informatiebeveiliging. De gemeente Koggenland heeft in 2022 het proces aangescherpt. Zo ligt de verantwoordelijkheid meer bij de vakspecialisten en heeft de Ensia-coördinator de coördinerende rol op zich genomen. De gemeente Koggenland staat er in 2022 positief voor. Dit is herleidbaar uit de rapportages – gegenereerd en opgesteld op 31-12-2022, vanuit de Ensia-tool. De gemeente Koggenland voldoet aan alle normen. Het college heeft dat met een collegeverklaring bekrachtigd. Het college heeft verklaard dat bij de gemeente Koggenland op 31 december 2022 de interne beheersingsmaatregelen (in opzet en bestaan) voldoen aan de geselecteerde normen voor DigiD. Het college heeft verklaard dat de gemeente voor Suwinet aan alle normen voldoet, met uitzondering van de niet-Suwi taken Burgerzaken. Deze aansluiting is inmiddels afgekoppeld. Bovendien heeft de gemeente tijdig en accuraat aan de verticale toezichthouders de verantwoording opgeleverd over DigiD, Suwinet, Basisregistratie Personen, Reisdocumenten, Basisregistratie Adressen en Gebouwen, Basisregistratie Grootschalige Topografie en Basisregistratie Ondergrond.
Algemene Verordening Gegevensbescherming (AVG) en Wet politiegegevens (Wpg)
- In 2022 hebben we hard gewerkt aan het in stand houden van het niveau van gegevensbescherming. Er is tijdelijk extra capaciteit beschikbaar gekomen om te ondersteunen in het uitvoeren en verbeteren van het privacybeleid. Ons privacy beleid staat daarin niet op zichzelf. Het maakt onderdeel uit van een reeks aan maatregelen en documenten om de bescherming van persoonsgegevens binnen de gemeentelijke organisatie te optimaliseren. Dit gaat bijvoorbeeld over bewustwording en beveiliging, maar ook over transparantie en privacy by design in softwareproducten.
De bescherming van persoonsgegevens binnen de gemeentelijke organisatie is geen zaak van één persoon, maar van belang voor iedereen in de organisatie. Het is een belangrijk onderdeel van ieders functie en dagelijks handelen. In 2022 hebben wij met verschillende acties ingezet op het verhogen van het bewustzijn van onze medewerkers. Meest in het oog springende activiteit is de (hierboven al eerder benoemde) e-learning informatiebeveiliging en privacy Arda. Iedere medewerker neemt, op meerdere momenten in het jaar, deel aan verschillende digitale trainingen over bijvoorbeeld phishing, datalekken en een goede omgang met persoonsgegevens.
Door een wetswijziging is de Wet politiegegevens (Wpg) van toepassing geworden op het werk van buitengewoon opsporingsambtenaren (boa's). De Wpg stelt aanvullende eisen aan de omgang met gegevens die worden gebruikt voor opsporingstaken. Voor ons komt dit tot uiting in het ruimtelijk domein (onze boa's op straat) en het sociaal domein (onze leerplichtambtenaren). De wetgever hecht veel waarde aan de aantoonbare naleving van deze wetgeving. In die hoedanigheid heeft zij een jaarlijkse interne audit en een vierjaarlijkse externe privacy audit verplicht gesteld. In 2022 is de eerste externe audit uitgevoerd en aangeleverd bij de Autoriteit Persoonsgegevens. Uit deze audit blijkt dat er voor gemeente Koggenland ruimte voor verbetering is in de naleving van deze wetgeving. Hier hebben we een verbeterplan voor opgesteld dat in 2023 wordt uitgevoerd.
Onze Functionaris Gegevensbescherming (FG) oordeelt dat wij gedurende 2022 grotendeels hebben voldaan aan de formele vereisten van de Avg. Via het jaarverslag AVG/Wpg 2022 hebben wij u verder geïnformeerd over de waarnemingen van de FG over het afgelopen jaar.