Het jaar 2017 is voor Nederlandse gemeenten het eerste jaar geweest dat zij de regels van ENSIA (Eenduidige Normatiek Single Information Audit) moesten volgen. Gemeenten legden voorheen op gebied van informatieveiligheid alleen verantwoording af op een beperkt aantal afzonderlijke auditgebieden, te weten BRP en Waardedocumenten, BAG en DigiD.
ENSIA biedt gemeenten een gemeentebreed normenkader op gebied van Informatieveiligheid dat voor alle gemeentelijke werkprocessen van toepassing is. Jaarlijks vindt er een formele onafhankelijke audit plaats op informatieveiligheid. Deze audit is dit jaar gestart met een beperkt aantal gebieden, te weten SUWI en DigiD en wordt ieder jaar verder verbreed met nieuwe gemeentelijke werkgebieden. Door de breedte en complexiteit van deze nieuwe regelgeving wordt informatieveiligheid planmatig opgepakt. Jaarlijks wordt een risico-inventarisatie uitgevoerd, wordt een jaarplan informatieveiligheid en privacy vastgesteld en wordt het informatieveiligheidsbeleid getoetst.
In het informatieveiligheidsbeleid zijn niet alleen de uitgangspunten opgenomen voor het veilige en zorgvuldige gebruik van informatie ten behoeve van een betrouwbare en continue dienstverlening, maar eveneens om te voldoen aan wet- en regelgeving (zoals privacy) en om risico’s te beheersen. Daarnaast zijn doelstellingen opgenomen om te voldoen aan Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) als het gemeentelijk basisnormenkader. In het beleid zijn ook meer operationele uitgangspunten opgenomen, waaronder de veiligheid van mobiele apparaten, als telefoons en Ipads, om veiligheidsincidenten c.q. datalekken te voorkomen. Over de voortgang van het jaarlijkse verbeterplan informatieveiligheid en privacy wordt periodiek gerapporteerd.
Alle voorbereidingen voor deze wettelijk verplichte audits zijn in het jaarplan opgenomen en zijn ook in 2017 daadwerkelijk afgerond. Op basis van deze voorbereidingen heeft het college een verklaring vastgesteld waarin zij bevestigt dat aan alle wettelijke eisen ten aanzien van ENSIA wordt voldaan. Voor 2017 betrof ENSIA de onderdelen DigiD en SUWI. Deze verklaring is vervolgens door een onafhankelijk auditor getoetst op opzet en het bestaan en bevestigdan de bij AA geïmplementeerde veiligheidsmaatregelen op beide gebieden. In 2017 is ook een rekenkameronderzoek uitgevoerd naar de informatieveiligheid.
Naast deze nieuwe kaders en voorschriften op gebied van informatieveiligheid treedt op 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) in werking. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet Bescherming Persoonsgegevens (Wbp) geldt dan niet meer. In 2017 is een Plan van Aanpak opgesteld met daarin alle maatregelen die door de AA organisatie moeten worden getroffen om aan de AVG te voldoen. In 2017 zijn door AA de meeste voorbereidingen geïmplementeerd om aan de AVG te gaan voldoen.
Een beperkt aantal thema’s vraagt nog bijzondere aandacht en dit wordt begin 2018 opgepakt. Dit betreft in de eerste plaats de ‘aanstelling van een Functionaris voor de Gegevensbescherming (FG)’. Deze verplichte nieuwe FG rol moet het interne gemeentelijke toezicht gaan uitvoeren op de verwerking van persoonsgegevens binnen de organisatie. De formatie en positionering van de FG zijn vastgesteld. De inpassing in de begroting en de formele benoeming van de FG moet nog plaatsvinden. Het tweede thema betreft het inrichten van een proces waardoor ‘rechten van betrokkenen’ kunnen worden gewaarborgd. Iedere burger kan rechten van inzage, wijziging of verwijdering (indien van toepassing) uitoefenen bij de verwerkingsverantwoordelijke. Doordat gemeentelijke informatiesystemen complex en decentraal (rond de bedrijfsprocessen) zijn ingericht, vraagt dit thema bijzondere aandacht omdat vragen van burgers met betrekking tot inzage in de gehele organisatie moeten kunnen worden afgehandeld en centraal worden verwerkt en gecommuniceerd aan de burger die zijn rechten uitoefent.