Gegevensbescherming is de verzamelterm waaronder gemeente Westland geïntegreerd beleid voert op de gebieden van informatiebeveiliging en privacy. Het belang en de noodzaak van gegevensbescherming neemt nog steeds toe. Er zijn bedreigingen van buitenaf in de vorm van cybercrime en hackers. Deze zaken staan bovenaan in de top van de dreigingsmonitor die landelijk is opgesteld. Ook de oorlog in Oekraïne zorgt dat de dreiging onverminderd hoog blijft.
Menselijke fouten blijven ook een reële dreiging vormen. Een foutje is snel gemaakt, terwijl de gevolgen soms fors kunnen zijn. Het kan resulteren in een datalek, een incident of een kwetsbaarheid. Met wettelijke kaders en normen op het gebied van informatiebeveiliging en privacy zijn we dit voor. Team Gegevensbescherming werkt breed samen in het i-domein met Informatiebeheer, Juridische Zaken en I&A, waarbij het doel is om informatie en gegevens altijd rechtmatig en veilig te verwerken.
Wettelijke kaders en normen
- De BIO (Baseline Informatiebeveiliging Overheid) is het verplichte kader voor informatiebeveiliging waaraan we moeten voldoen. Dit normenkader helpt ons om het niveau van informatiebeveiliging binnen de organisatie steeds meer te versterken. Op basis van de PDCA-cyclus (Plan-Do-Check-Act) realiseren we doorlopend verbetering.
- De cyberbeveiligingswet (NIS2) is een nieuwe Europese cybersecurity richtlijn. De gemeente moet als essentiële entiteit voldoen aan deze richtlijn. Er is deels een overlap met de BIO, maar het gaat ook over de beveiliging van operationele technologie (zoals pompen en gemalen) en afspraken op de beveiliging bij samenwerkingspartners. Zie ook de passage in de paragraaf Weerstandsvermogen & Risicobeheersing.
- De AVG (Algemene Verordening Gegevensbescherming) en UAVG (Uitvoeringswet Algemene Verordening Gegevensbescherming) zijn de in Nederland geldende wetten over privacy en persoonsgegevens. Wij toetsen regelmatig in- en extern op het voldoen aan deze wetgeving.
- De AI Act. Europese wetgeving over het gebruik van Artificial Intelligence. Hierbij is gekozen voor een gefaseerde implementatie met een looptijd tot in 2030.
ENSIA
Door middel van ENSIA (Eenduidige Normatiek Single Information Audit) leggen wij jaarlijks verantwoording af aan respectievelijk de raad en het rijk over kaders en normen op het gebied van informatieveiligheid (en indirect privacy). Doel van ENSIA is ook het tijdig en accuraat opleveren van de verantwoording over DigiD en de basisregistraties Suwinet, BAG, BGT, BRO, BRP en Reisdocumenten aan de toezichthouders.
Aandachtpunten en verbeteringen uit een vorige ENSIA -verantwoording implementeren we voordat de zelf-evaluatie van het volgende jaar start.