Inleiding
We maakten een nieuw privacybeleid. Dit stellen we vast in 2024. In afwachting van vaststelling liggen er verschillende procedures/werkinstructies klaar, onder andere om datalekken af te handelen, rechten van betrokkenen te faciliteren en om het bijhouden van het verwerkingsregister te borgen.
Datalekken pakten we serieus op
Datalekken zijn incidenten met persoonsgegevens. Deze pakten we op via een aparte procedure en meldden we in een intern datalekregister. We beoordeelden aan de hand van het risico voor betrokkenen of we het lek moeten melden aan de Autoriteit Persoonsgegevens (AP) en aan de direct betrokkenen. We namen 22 incidenten op in het interne datalekregister waarbij mogelijk persoonsgegevens betrokken waren en daarvan beoordeelden we er 20 als datalek. Van die 20 was er geen zodanig dat melden bij de Autoriteit Personen nodig was.
We voerden de verplichte DigiD-audits en Suwi audit uit
Voor de volledige DigiD en Suwi werd een succesvolle audit uitgevoerd.
We hebben in Bronckhorst drie Digitale Persoonsidentificatie (DigiD) aansluitingen, die de elektronische dienstverlening naar de inwoners en de efficiëncy in de bedrijfsprocessen vergroten. Daarnaast maakten we gebruik van de Structuur Uitvoeringsorganisatie Werk en Inkomen (Suwi). in het sociaal domein voor het raadplegen van gegevens.
We legden verantwoording af over onze informatieveiligheid
Met de Eenduidige Normatiek Single Information Audit (ENSIA) via de collegeverklaring informatiebeveiliging legden we verantwoording af over informatieveiligheid. We deden dat via een actieve informatievoorziening aan de raad. Onder de ENSIA vallen de audits van:
- DigiD
- Suwi
- De zelfevaluaties van:
- Basisregistratie Adressen en Gebouwen (BAG)
- Basisregistratie Grootschalige Topografie (BGT)
- Wet waardering Onroerende Zaken
- Basisregistratie Ondergrond (BRO)
- Basisregistratie Personen (BRP)
- Reisdocumenten.
We pakten aanbevelingen uit de WPG-audit op
We lieten een her-audit in het kader van de Wet politiegegevens (WPG) uitvoeren. Uit deze her-audit bleek dat een aantal aanbevelingen uit de initiële audit opgevolgd waren.
Omgaan met veiligheidsincidenten was een belangrijk onderdeel van ons dagelijks werk
Er kwamen 195 veiligheidsmeldingen binnen via ons interne Topdesk portaal (in 2022:177). Het grootste aantal (181) betrof spam/phishing meldingen. Deze leidden niet tot incidenten.
We zijn aangesloten bij de Informatiebeveiligingsdienst (IBD), hiervan kwamen in totaal 297 meldingen binnen. Deze gingen vooral over kwetsbaarheden in (systeem)programmatuur of apparatuur- en cyberaanvallen. Het initiatief voor het oppakken van de meldingen ligt sinds 2023 bij ICT-Samen. In samenwerking met ICT-Samen reageerden we alert en handelden we de meldingen volgens procedure af. Daarnaast stelde de CISO een rapportage Veiligheidsincidenten 2023 op.
We deden meer aan bewustwording
We hielden voor nieuwe medewerkers in totaal zeven bijeenkomsten met ons interne bewustwordingsprogramma ‘Spion op je pad’. Hieraan deden 58 deelnemers mee die allen een certificaat van deelname ontvingen.
Voor het eerst draaiden we een heel jaar met ons nieuwe bewustwordingsprogramma Recourse Light. Met dit programma, waarin Sir Askalot iedere week via de mail aan iedere medewerker een vraag over informatieveiligheid of privacy voorlegde, deden we aan structurele bewustwording. Hiermee versterken we het menselijke aspect aan de digitale informatieveiligheid.