MENUWe voerden een risicoanalyse uit
We bereidden ons voor op de nieuwe Europese veiligheidsrichtlijn NIS2 en voerden een risicoanalyse uit. We bekeken de risico’s en gaven advies over de benodigde vervolgstappen. Uit de analyse bleek dat de basis van onze informatiebeveiliging op orde was. De meeste risico’s dekten we goed af met de bestaande maatregelen. We zagen geen hoge restrisico’s. Wel merkten we dat leveranciersmanagement en bedrijfscontinuïteit extra aandacht vroegen. We namen deze adviezen op in onze jaarplanning.
We voerden een GAP-analyse uit voor de Baseline Informatiebeveiliging Overheden 2.0
Na de Baseline informatiebeveiliging gemeenten (BIG) en de BIO1 is op 23 september 2025 de BIO2 voor gemeenten ingegaan. De BIO2 is het normenkader voor informatiebeveiliging overheden. We voerden een BIO-GAP analyse uit om te kijken hoe we hieraan voldoen. De BIO bestaat uit meer dan 400 maatregelen die langsgelopen zijn. De maatregelen waar we nog niet helemaal aan voldeden, nemen we op in de jaarplanning waar we gefaseerd aan werken.
We werkten aan het opstellen van veiligheidshandboeken
We gebruikten dataclassificatie om te bepalen welke applicaties voor ons het belangrijkst waren. Bij deze applicaties hielden we extra scherp toezicht op veiligheid en privacy. In 2025 hadden we drie handboeken klaar en ondertekend. Drie andere handboeken zijn bijna gereed. In de handboeken beschreven we hoe we omgingen met wachtwoorden, autorisaties, rechten en rollen, dataclassificatie, logging en andere beveiligingszaken.
We voerden de VNG-resolutie ‘Digitale Veiligheid: ‘Kerntaak voor gemeenten’ uit
Door deze resolutie op te pakken, lieten we zien dat we, net als andere gemeenten, werken aan een veilige digitale samenleving.
We werkten voortdurend aan bewustwording
In 2025 ontwikkelden we met hulp van een stagiair nieuw materiaal om de bewustwording te vergroten. We maakten eerst een nieuw bordspel, Digispeurder, en daarnaast een digitale variant, Jacht op de hacker.
Voor nieuwe en bestaande medewerkers organiseerden we verschillende bewustwordingstrajecten. In 2025 haalden 49 collega’s het certificaat van de game Spion op je pad. Veertien medewerkers kregen het certificaat van Digispeurder en zes van Jacht op de hacker. Medewerkers ontvingen elke week digitale vragen over informatiebeveiliging en privacy via Sir Askalot. De deelname steeg van 66 naar 71 procent. Daarnaast gaven we extra leertaken over actuele onderwerpen, zoals phishing, social engineering en veilig op vakantie.
We pakken informatiebeveiligingsincidenten volgens een vaste procedure op
Er kwamen 134 interne veiligheidsmeldingen binnen (2024: 109). De belangrijkste meldingen (211) waarvan 19 in de hoogste categorie (high/high) kwamen extern via de Informatiebeveiligingsdienst (IBD). ICT-Samen pakte deze meldingen op en we monitorden dit. We handelden ze allemaal af, op één na die doorloopt in 2026. De gemiddelde doorlooptijd was 48 uur.
We pakten datalekken volgens een vaste procedure op
Datalekken zijn incidenten waarbij persoonsgegevens zijn betrokken. Van de meldingen werden er 15 als datalek beoordeeld en in het interne datalekregister opgenomen. Deze pakten we op via een vaste procedure. We beoordeelden of we het lek aan de Autoriteit Persoonsgegevens moesten melden en aan de direct betrokkenen. We evalueerden de datalekken en passen waar nodig processen aan.
We voerden verplichte Digid-audits uit
De audits verbeteren de informatieveiligheid. In Bronckhorst hebben we drie DigiD-aansluitingen. Deze verbeteren de elektronische dienstverlening en de efficiëntie van bedrijfsprocessen. We voerden drie verplichte DigiD-audits uit.
We legden verantwoording af over onze informatieveiligheid
We verantwoordden ons via de Eenduidige Normatiek Single Information Audit (ENSIA). Onder ENSIA vielen de audits van DigiD, Suwi en de zelfevaluaties van de basisregistraties BAG (Basisregistratie Adressen en Gebouwen), BGT (Basisregistratie Grootschalige Topografie), BRO (Basisregistratie Ondergrond), BRP (Basisregistratie Personen) en Reisdocumenten.