Jaarrapportage Informatieveiligheid Privacy 2020.pdf

Jaarrapportage Informatieveiligheid &
Privacy 2020

Gemeente ’s-Hertogenbosch

Vertrouwelijk

Drs. Arjan Kieboom CISA CISSP
CISO/FG Gemeente ’s-Hertogenbosch
7 februari 2021

1.
Inleiding
Informatieveiligheid en Privacy nemen een belangrijke plaats in binnen de Gemeente ’s-
Hertogenbosch. Ook landelijk gezien worden de eisen op dit gebied steeds strenger. De doelstelling
van de gemeente is om de Informatieveiligheid en Privacy te laten voldoen aan actuele wet- en
regelgeving. Dienstverlening aan en voor onze inwoners moet immers veilig zijn en de privacy van de
inwoners waarborgen.

In het door het College vastgestelde Plan Informatieveiligheid is bepaald dat jaarlijks aan het
management en het college wordt gerapporteerd over Informatieveiligheid. In deze rapportage wordt
gerapporteerd over de belangrijkste programma’ s op het gebied van Informatieveiligheid, de audits op
het gebied van Informatieveiligheid, Privacy, de Meldplicht Datalekken, de belangrijkste
informatieveiligheidsissues uit 2020 en wordt vooruitgeblikt op het komende jaar.

2.
Programma’s Informatieveiligheid
Op het gebied van de Informatieveiligheid lopen er op dit moment twee programma’s: de
implementatie van de Baseline Informatiebeveiliging Overheid (BIO) en het programma
Bewustwording Informatieveiligheid

2.1
Implementatie BIO
Eind 2018 is door de leden van de VNG de "Baseline Informatiebeveiliging Overheid" (BIO)
aangenomen als hét gemeentelijk basisnormenkader voor de informatiebeveiliging. Door de
vervanging van de oude normenkaders voor Gemeenten, Rijk, Waterschappen en Provincie door de
BIO is er één gezamenlijk normenkader voor de overheid ontstaan. De BIO is vanaf 1 januari 2020
van kracht en heeft de Baseline Informatieveiligheid voor Gemeenten (BIG) vervangen. De BIO is het
normenkader dat als uitgangspunt dient voor het Beleid Informatieveiligheid en het Plan
Informatieveiligheid van de Gemeente ’s-Hertogenbosch.

De implementatie van de maatregelen uit de BIO is onder te verdelen in een generiek deel en een
aantal specifieke maatregelen per applicatie. Het generiek deel bevat voornamelijk maatregelen
waarvoor ICT en/of PFZ verantwoordelijk zijn. Op dit moment voldoet de Gemeente ’s-Hertogenbosch
aan bijna alle generieke normen uit de BIO die worden getoetst middels de ENSIA audit.

Voor de specifieke maatregelen per applicatie ligt de verantwoordelijkheid bij de eigenaar van de
betreffende applicatie. Op basis van een classificatie van alle primaire systemen binnen de gemeente
wordt bepaald voor welke applicaties het nemen van specifieke maatregelen uit de BIO noodzakelijk
is.

2.2
Bewustwording Informatieveiligheid
Doorgaans wordt informatiebeveiliging gezien als een ICT-technisch onderwerp. Een belangrijk
gedeelte van de incidenten op dit gebied heeft echter een menselijke oorzaak. Slordigheid,
onbekwaamheid, goedbedoelde hulpvaardigheid of het niet volgen van procedures en afspraken
leiden even vaak tot risico’s en (potentiële) inbreuken op onze informatieveiligheid.
Informatieveiligheid is daarmee de verantwoordelijkheid van alle leden van onze organisatie. Het is
daarom essentieel dat iedereen in onze organisatie zich bewust is van het belang van
informatiebeveiliging.

In het kader van het Bewustwordingsprogramma Informatieveiligheid zijn er in 2020 meerdere
activiteiten zijn geweest om de bewustwording en kennis van de medewerkers te verhogen. Vanwege
Covid-19 hebben deze activiteiten voornamelijk digitaal plaatsgevonden. Dit is gebeurd door middel
van een (verplichte) e-learning voor medewerkers, middels artikelen in het personeelsmagazine
Reflex en middels specifieke berichten op Intranet. Ook maakt bewustwording nadrukkelijk onderdeel
uit van het inwerkprogramma voor nieuwe medewerkers.

3.
Audits
Jaarlijks worden er op het gebied van Informatieveiligheid een aantal audits uitgevoerd. Dit betreft
zowel zelfaudits, als audits uitgevoerd door een externe auditor. In 2020 zijn audits uitgevoerd voor de
BIO, DigiD, Suwinet, BRP en PUN. Deze audits hebben plaatsgevonden in het kader van de ENSIA
audit.

ENSIA (Eenduidige Normatiek Single Information Audit) heeft tot doel het verantwoordingsproces over
informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan
te sluiten op de gemeentelijke Planning & Control-cyclus. Hierdoor heeft het gemeentebestuur meer
overzicht over de stand van zaken van de informatieveiligheid en kan het hier ook beter op sturen. De
audits over de BIO,  BRP, PUN, Suwinet en DigiD zijn allen opgenomen de ENSIA zelfaudit.

Uitgangspunt van ENSIA is de single information audit. De informatie uit deze wordt gebruikt voor de
horizontale verantwoording richting gemeenteraad en de diverse verticale verantwoordingslijnen
richting departementen.

3.1
BIO
Bij de zelfaudit van ENSIA over de BIO, worden de generieke maatregelen uit de BIO getoetst. Voor
wat betreft de specifieke maatregelen uit de BIO beperkt de audit zich tot de Suwinet, BRP en PUN
applicaties. Naast enkele kleinere procedurele verbeterpunten is de belangrijkste BIO norm uit de
ENSIA audit, waaraan niet op het moment van de zelfaudit niet werd voldaan,  het ontbreken van een
SIEM/SOC oplossing. Dit is een deels geautomatiseerd systeem dat de beveiligingslogs uit
verschillende gebruikte ICT systemen correleert en analyseert. In 2020 is door de Gemeente ’s-
Hertogenbosch meegedaan aan de aanbesteding GGI-Veilig van de VNG, waar de aanschaf van een
SIEM/SOC oplossing deel vanuit maakt. In 2021 zal de implementatie van de SIEM/SOC oplossing
worden voorbereid om deze per 1 januari 2022 in productie te kunnen nemen.

3.2
DigiD
Elk jaar moeten organisaties die DigiD gebruiken een beveiligingsassessment laten doen door een
gekwalificeerde auditor. Hiermee moeten ze aantonen dat ze aan de strenge (beveiligings- en
betrouwbaarheids)normen van het ministerie van Binnenlandse Zaken voldoen. Voor elke aansluiting
is een audit verplicht. De Gemeente ’s-Hertogenbosch heeft op dit moment 4 aansluitingen (een zelf
gehoste aansluiting voor o.a. formulieren, mijn uitkering en aanvragen levensonderhoud en bijzondere
bijstand) en drie extern gehoste aansluitingen voor het belastingloket, het parkeerloket en de
kredietbank). De externe audit voor het DigiD Assessment is in  mei 2020 succesvol afgerond. Eind
2020 is in het kader van ENSIA weer de zelfaudit voor DigiD gedaan. Hieruit komt één verbeterpunt
met een zeer beperkt risico dat voor november 2021 moet worden opgelost.

3.3
Suwinet
Suwinet biedt overheidsorganisaties de mogelijkheid om gegevens van burgers, die bij andere
overheidsorganisaties of basisregistraties zijn opgeslagen, te raadplegen of te gebruiken. Bij de
zelfaudit voor Suwinet zijn geen tekortkomingen ten aanzien van het geldende normenkader
geconstateerd.

3.4
BRP/PUN
Voor de Basis Registratie Personen (BRP) en de Paspoortuitvoeringsregeling Nederland (PUN) zijn in
2020, als onderdeel van de ENSIA audit,  zelfevaluaties uitgevoerd. Beide audits hebben als resultaat
“geslaagd” opgeleverd.

4.
Privacy
Effect Covid-19
2020 stond onverwachts in het teken van de nieuwe uitdagingen die Covid-19 met zich meebracht. In
het voorjaar kwam er een enorme vraag naar meer of betere digitale vormen om (samen) te kunnen
werken. Hierdoor moest er in een hoog tempo beoordeeld worden of we al oplossingen in huis hadden
en zo niet, welke oplossingen privacy voldoende waarborgt. of als het ging om een tijdelijke oplossing
om het risico zo veel mogelijk te beperken. Daarnaast zijn inmiddels een aantal (grote) vervangingen
aan applicaties uitgevoerd dit jaar waarbij privacy by design is uitgevoerd. Dit komt erop neer dat al in
een vroeg stadium privacy wordt meegenomen in het traject.

AVG-verzoeken
In 2020 zijn 22 AVG-verzoeken ingediend bij de gemeente ’s-Hertogenbosch. Hiervan
waren vier gemeentebrede verzoeken, binnen MO twaalf verzoeken die betrekking hebben op 22
personen en zes verzoeken die betrekking hadden op WXL. In vergelijking met 2019 heeft iets meer
dan de helft van de AVG-verzoeken betrekking op MO, in plaats van 2/3de in 2019. Binnen WXL is in
2020 gestart met een verbetert proces om diverse verzoeken van inwoners om een kopie van hun
dossier als AVG-verzoeken te behandelen. Hierdoor zijn er dit jaar meer verzoeken aangemerkt als
een verzoek binnen de AVG. Door deze wijziging worden de rechten van de inwoners beter
beschermd.

Opvallend is dat in 2020 meer gebruik is gemaakt van de bezwaar- en beroepprocedures die ook
gelden voor deze AVG-verzoeken. Zo zijn er voor gemeentebrede verzoeken in 2020 drie bezwaren
ingediend, twee binnen MO en een binnen WXL. Ook was er sprake van een tweetal beroepszaken,
waarvan een gemeentebreed en een die betrekking had op MO.

Anonimiseringstool
Ten behoeve van transparantie zijn wij als gemeente verplicht om bepaalde informatie openbaar
toegankelijk te maken. Daarnaast hebben inwoners en partijen dan wel organisaties mogelijkheden
om te verzoeken om informatie. Denk hierbij aan AVG-inzageverzoeken, WOB-verzoeken of de
aankomende gevolgen van de Wet Open Overheid die de WOB gaat vervangen. We verwachten dat
de komende jaren steeds meer informatie beschikbaar moet worden gemaakt. Ook onder andere door
de komst van deze Wet Open Overheid.

Het behandelen dit soort verzoeken kost veel tijd door het handmatig anonimiseren van de aan te
leveren informatie. We zijn namelijk vaak wettelijke verplicht om de impact op privacy en de inhoud
van de informatie te beoordelen of tot anonimiseren over moet worden gegaan. Tot nu toe wordt
dit volledig handmatig gedaan waarbij alle stukken worden doorgenomen. Ook bestaat het risico dat
de informatie niet correct wordt geanonimiseerd waardoor de
ontvanger er toch achter kan komen welke informatie is weggestreept. Om bij deze administratieve
werkzaamheden te ondersteunen is in 2020 gekeken naar mogelijke oplossingen via een
onderzoeksproject. Hier is een oplossing uit gekomen die verschillende hulp biedt. Zo zet deze
oplossing allerlei type bestanden automatische om in een pdf-bestanden waardoor dit niet handmatig
hoef te worden gedaan. Vervolgens ondersteunt de oplossing door het gebruik van algoritmen bij het
herkennen van (persoons)gegevens en neemt dit een groot deel van het handmatig moeten
wegstrepen weg. Een mens zal altijd nog een handmatige check moeten doen om de
gevonden (persoons)gegevens te bevestigen of nog aan te vullen. Er is geen sprake van
profilering of van automatische besluiten die worden genomen door deze oplossing.

DPIA's
In 2020 is het proces verder verfijnd waardoor er voor nieuwe processen of voor bestaande processen
met grote wijzigingen wordt bepaald of een Data Protection Impact Assessment (DPIA) verplicht
is. Deze DPIA wordt vervolgens uitgevoerd waar dit nodig is en daarna ter akkoord aangeboden aan
de Functionaris voor de Gegevensbescherming (FG). Geeft de FG een akkoord, dan wordt de
DPIA ter akkoord aangeboden aan het verantwoordelijke afdelingshoofd of sectordirecteur. In 2020
zijn 8 DPIA's uitgevoerd met nog 2 DPIA's momenteel in de afrondende fase. Deze DPIA's zijn
uitgevoerd voor nieuwe processen met een hoog privacy risico of voor bestaande processen waar
grote veranderingen in zijn gekomen.

Verwerkingsregister
Na de inventarisatie van het verwerkingsregister stond 2020 in het teken van het bijhouden van het
verwerkingsregister. Doordat is gekozen om het verwerkingsregister uitgebreider te beschrijven dan
verplicht is, is dit enorm belangrijk. Naast de verplichtingen die het verwerkingsregister bevatten is er
ook voor gekozen om de applicaties te registreren die gebruikt worden voor een bepaald werkproces
en waar de data met de persoonsgegevens is opgeslagen. Door deze verdieping is het
verwerkingsregister wel meer bewerkelijker, maar biedt hier hierdoor wel een breed inzicht binnen de
organisatie waar een applicatie of de data zich bevindt. Hier plukken zowel de informatiebeheer,
informatiebeveiliging en het management de vruchten van. Door een aantal grote applicatiewijzigingen
in 2020 zijn bij BAZ, M&D, SO en SB wijzigingen doorgevoerd in het verwerkingsregister.

Dit jaar zou door de reorganisatie bij MO het verwerkingsregister opnieuw worden gevuld. Dit is echter
niet gebeurd en deze werkzaamheden zijn verschoven naar 2021. Door de reorganisatie moesten
processen bij de juiste afdelingen gezet en/of opnieuw vormgegeven worden. Zodra dit is gebeurd kan
verder gewerkt worden aan het verwerkingsregister.

Privacy klachten
In 2020 is in juli begonnen met het correct registreren van contacten in het zaaksysteem die bij de FG
terecht komen. Dit jaar zijn zes als zodanig geregistreerd, waarvan twee bij SB/Stadstoezicht, drie bij
WXL en één  bij MO. Een aantal klachten bestonden weer uit verschillende klachten, waardoor het
ook een breder effect had. Door het onderwerp van de klachten zijn er drie interessant om te
benoemen:

Digitaal parkeren: De huidige bezoekerskaartjes worden vervangen door kenteken parkeren.
Meerdere burgers hebben gewezen op de privacyaspecten hiervan. Op basis van de AVG en
jurisprudentie hierover is kenteken parkeren voor bezoekers echter weldegelijk toegestaan.

Tonen van naam afspraken bezoekers Stadskantoor:  Er zijn de afgelopen jaren meerdere klachten
geweest over het tonen van de namen van bezoekers op de schermen in de hal van het stadskantoor.
Door een aanpassing in de software zullen bezoekers binnenkort kunnen kiezen of ze met een naam
of met een nummer willen worden opgeroepen via het beeldscherm.

Bijstandsaanvraag : Er zijn meerdere klachten geweest met betrekking tot de gegevens die worden
uitgevraagd bij de aanvraag van een bijstandsuitkering. In algemene zin is op te merken dat in de
uitvoeringspraktijk dagelijks de spanning wordt ervaren tussen de AVG, het optimaliseren en
digitaliseren van processen, de Archiefwet en het doelmatig uitvoeren van Participatiewet.

Autoriteit Persoonsgegevens
Met betrekking tot één van de klachten over de bijstandsaanvraag heeft de Autoriteit
Persoonsgegevens in november 2020 een aankondiging tot onderzoek en verzoek om informatie

gedaan. Deze informatie is in december 2020 aan de  Autoriteit Persoonsgegevens verstrekt en de
gemeente is in afwachting van een reactie hier op.

Verwerkersovereenkomsten en convenanten
De huidige procedure om de noodzakelijkheid van de verwerkersovereenkomsten voor nieuwe
applicaties ‘op te sporen’ via het (pre)intake proces is een succes gebleken. Daarnaast zal er blijvend
aandacht moeten worden besteed aan bewustwording over dit
onderwerp wanneer bijvoorbeeld onderzoeksbureaus of studenten worden ingezet om namens de
gemeente persoonsgegevens te verwerken via onderzoeken of projecten. De aandacht voor
bewustwording voor convenanten is ook blijvend noodzakelijk om deze onderlinge afspraken met
andere organisatie te kunnen blijven maken. Een convenant wordt namelijk gebruikt als verschillende
gemeente of de gemeente met andere organisaties samenwerkt waarbij persoonsgegevens gedeeld
worden.

Privacy by design & by default
Gemeentebreed is in diverse bestaande processen in 2020 extra aandacht besteed aan de noodzaak
van privacy by design & by default. Zo wordt door projectleiders steeds beter eerder om advies
gevraagd om privacy bij het begin van een project en/of aanbesteding erbij te kunnen betrekken.
Bewustwording bij de juiste afdelingen is hiervoor belangrijk waarvoor in 2020 aandacht is gevraagd.

Binnen MO is er eind 2019 extra aandacht gevraagd bij de beleidsafdelingen voor het tijdig betrekken
van privacy & gegevensverwerking bij de ontwikkeling van nieuwe processen en het aanschaffen en
inrichten van nieuwe applicaties. Dit lijkt goed opgepakt te worden door de betrokken afdelingen. Bij
meerdere projecten (w.o. JVS en Proces 21.0) heeft iemand vanuit privacy meegekeken om te borgen
dat ook aan dit criterium uit de AVG voldaan wordt. Eind 2020 is de signalerende rol van
de Privacybuddy's uitgebreid met een signalerende rol die ziet op dit onderdeel. In 2021 zal deze
verantwoordelijkheid verder vorm worden gegeven op de afdelingen zelf.

Privacy audit
Binnen MO is aan het eind 2019/begin 2020 gestart met een drietal delen van de interne privacy audit.
Om de impact te beperken wordt de uitvoering van de privacy audit in de komende jaren steeds verder
uitgebreid. I.v.m. corona en de daardoor zeer beperkte mogelijkheden voor de afdelingen om zich
goed voor te bereiden op het tweede deel van de audit, is besloten dit deel uit te stellen tot 2021. De
volledige audit zal daarom ook een jaar opschuiven en per 2022 worden voltooid. De andere sectoren
volgen hier op.

Privacy bewustzijn
In 2020 is verder vervolg gegeven aan het vergroten van de privacy bewustwording binnen de
organisatie. Er zijn diverse trainingen en bijeenkomsten verzorgd voor onder andere de privacy
aanspreekpunten binnen de organisatie. Daarnaast is de privacy e-learning voor nieuwe medewerkers
herzien en is het de bedoeling dat in 2021 alle medewerkers deze verplicht moeten doen. Ook dit jaar
was te merken dat het vergroten van de bewustwording steeds meer impact heeft. Vanuit de
afdelingen komen steeds meer vragen waar de diverse privacy aanspreekpunten, privacy
coördinatoren en de privacy officer bij betrokken worden. Hierdoor is te merken dat steeds meer
collega’s zich realiseren wanneer de AVG mogelijk een rol speelt. Doordat steeds meer collega's hier
bewust van zijn komen er ook steeds meer complexere vragen naar boven. Deels is dit ook te
verklaren doordat er steeds meer technische gezien mogelijk is en door de ambities van de gemeente
om meer datagedreven bezig te zijn. Het bewust om gaan met data is zeker een vraagstuk waar de
komende jaren aan gewerkt moet worden. Toch zijn er nog steeds voorbeelden waar we achteraf
moeten proberen om zaken te repareren om voldoende waarborgen te hebben om te voldoen aan de
AVG. Dit zal een constant proces blijven om dit steeds meer proberen te voorkomen.

5.
Meldplicht datalekken
Op 1 januari 2016 is de wet meldplicht datalekken in werking getreden. Met  de invoering van de AVG
in mei 2018 is deze wet vervallen en is deze verplichting opgenomen in de AVG. Volgens de AVG
moet de verantwoordelijke bij een datalek, waarbij kans is op verlies of onrechtmatige verwerking van
persoonsgegevens, een melding doen bij de toezichthouder, de Autoriteit Persoonsgegevens (AP).  In
bepaalde gevallen dienen ook de betrokkenen te worden geïnformeerd. Als er geen melding wordt
gemaakt van een datalek kan dit bestraft worden met een bestuurlijk boete van de AP. Datalekken
kunnen bijvoorbeeld ontstaan door verloren of gestolen apparatuur, gehackte websites of
werkplekken, of door het (onbewust)  plaatsen van data op onbeveiligde locaties op het Internet.

De gemeente moet uiterlijk de tweede werkdag nadat een lek is geconstateerd dit datalek bij de
toezichthouder melden. Deze wet gaat uit van een vorm van ketenaansprakelijkheid. De
toezichthouder kan sancties van maximaal € 20.000.000 opleggen. Om aan de wettelijke
verplichtingen bij de invoer van de Wet meldplicht datalekken te kunnen voldoen heeft de Gemeente
’s-Hertogenbosch  de nodige procedures ingericht.

In 2020 zijn er door de Gemeente ’s-Hertogenbosch 34 meldingen van een datalek gedaan bij de
Autoriteit Persoonsgegevens. Dit is een behoorlijke toename ten opzichte van de 19 meldingen uit
2019. Dit is onder meer veroorzaakt door noodzakelijke aanpassingen in het printproces door het
thuiswerken i.v.m.Covid-19. Dit heeft geleid tot een aantal datalekken waarbij brieven voor meerdere
personen per ongeluk in één envelop werden gestopt.  In de meeste gevallen betroffen de datalekken
gegevens van één of enkele burgers. In twee gevallen ging het om meer betrokkenen. In deze
gevallen zijn er echter geen gevoelige of bijzondere persoonsgegevens gelekt.

6.
Informatiebeveiligingsissues
Maandelijks worden beveiligingsissues door CISO besproken met de Directeur M&D, het
Afdelingshoofd ICT en Bureauhoofd Automatisering. Hieronder een opsomming van de
beveiligingsissues die in 2020 als significant of hoog werden geclassificeerd.

-
Januari 2020: Het NCSC heeft op 16 januari het advies uitgebracht om alle Citrix omgevingen
uit te zetten, danwel los te koppelen van Internet. Dit in verband met een kwetsbaarheid waar
geen afdoende patch voor was. Citrix wordt binnen de gemeente gebruikt voor de koppeling
van de OSO omgeving aan Internet. De Citrix omgeving is op 16 januari losgekoppeld van
Internet, hierdoor was de OSO omgeving tijdelijk enkel nog intern bereikbaar. Nadat de
patches beschikbaar kwamen is de omgeving op 29 januari weer online gebracht. Voor het
ontsluiten van de applicaties van Burgerzaken en Belastingen de gehost worden bij Centric
wordt ook Citrix gebruikt. Deze applicaties zijn van vrijdagmiddag 17-1 t/m maandagmiddag
20-1 niet beschikbaar geweest. Op 9 maart is een evaluatie hiervan geweest met Centric.
Hierbij zijn een aantal verbeteracties afgesproken.
-
Juni 2020:Door een malafide verzoek te sturen naar een Windows DNS-server kan een
ongeauthenticeerde kwaadwillende op afstand willekeurige code uitvoeren onder het 'local
system account'. Volgens Microsoft is de kwetsbaarheid mogelijk 'wormable';dit betekent dat
het zonder gebruikersinteractie malafide software kan verspreiden naar andere kwetsbare
systemen. Een door Microsoft geadviseerde workaround om de kwetsbaarheid te mitigeren is
dezelfde avond uitgevoerd. De security update is meegenomen in de reguliere Windows
update.
-
Augustus 2020: Een foutieve aanpassing in een script van de agendaplanner (applicatie voor
inzet doelgroepers door WXL), heeft een storing veroorzaakt waardoor de agendaplanner
twee dagen niet beschikbaar was en een behoorlijk aantal andere applicaties niet gedurende
2,5 uur. Er zijn restore- en herstelacties uitgevoerd en de fout in het betreffende script is
hersteld. Er zijn verbeteracties uitgezet om de overlast bij vergelijkbare fouten in de toekomst
te beperken
-
September 2020: Een kwetsbaarheid in de Windows Domain Controller stelt een
kwaadwillende op afstand in staat om domein administrator rechten te verkrijgen. Om de
kwetsbaarheid uit te buiten dient de kwaadwillende meerdere stappen te doorlopen richting
een kwetsbare domain controller. Een door Microsoft beschikbaar gestelde update is dezelfde
avond uitgevoerd.
-
Oktober 2020:Een kwetsbaarheid in Sharepoint stelt een kwaadwillende die succesvol de
aanval heeft uitgevoerd in staat willekeurige code uitvoeren in de SharePoint omgeving. De
door Microsoft beschikbaar gestelde update is dezelfde dag uitgevoerd op de OSO omgeving.
(de sharepoint omgeving in office365 wordt automatisch door Microsoft geüpdate).

7.
Vooruitblik 2021
2020 is op het gebied van informatieveiligheid en privacy positief verlopen. De programma’s op het
gebied van informatieveiligheid liggen op schema, de audits tonen aan de informatieveiligheid op orde
is. Omdat de bedreigingen met betrekking tot informatieveiligheid steeds geavanceerder worden, is
stilstand op dit gebied echter achteruitgang. Om de  informatieveiligheid op het huidige niveau te
kunnen blijven borgen, zal er daarom voor de komende jaren ook volop aandacht voor dit onderwerp
noodzakelijk zijn.

In 2020 is de BIG vervangen door de nieuwe BIO norm als audit kader. In 2020 heeft de focus vooral
gelegen op de audits op de generieke ICT componenten. In 2021 zal er nadrukkelijker gekeken
worden naar de specifieke applicaties. Op het gebied van bewustwording zullen er begin 2021 twee
nieuwe e-learning modules worden uitgerold en vindt er een update plaats van de twee modules die al
in gebruik zijn. Alle medewerkers van de Gemeente ’s-Hertogenbosch zullen elk kwartaal verplicht één
van de 4 modules moeten afronden.

Wat betreft privacy zullen verschillende zaken opgepakt worden in 2021. Zo staat op de planning dat
in 2021 voor MO het verwerkingsregister opnieuw de focus krijgt. Op basis van het aangescherpte
register zal tevens de focus verlegt worden naar het uitvoeren van DPIA's. De hierin geconstateerde
privacy-risico’s worden in 2021 samengebracht en met een advies voor de aanpak van het risico
gecommuniceerd aan het betreffende afdelingshoofd. Ook worden hierbij de col ega’s van
informatiebeheer en informatieveiligheid betrokken waar nodig om af te stemmen. Voor de andere
sectoren geldt dat het verwerkingsregister up-to-date moet blijven. Wat betreft DPIA's moeten nog
diverse DPIA's worden uitgevoerd voor al bestaande processen. Voor de nieuwe of gewijzigde
processen worden deze al uitgevoerd wanneer dit speelt. De intentie is om dit in 2021 en 2022 in
projectvorm uit te voeren.

Verder blijft vergroten van de privacy bewustwording binnen de organisatie een belangrijk
speerpunt blijven. Zeker met de ambitie om meer datagedreven te zijn als organisatie en hierin steeds
meer nieuwe dingen gaan doen. Voor de algemene thema's geldt dat dit ontzettend belangrijk blijft om
aandacht aan te besteden om kennis te verbeteren binnen de organisatie. In 2021 moeten alle
medewerkers de nieuwe e-learning over privacy verplicht doen.

Er zal verder worden gewerkt aan het nog meer zichtbaar maken van de impact van de AVG binnen
de organisatie. Dit om te voorkomen dat we in de toekomst nog steeds achteraf zaken proberen te
repareren om voldoende waarborgen te hebben om te voldoen aan de AVG. Ook hierbij blijft de
focus binnen MO gericht op het inbedden van privacy als onderdeel van de
integrale lijnverantwoordelijkheid. De beschikbaarheid van ondersteuning voor de afdelingshoofden
zal verder worden uitgebreid en versterkt. Daarnaast staat er op de planning dat de interne privacy
audit verder zal worden uitgebreid.