Informatieveiligheid

De ontwikkelingen op het gebied van digitalisering, cyberdreigingen en wetgeving vragen om voortdurende aandacht, zowel organisatorisch als in het dagelijks handelen van medewerkers. In 2025 is gewerkt aan bewustwording en het versterken van veilig gedrag. Medewerkers zijn via trainingen, workshops, werkoverleggen en de jaarlijkse "Week van de Informatieveiligheid" verder geschoold. De focus lag onder meer op het juiste gebruik van informatie, het ging onder andere om dataminimalisatie, bewust kiezen welke gegevens echt nodig zijn. Ook hebben we aandacht besteed aan wanneer informatie wél nodig is (‘need to know’) en wanneer iets puur extra of interessant is (‘nice to know’), zodat medewerkers alleen delen wat past bij hun taak. Ook hebben we de raad in themasessies bijgepraat over deze ontwikkelingen.

Daarnaast is het informatiebeveiligingsbeleid 2025-2027 vastgesteld. In dat kader zijn risicobeoordelingen uitgevoerd om zicht te krijgen op kwetsbaarheden binnen processen en systemen. Deze analyses vormen de basis voor prioritering van verbetermaatregelen in de komende jaren.

We hebben de Eenduidige Normatiek Single Information Audit (ENSIA) 2024 uitgevoerd. Dit is het landelijke kader waarmee gemeenten jaarlijks verantwoording afleggen over de kwaliteit van hun informatiebeveiliging. Verschillende onderdelen van dit proces worden door een externe IT-auditor getoetst. Het college heeft de gemeenteraad geinformeerd over de uitkomsten van deze audit in de derde kwartaalbrief. In 2025 hebben we van de betrokken toezichthouders een formele terugkoppeling ontvangen waarin zij bevestigen dat we voldoen aan de gestelde eisen van de ENSIA‑audit 2024.

Tot slot hebben we in 2025 een Rekenkameronderzoek gehad over onze informatiebeveiliging. Onderzocht werd in welke mate het beleid aansloot op de uitvoerende organisatie. Niet op alle aandachtsgebieden was op papier, in proces en procedure, een volledige aansluiting aan te tonen met de uitvoerende organisatie. Begin 2025 zijn we begonnen met het opzetten van een Information Security Management Systeem (ISMS). Een ISMS brengt juist samenhang aan in de aansluiting vanuit beleid met de operatie. Met een ‘plan, do, act en control’-cyclus (PDCA) kunnen we deze aansluiting beter bewaken. De aanbeveling van de rekenkamer nemen we op in het ISMS. Met het inrichten van een ISMS acteren we op de aankomende nieuwe verplichtingen van BIO2 (Basline Informatie Bescherming Overheid). De raad zal periodiek over de voortgang geïnformeerd worden.