Informatievoorziening en digitalisering blijven jaarlijks in ontwikkeling. Het blijft daarbij essentieel dat de gemeente ook in 2022 kan blijven voldoen aan de (wettelijke) eisen die hier aan gesteld worden. Landsmeer moet hiervoor de nodige stappen zetten en ondersteuning blijven bieden. Dit leidt tot nieuwe en andere inspanningen.
In 2021 heeft Landsmeer noodzakelijkerwijs de aanwezige ICT hardware (incl. ‘mobile devices’) geïnventariseerd en geregistreerd. Hierna zal vervanging van de hardware gericht moeten worden ingezet. Om een goed overzicht te verkrijgen van alle aanwezige software, systemen, koppelingen, etc. is het noodzakelijk om de ICT infrastructuur in kaart te gaan brengen via configuratiemanagement. Dit is het proces voor het registreren en bijhouden van ICT apparatuur i.c.m. IT componenten. Deze zijn beide continu aan verandering onderhevig en moeten bijgehouden worden.
Om ervoor te zorgen dat diverse mobiele apparatuur veilig kan worden geconfigureerd volgens een generieke set van applicaties, functies en of bedrijfsbeleid is het noodzakelijk om een nieuw Mobile Device Management (MDM) systeem aan te schaffen en in te richten. Hiermee wordt het o.a. mogelijk om ‘op afstand’ software op bijvoorbeeld laptops te installeren. Dit verhoogt aan de ene kant de efficiëntie van de IT infrastructuur, omdat er niet voor elk mobiel apparaat individueel een softwarepakket geüpdatet hoeft te worden. En aan de andere kant zorgt dit, in geval van thuiswerken, voor een efficiëntere ondersteuning van de medewerkers.
Bij doorontwikkeling van ICT is het belangrijk dat de o.a. flexibiliteit, uitwisselbaarheid met mogelijke ketenpartners en leveranciers gewaarborgd blijft.
Informatiebeveiliging en Privacy
Gemeenten zijn verantwoordelijk voor de kwaliteit van hun informatieveiligheid. Dit onderwerp staat bij Landsmeer hoog op de agenda. Om deze reden worden er meerdere onderwerpen en projecten opgepakt om de informatieveiligheid verder te bevorderen binnen de organisatie.
Een ISMS tooling (t.b.v. kwaliteit- en risicomanagement) is aangeschaft en inmiddels geïmplementeerd, dit ten behoeve van de waarborging van alle werkprocessen betreffende informatiebeveiligings- en privacyaspecten. Momenteel vindt er een nulmeting plaats. De uitkomsten van deze nulmeting zullen als informatiebron fungeren voor de verdere implementatie van informatiebeveiliging en privacy binnen de organisatie, voor de jaren 2021 en 2022.
Een bewustwordingscampagne (Awaretrain) ten behoeve van Informatiebeveiliging en Privacy is onlangs gestart voor de medewerkers. Dit pakket is in 2020 aangeschaft en wordt tot het einde van 2021 gefaseerd uitgerold. Er worden diverse onderwerpen aangekaart, zoals bijvoorbeeld het herkennen van phishingmails en de betekenis van ‘social engineering'. In 2022 zal bewustwording binnen de organisatie worden voortgezet. Zo wordt er momenteel nagedacht over de uitrol van een crisisgame in 2022. Het is immers een cruciale maar ook doorlopend onderwerp als het gaat om informatieveiligheid en gegevensbescherming.
Een belangrijk aandachtspunt voor de komende tijd is risico-en contractmanagement. Er zal procedureel gezien meer aandacht worden besteed aan risicomanagement en contractmanagement voor ICT diensten en samenwerkingsverbanden met andere overheidsinstanties en organisaties (samenwerking tussen Inkoop, Informatievoorziening, ICT, Informatiebeveiliging en Privacy).
Het register van verwerkingen voldeed in 2020 nog niet geheel aan de voorwaarden die de AVG eraan stelt. Aangezien het register een overzicht geeft van alle processen waarin persoonsgegevens worden gebruikt, en inzicht geeft in hoe met die persoonsgegevens wordt omgegaan, is het van belang om in 2021 dit register in orde te maken. Hier wordt momenteel aan gewerkt en zal in 2022 worden voortgezet.
Er wordt gewerkt aan het landelijke programma ‘Verhogen digitale weerbaarheid’ van de VNG en de daaruit voorvloeiende (deel)projecten. Zo wordt er dit jaar nog samengewerkt met de Informatiebeveiligingsdienst voor de inzet van een tool, en worden er gesprekken gevoerd met KPN om een risicoanalyse uit te voeren voor GGI veilig.
De gemeente kan voor een aantal gegevensverwerkingen verplicht zijn om een risicoanalyse uit te voeren (een zgn. ‘Data Protection Impact Assessment’ of DPIA). Hier valt nog veel te behalen voor de komende jaren.
Het is niet alleen wettelijk verplicht in sommige gevallen een DPIA uit te voeren, het is ook wenselijk om zo mogelijke risico’s in beeld te krijgen en maatregelen te treffen om iets te doen aan geconstateerde risico’s. Inmiddels is er inzichtelijk gemaakt welke DPIA’s uitgevoerd dienen te worden, en is er begonnen aan een procedure hiervoor. Het uitvoeren van DPIA’s is echter een tijdrovende traject, en te weinig mankracht hiervoor zal de werkzaamheden kunnen vertragen.
Er wordt gewerkt aan een plan de campagne voor de WPG (Wet Politie Gegevens) audit die wettelijk verplicht is dit jaar. Deze audit zal naar verwachting in 2022 plaatsvinden.
De opstelling van beleid en diverse procedures rond Informatiebeveiliging en Privacy zal, zoals voorgaande jaren, ook worden opgesteld. Zo zal de ‘Procedure Incidentmanagement’ binnenkort worden vastgesteld en het ‘Privacy beleidskader’ worden herzien.