Omgaan met veiligheidsincidenten is een belangrijk onderdeel van ons dagelijks werk

Er kwamen 187 veiligheidsmeldingen binnen via ons interne Topdesk portaal. Dit aantal was flink hoger dan voorgaande jaren. Met name het aantal spam/phishing mails nam toe. De meeste meldingen zijn meteen opgepakt en afgehandeld. De kwetsbaarheid binnen Log4j pakten we samen met de regionale samenwerking ICT op, in een crisisorganisatiestructuur. Dit vergde in een korte tijd veel inzet.

Datalekken pakken wij serieus op

Datalekken zijn incidenten met persoonsgegevens. Deze pakten wij op via een aparte procedure en meldden we in een intern datalekregister. We beoordeelden aan de hand van het risico voor betrokkenen of we het lek moeten melden aan de Autoriteit Persoonsgegevens (AP) en aan de direct betrokkenen. In 2021 meldden we intern 19 incidenten. Hiervan ging het in 15 gevallen daadwerkelijk om een datalek. Daarvan meldden we 6 datalekken bij de AP.

Bewustwording kan helpen om het aantal veiligheidsincidenten te beperken

Naast berichten op ons intranetplatform zette de rekenkamer een zogenaamde ‘phishing’ campagne uit. Medewerkers kregen een ‘nep’ e-mail toegestuurd die kenmerken bevatte van een echte phishing e-mail. Hiermee proberen hackers vertrouwelijke gegevens binnen te halen. Klikte een medewerker op het bericht dan kwam die op een pagina met uitleg over het gevaar en welke kenmerken een phishing e-mail heeft. Nieuwe medewerkers kregen een nieuw document ’Gedragsregels informatiebeveiliging en privacy uitgereikt bij de indiensttreding

We willen voldoen aan de Baseline informatiebeveiliging Overheid (BIO)

De BIO is de basisnorm voor informatiebeveiliging binnen alle overheidslagen. Om aan de BIO te voldoen moeten wij aan veel maatregelen en controles voldoen. Vanwege onze samenwerking op automatisering met Doetinchem zit een gedeelte van de maatregelen bij ICT-samen. Met name op dit deel waren we weer vooruitgegaan door enkele extra beveiligingsmaatregelen en procedures.

We maakten een start met het invullen van de Integrale Risico en Privacy Analyse (IRPA). Dit is een nieuwe tooling van de Informatiebeveiligingsdienst Gemeenten (IBD). Met de resultaten kwamen de risico’s beter in beeld waar we beter maatregelen op kunnen nemen.

We leggen verantwoording af over onze informatieveiligheid

Verantwoording over onze informatieveiligheid over het jaar 2020 verliep in 2021 via de ENSIA procedures. Voor 4 DigiD aansluitingen (Website, PIP mijninkomen, iBurgerzaken en iParticipatie) gebeurde dit door externe audits. Dit gold ook voor de Suwinet-aansluiting. Daarnaast voerden we zelfevaluaties uit voor ENSIA, paspoort- en reisdocumenten en voor de basisregistraties BAG, BGT en BRO.

De taken op het gebied van informatiebeveiliging en privacy nemen toe

De informatiebeveiliging- en privacy organisatie hadden we robuuster neergezet door taakverschuivingen en uitbreiding binnen het cluster. Het vraagt aandacht om capaciteit vrij te blijven maken.