Informatiebeveiliging en privacy

De Gemeente Hulst heeft in 2024 het hoge niveau van informatiebeveiliging vast kunnen houden. Dit is bereikt door goede procedures en regelmatige controles in de processen. Het bewustzijn over informatiebeveiliging is verhoogd door verschillende campagnes. Het bestaande strategisch informatiebeleid is uitgevoerd met hulp van de CISO en Privacy Officer van de Gemeente Hulst. Het uitstellen van de invoering van de Cyberbeveiligingswet (CbW) zorgde ook voor uitstel van de nieuwe maatregelen uit de BIO 2.0. Dit zal naar verwachting in 2025 volgen.

Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. In 2024 hebben wij als gemeente ingezet op de werking van de normen uit de BIO. De geldende en nieuwe procedures zijn periodiek gecontroleerd en er is actie genomen waar nodig. In Nederland is de implementatie van de Cyberbeveiligingswet (CbW) uitgesteld naar het derde kwartaal van 2025. De CbW is de Nederlandse implementatie van de Europese richtlijn NIS2 (netwerk- en informatiebeveiligingsrichtlijn 2). Er is daarom nog geen implementatie van de BIO 2.0 mogelijk. De voorbereidingen zijn wel gestart.

In 2024 zien we een verschuiving van aanvallen naar data-diefstal in plaats van data-versleuteling. Bij data-diefstal worden de gegevens van organisaties gestolen en verkocht, maar de organisatie kan blijven functioneren. Bij data-versleuteling worden de gegevens ontoegankelijk gemaakt en vragen de aanvallers om losgeld. In deze situatie kan de organisatie niet functioneren. De maatregelen voor het voorkomen en verhelpen van beide soorten aanvallen zijn gelijk. De Gemeente Hulst blijft de verbetering van deze maatregelen opvolgen. Ook in 2024 heeft de Gemeente Hulst meegedaan aan de landelijke Cyberoefening.

In 2024 zijn nieuwe onderwerpen meegenomen in de bewustwordingscampagne. Elk kwartaal komen er nieuwe onderwerpen aan bod. In 2024 is aandacht gegeven aan veilig internetgebruik, veilig e-mailen en kunstmatige intelligentie. Na de campagne over veilig e-mailen zagen we een toename in het melden van verdachte e-mails. Hieruit blijkt dat de campagne goed is ontvangen en dat de bewustwording is toegenomen bij de medewerkers van de Gemeente Hulst.

ENSIA (Eenduidige Normatiek Single Information Audit) ondersteunt de gemeente bij het in één keer slim verantwoording afleggen over informatieveiligheid gebaseerd op de BIO met inbegrip van de specifieke normenkaders voor de BRP, Waardedocumenten, BAG, BGT, BRO, DigiD en Suwinet. Uitgangspunt hierbij is de horizontale verantwoording aan de gemeenteraad. Deze vormt de basis voor het verticale verantwoordingsproces aan nationale partijen die een rol hebben in het toezicht op informatieveiligheid. De nadruk van de ENSIA lag in 2024 op de werking van de maatregelen.

De verplichte zelfevaluaties zijn uitgevoerd op het gebied van:

• Basisregistratie Personen (BRP);
• Waardedocumenten;
• Basisregistratie Adressen & Gebouwen (BAG);
• Basisregistratie Grootschalige Topografie (BGT);
• Basisregistratie Ondergrond (BRO);
• DigiD (t.b.v. digitale dienstverlening);
• Structuur uitvoeringsorganisatie Werk & Inkomen (Suwinet);

Er zijn van deze zelfevaluaties/audits rapporten beschikbaar waarin de bevindingen en conclusies zijn vastgelegd. Algeheel resultaat van ENSIA is dat we op alle deelterreinen voldoen aan de gestelde normen.