Informatievoorziening Doordat de invoering van de Omgevingswet met een jaar is doorgeschoven naar 2022 werd de aansluiting op het Digitaal Stelsel Omgevingswet (DSO) niet in 2020 gerealiseerd. Er zijn wel voorbereidingen getroffen, met name door de keuze van de softwaresystemen. Wij hebben het Liemerse document "I-visie en I-strategie 2020-2022" geaccordeerd. Centraal staan bedrijfscontinuïteit van bestaande ICT- en informatievoorzieningen en het toepassen van wettelijke regels en het uitvoeren van afspraken (“samen organiseren”) die via de VNG zijn gemaakt. Naast de VNG-brede samenwerking zijn we lid geworden van Dimpact. Dat is een coöperatie van gemeenten rond systemen voor publieke dienstverlening. Directe aanleiding was de noodzakelijke vervanging van de motor achter de websites van Liemerse gemeenten. Mogelijk kunnen we in de toekomst nog meer profiteren van en bijdragen aan deze samenwerking. De afhankelijkheid van ICT valt het meest op wanneer er verstoringen zijn. Helaas waren er in 2020 meer storingen dan voorheen. Door de RID is geanalyseerd wat incidenten zijn en wat structureel van aard is. Daaruit trekken we lessen naar de toekomst. Datagedreven sturen Zevenaar heeft in 2020 nieuwe pilots uitgevoerd om informatie duidelijker en toegankelijker te maken. Hierdoor kan adequaat worden gestuurd en beleid worden verrijkt met data. De resultaten zijn dermate positief dat we het instrument verder ontwikkelen en integreren in de bedrijfsvoering. In eerste instantie gebeurt dat vooral met toepassingen in het sociaal domein en rond vergunningen, toezicht en handhaving. De landelijke toeslagenaffaire illustreert dat we terecht zeer alert zijn op ethische vraagstukken van data-gebruik. Informatiebeveiliging en Privacy Als gemeente zijn we schatbewaarder van een breed scala van data, zowel van inwoners als van ondernemers en andere organisaties. Door het gebruik van deze data kunnen wij onze dienstverlening steeds verder verbeteren en optimaliseren en een bijdrage leveren aan realiseren van het raadsprogramma, het coalitie akkoord en de missie en visie van onze gemeente. Gemeenten moeten zich elk jaar verantwoorden over de kwaliteit van de informatieveiligheid van diverse informatiesystemen. Dit moet verplicht met de audit systematiek Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Overheid ( BIO ). Dit gebeurt door middel van een zelfevaluatie op de normen van de BIO aangevuld met zelfevaluaties op de Basisregistraties en een audit op de normen van het gebruik van DigiD en Suwinet. Baseline Informatiebeveiliging Overheid Uit de zelfevaluatie op de BIO blijkt dat veel maatregelen al (gedeeltelijke) geïmplementeerd zijn en de bevindingen uit 2019 zijn opgepakt. Wel zien we dat de uitvoer van een aantal maatregelen nog niet gerealiseerd is doordat we in 2020 meer ICT storingen hebben ondervonden waarop capaciteit moest worden ingezet. De belangrijkste aanbevelingen voor het komende jaar liggen op het gebied van het structureel inrichten van (periodieke) controles en monitoring (Zevenaar in Control), verbeteren van toegangscontrole en autorisatiebeheer binnen applicaties, het borgen van informatiebeveiliging bij inkoop van IT diensten en de doorontwikkeling van informatiebeveiliging met Microsoft 365.
DigiD en Suwinet In maart 2021 is door het College van B&W een collegeverklaring DigiD en Suwinet afgegeven over de ENSIA verantwoording 2020. Met de ENSIA-collegeverklaring geeft het college aan in hoeverre de beheersingsmaatregelen voldoen aan de normen die gelden voor Suwinet en DigiD. Uit de zelfevaluatie blijkt dat de gemeente aan alle normen voor Suwinet voldoet, maar dat voor DigiD niet aan alle normen wordt voldaan. Het betreft 1 norm waaraan de IT-serviceorganisatie niet volledig voldoet. De auditor van de serviceorganisatie heeft geconstateerd dat de kwetsbaarheden afdoende zijn gemitigeerd en er een verbeterplan is opgesteld. De bevindingen uit de collegeverklaring zijn in het 1e kwartaal van 2020 nog apart getoetst door een IT-auditor en deze heeft de juistheid van de collegeverklaring bekrachtigd.
Zelfevaluaties Basisregistraties Over de Basisregistratie Adressen en Gebouwen (BAG), de Basisregistratie Grootschalige Topografie (BGT) en de Basisregistratie Ondergrond (BRO), Basisregistratie Personen (BRP) en de Paspoortuitvoeringsregeling (PUN) moet de gemeenten verantwoording afleggen door middel van een verantwoordingsrapportage. De verantwoordingsrapportages geven een oordeel over de borging van het proces en de tijdigheid, de volledigheid en de juistheid van de basisregistraties van de BAG, BGT en BRO en de normen die behoren bij de BRP en PUN. De rapportages laten zien dat de gemeente Zevenaar aan haar verplichtingen voldoet. Verbeteradviezen voortvloeiend uit deze rapportage worden in 2021 verder uitgezet.
Incidenten en datalekken In 2020 zijn 15 datalekken geregistreerd waarvan 5 datalekken ook gemeld bij de Autoriteit persoonsgegevens. Geen van deze lekken was de oorzaak van een IT-incident, in alle gevallen was er sprake van menselijk handelen. Afgelopen jaar zijn er (landelijk) een aantal beveiligingsincidenten geweest, deze zijn tijdig gesignaleerd en hebben niet geleid tot ongeoorloofd verlies van beschikbaarheid, integriteit en betrouwbaarheid van de gegevens. De incidenten zijn geëvalueerd en aandacht- en verbeterpunten worden doorgevoerd in de processen.
Privacybescherming Privacy is een doorlopend proces dat zich steeds beter verankerd binnen de organisatie, maar ook complex is, gezien de diversiteit van taken binnen de gemeente. Het bewustzijn over het verwerken van persoonsgegevens neemt toe maar levert ook weer nieuwe vraagstukken op. We zien dat privacy maatregelen op onderdelen niet voldoende ingebed zijn binnen de processen van de gemeente en dit vraagt de komende jaren ook nog blijvend aandacht. Ook op het gebied van informatiebeheer, opslag en beschikbaarheid tot privacygevoelige informatie staan verbeteracties gepland. Tot slot zien we een duidelijke ontwikkeling in de samenwerking bij de implementatie van nieuwe processen en wetgeving met de VNG. Hierdoor wordt optimaal gebruik gemaakt van de kennis en ervaring en is privacy ook een standaard onderdeel van het implementatietraject. In 2020 hebben diverse burgers gebruik gemaakt van het recht op inzage, verwijdering of informatie over de verwerking van persoonsgegevens bij de gemeente Zevenaar. Dit heeft op enkele onderdelen veel capaciteit en inzet verlangt van de organisatie. Het belang van een goede informatievoorziening en dossiervorming is dan van belang om aan de privacywetgeving te kunnen voldoen. Digitaal archiefbeheer Het voornemen om met de deelnemende gemeenten in het Streekarchivariaat te bepalen op welke manier we onze taakstelling rond het e-depot vorm gaan geven, is nog niet afgerond. Hiertoe vindt extern onderzoek plaats naar de aansluiting op een e-depot voor digitale informatie in een naburige regio. |