Omgaan met veiligheidsincidenten was een belangrijk onderdeel van ons dagelijks werk
Er kwamen 177 veiligheidsmeldingen binnen via ons interne Topdesk portaal (2021 : 187). Bij het grootste aantal hiervan ging het om spammeldingen. Deze leidden niet tot incidenten. Van de Informatiebeveiligingsdienst Nederlandse Gemeenten (IBNG) kwamen veel meldingen binnen. In samenwerking met ICT Samen reageerden we alert en handelden we de meldingen volgens procedure af. ICT Samen stelde een informatiebeveiliger om zo de informatiebeveiliging verder te professionaliseren. Er kwamen in tegenstelling tot andere jaren geen meldingen binnen via de mogelijkheid op de website.
Datalekken pakten wij serieus op
Datalekken zijn incidenten met persoonsgegevens. Deze pakten we op via een aparte procedure en meldden we in een intern datalekregister. We beoordeelden aan de hand van het risico voor betrokkenen of we het lek moeten melden aan de Autoriteit Persoonsgegevens (AP) en aan de direct betrokkenen. We namen 10 incidenten op in het interne datalekregister waarbij mogelijk persoonsgegevens betrokken waren en daarvan beoordeelden we er negen als datalek. Van die negen was er één zodanig dat we die bij de Autoriteit Personen meldden.
Bewustwording hielp om het aantal veiligheidsincidenten te beperken
Binnen uitvoeringsplan 'Structurele aandacht voor informatiebeveiliging en privacy' verplichtten we nieuwe collega's deelname aan de geactualiseerde bewustwordingsgame 'spion op je pad'. We organiseerden dit jaar 11 sessies voor in totaal 83 medewerkers. We schaften een programma aan waarmee we bewustwording structureel kunnen inzetten in de organisatie. We hielden met de VNOG als initiatiefnemer een cyberoefening waarbij o.a. openbare orde en veiligheid, college, CISO, FG, management en politie deelnamen.
We legden verantwoording af over onze informatieveiligheid
Wij legden verantwoording af over informatieveiligheid via de Eenduidige Normatiek Single Information Audit (ENSIA) via de Collegeverklaring en de jaarrekening. Dit alles werd vooraf door een externe auditor beoordeeld en akkoord bevonden. Voor één van de digid-aansluitingen was eerst een her-audit nodig omdat het autorisatieproces beter kon. Na onze aanpassingen was zowel de auditor en Logius (zij beheert de landelijke generieke ict-voorzieningen voor het Ministerie van Binnenlandse Zaken) akkoord.
We pasten onze beleidskaders aan voor verschillende onderwerpen
- We stelden een nieuw informatiebeveiligingsbeleid 2022-2026 vast.
- We werkten aan een nieuw privacy beleid en dat is bijna klaar voor besluitvorming.
- Het onderwerp digitale weerbaarheid en veiligheid inwoners en bedrijven uit de resolutie 'Digitale Veiligheid' namen we mee in het opstellen van het 'Integraal veiligheidsbeleid 2023-2026', waar in februari 2023 over beslist wordt. Een voorbeeld van preventie is de informatiebijeenkomst 'Bescherm uzelf tegen fraude en oplichting' die we in oktober in Steenderen hielden.
- Via twee onderzoeken keek zowel de rekenkamer (Rekenkameronderzoek) als een externe partij namens de provincie (Project Troje) naar informatieveiligheid vanuit de oogpunten 'techniek, mens en organisatie'. De uitkomsten van beide rapporten namen we op in ons jaarplan.