Jaarrekening 2018

Paragraaf bedrijfsvoering

Informatievoorziening en automatisering

Samenwerking I&A
Wij hebben gesprekken gevoerd met de gemeente Zwolle om de samenwerking te verkennen op het gebied van Informatievoorziening; de I&A functie. Zwolle heeft aangegeven op dat moment daar nog niet in te kunnen voorzien. Medio 2019 zullen wij de gesprekken hervatten. Aan de I&A functie geven wij nu tijdelijk invulling middels een I&A trainee. Met het Shared Service Centrum ONS hebben we gesproken over samenwerken op het gebied van automatisering. Meer hierover staat beschreven onder het kopje Samenwerking.

I&A beleid
In 2017 heeft Dalfsen aan M&I Partners de opdracht gegeven om een Strategische Informatievisie te ontwikkelen. Dit heeft geleid tot het Bedrijfsinformatieplan Dalfsen 2019 – 2021, waarin concrete projecten en werkzaamheden zijn opgenomen die vanaf 2019 zullen worden uitgevoerd, waaronder een vertaling van de doelstellingen van de Digitale Agenda 2020. Daarnaast zijn er in 2018 voorbereidingen getroffen voor de implementatie van de Omgevingswet. Deze werkzaamheden zullen eveneens starten in 2019.

Sharepoint
Om de samenwerking intern te bevorderen maken we gebruik van een SharePoint omgeving. De ontwikkelingen gaan snel en de Sharepointomgeving moet worden geactualiseerd. Daarmee is een start gemaakt.

Informatiebeveiliging (IB)
De gemeente Dalfsen werkt met veel vertrouwelijke gegevens, dit geldt zowel voor onze eigen bedrijfsvoering als voor de vele gegevens van onze burgers. Om onze burgers goed van dienst te kunnen zijn, beschikken onze medewerkers over veel privacygevoelige data. Daarnaast wisselen we als gemeente deze informatie intern en extern uit en beheren we dit op vele manieren. Het is van belang dat we als gemeente zorgvuldig omgaan met deze informatie en dat we een betrouwbare en continue dienstverlening kunnen leveren. Een niet-adequate beveiliging van deze gegevens kan imagoschade opleveren, maar ook grote gevolgen hebben voor onze bedrijfsvoering én inwoners. Informatiebeveiliging is daarom een randvoorwaarde voor een professionele gemeente.

Belangrijk is om op te merken dat 100% veilig en toekomstbestendig niet bestaat, kwetsbaarheden, dreigingen en daarmee ook het informatiebeveiligingsproces, veranderen continu. We zullen als gemeente constant in beweging moeten zijn, in moeten haken op nieuwe ontwikkelingen en passende maatregelen moeten treffen op basis van risicomanagement.

Actieplan en beheersmaatregelen Informatieveiligheid
In 2018 zijn we bezig geweest met het implementeren van de Baseline Informatiebeveiliging Gemeenten (BIG). In dit normenkader staan beheersmaatregelen centraal welke op basis van risicomanagement geïmplementeerd dienen te worden. Hiervoor wordt elk jaar een risico analyse uitgevoerd en een actieplan opgesteld.

In 2018 hebben we de volgende actiepunten uit de BIG uitgevoerd:

  • Bewustwording; In 2018 zijn we gestart met een bewustwordingscampagne Informatiebeveiliging en privacy. Deze campagne loopt tevens in 2019 door. Elke maand staat een nieuw thema centraal, om de medewerkers via ludieke acties, intranetberichten en andere informatievormen om het risicobewustzijn van de medewerkers te vergroten. De mens is en blijft namelijk de zwakste schakel in de informatiebeveiliging.
  • Verantwoordelijkheid en eigenaarschap; Er is nieuw leven geblazen in het beveiligingsoverleg, de leden van het beveiligingsoverleg (governance informatieveiligheid) zijn en voelen zich nog meer eigenaar en betrokken bij het actieplan en de te treffen maatregelen. Tevens worden het MT en DT nog meer op de hoogte gehouden van de ontwikkelingen, incidenten en overige gebeurtenissen o.a. door rapportages.
  • Incidentmanagement; Het proces rondom het melden van incidenten en het opvolgen daarvan is verbeterd het afgelopen jaar. De rollen en verantwoordelijkheden zijn van de actoren verduidelijkt en medewerkers weten nu beter te vinden waar en wanneer ze iets moeten melden. Beveiligingsincidenten kunnen leiden tot informatie en/of gegevens die verloren gaan of onbedoeld gewijzigd worden. Het is daarom belangrijk om snel en adequaat te kunnen reageren bij een incident. De ontwikkelingen van het afgelopen jaar hebben dit nog beter mogelijk gemaakt.
  • ICT-maatregelen; Team Automatisering heeft zich in 2018 tevens ingezet om meer ICT-maatregelen te treffen op het gebied van informatiebeveiliging die vanuit de BIG werden voorgeschreven/geadviseerd o.a. het verbeteren van wijzigingsmanagement en zonering.

Eind 2018 is opnieuw geanalyseerd in hoeverre Dalfsen voldoet aan de BIG. De uitkomst hiervan is een score van 79%. Dit is landelijk gezien een bovengemiddelde score voor de fase waarin gemeenten zich nu bevinden.

Collegeverklaring ENSIA inzake informatiebeveiliging DigiD en SUWInet
Elk jaar moeten wij ons verantwoorden over de kwaliteit van de informatieveiligheid van diverse informatiesystemen. In 2018 is dit voor het tweede keer gebeurd door middel van de audit systematiek: de Eenduidige Normatiek Single Information Audit (ENSIA). Alle gebieden binnen de organisatie worden hierbij meegenomen: de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling, Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet). Maar ook personele beveiliging, fysieke beveiliging en automatisering.

Het beoogde resultaat van het project ENSIA is de borging van informatiebeveiliging en de verantwoordingsplicht in de gemeentelijke PDCA-cyclus. Naast een zelfevaluatie op basis van de BIG, moeten wij als gemeente aan kunnen tonen aan de betreffende toezichthouders dat wij voldoen aan de belangrijke normen op het gebied van DigiD en Suwinet. Over deze twee vakgebieden zal een audit plaatsvinden in het eerste kwartaal van 2019. Verticale verantwoording daarvan vindt plaats aan de ministeries van BZK en SZW.

De verantwoording van ons college aan uw raad over deze twee processen zal in de loop van 2019 plaatsvinden middels een collegeverklaring en een audit-rapport.