Het jaar 2021 stond, net als het jaar 2020, in het teken van de implementatie van de Baseline Informatieveiligheid Overheid (BIO). Een groot onderdeel van dit project was beleidsmatig van aard. Zo stelden we in 2021 het geactualiseerde informatiebeleid vast en bereidde de BWB diverse beleidsdocumenten voor op het gebied van logische en fysieke toegangsbeveiliging en van veilig gebruik van mobiele apparaten. Daarnaast zijn de procedures voor backup en kleine wijzigingen in de software (patches) aangepast. Vaststelling van dit beleid is voorzien voor het eerste kwartaal van 2022.
Praktische zaken die we regelden waren de twee-factor authenticatie op de webmailomgeving en een onderzoek op basis van de geleerde lessen door de gemeente Hof van Twente. De gemeente Hof van Twente deelde de geleerde lessen naar aanleiding van de hack van hun systemen met alle gemeenten. BWB onderzocht in hoeverre de kwetsbaarheden op onze informatiebeveiliging van toepassing was. De kwetsbaarheden van Hof van Twente waren beperkt ook voor onze systemen van toepassing. Hier werd direct actie op ondernomen.
Eind 2021 speelde de landelijke kwetsbaarheid in diverse programma’s, LOG4SHELL, ook bij ons en heeft de BWB de door de Informatiebeveiligingsdienst aanbevolen acties direct opgevolgd.
Op het gebied van bewustwording van de risico’s voor de informatiebeveiliging organiseerde de Chief Information Security Officer (CISO) een phishingtest, een workshop ‘Word een hacker’ en informatie over de risico’s van open Wifi-netwerken. Tijdens een bijeenkomst voor raadsleden gaf de BWB een presentatie over informatiebeveiliging in het algemeen en de hack van Hof van Twente in het bijzonder.
De ENSIA (eenduidige single information audit) cyclus van 2021 rondden we begin 2022 af. Gemeente West Betuwe komt hier globaal gezien voldoende uit wat inhoudt dat de informatiebeveiliging op orde is. 100% veilig bestaat echter niet, daarom blijft continue doorontwikkeling en aandacht voor bewustwording noodzakelijk.
In de loop van 2021 ontstond, door vertrek, een vacature van de CISO. Omdat dit een moeilijk vervulbare functie betrof, huurde BWB in het tweede half jaar tijdelijk beperkte capaciteit in. Begin 2022 vulde BWB de vacature definitief in.
Privacy
In 2021 voerden we via de BWB een DPIA (een risicoanalyse van een proces waarin persoonsgegevens worden gebruikt) uit op het zaaksysteem. En gaven, waar mogelijk, opvolging aan de aanbevelingen. Aandacht is nodig voor de invulling van voldoende capaciteit voor de privacy-officer en actualisatie van het beleid en het verwerkingsregister. Dit geven we in 2022 verder vorm.