In 2016 is gestart met de structurele borging van informatiebeveiliging en privacy binnen onze organisatie. Hiervoor geldt de wettelijke grondslag op basis van de baseline informatiebeveiliging gemeenten, de wet bescherming persoonsgegevens en de Algemene verordening gegevensbescherming die per 25 mei 2018 van kracht wordt. In 2017 is daar de implementatie van de eenduidige normatiek single informatie audit (ENSIA) bijgekomen.

In de periode 2018-2021 is de gemeente Stein nog volop bezig met de implementatie van informatiebeveiliging en privacy. Voor privacy zal op basis van het in 2017 vastgestelde privacybeleid en  implementatieplan onze meest risicovolle processen onderworpen worden aan een data privacy impact analyse (DPIA). Dit leidt mogelijk tot aanpassingen van de primaire processen op basis van de procesplannen als output van deze DPIA’s. Voor deze autonome ontwikkelingen is in de kadernota  2018 budget opgenomen  van € 74.000 in 2018, € 54.000 in 2019 en € 74.000 in 2020 en 2021.

Door de snelle maatschappelijke- en technologische ontwikkelingen en toenemende cybercriminaliteit worden de risico’s op dit gebied steeds groter. Om deze risico’s te verkleinen worden de wettelijke eisen en richtlijnen voor overheidsorganisaties steeds verder aangescherpt met als gevolg dat we nieuwe en aanvullende organisatorische en technische maatregelen dienen te implementeren om onze processen hieraan te laten voldoen. Vanwege de dynamiek van deze ontwikkelingen is het moeilijk om exact de hiervoor aanvullende financiële middelen op voorhand in te schatten. In de begroting 2018 is hiervoor vooralsnog een incidenteel bedrag van € 50.000 opgenomen. In 2018 zal inzichtelijk gemaakt worden welk bedrag dat structureel hiervoor nodig is.  

Bij noodzakelijke (organisatorische en/of technisch) maatregelen valt te denken aan:

1. Gebruik van nieuwe vormen van identificatie en/of technologieën zoals:
   1. Biometrie gegevens en vingerafdrukken bij identificatie;
   2. Gezichtsherkenning in samenhang met cameratoezicht.
2. Gebruik van nieuwe technologie en middelen om cybercriminaliteit tegen te gaan, zoals:
   1. Inzet Ethisch hacker (door middel van hacken fouten en veiligheidslekken op te sporen in de systemen en netwerken);
   2. Inzet Social engineering (techniek waarbij een computerkraker een aanval op computersystemen tracht te ondernemen door de zwakste schakel in de beveiliging, namelijk de mens, te kraken);
   3. Toepassen Hardening (is om overbodige functies in besturingssystemen uit te schakelen en/of van het systeem te verwijderen);
   4. Uitvoeren Pentest (is een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken).
3. Verschuivingen in de werkwijze van de organisatie, en de manier waarop persoonsgegevens worden verwerkt, zoals:
   1. Het verhogen en borgen van de kwaliteit bij het verwerken hiervan;
   2. Nieuwe verwerkingen van persoonsgegevens en gebruik van gegevens voor andere processen en doelen dan waarvoor ze zijn verzameld, of bredere verspreiding van de gegevens binnen of buiten de organisatie bij ketensamenwerking;
4. Verhoging en verbetering van de beveiliging en privacy ten aanzien van locaties, processen,  ICT omgeving, applicaties en gegevens, zoals:
   1. Verplichte vervanging en/of aanschaf van nieuwe systemen en/of databases waarin persoonsgegevens worden opgeslagen;
   2. Functionele uitwijk van de balies bij uitval en calamiteiten zodat de dienstverlening gecontinueerd kan worden;
   3. Fysieke beveiliging van onze gebouwen, apparatuur,voedings- en telecommunicatiekabels voor dataverkeer of ondersteunende informatiediensten;
   4. Autorisaties van onze applicaties (kroonjuwelen) en extra beveiliging van bedrijfsmiddelen (printers, mobile devices, beamers, etc.);
   5. Aanpassingen en hogere veiligheidseisen naar aanleiding van beveiligingsincidenten en datalekken;
   6. Beschikbaarheids- en betrouwbaarheidseisen rondom onze digitale dienstverlening;
   7. Aanpassingen aan onze website, beveiliging van het mailverkeer, opslag van persoonsgegevens en de monitoring hiervan applicatieniveau.