Bedrijfsvoering

In 2024 is het informatiebeveiligingsteam versterkt met twee specialisten. Hun focus ligt op de voorbereiding op nieuwe wetgeving op het gebied van cyberbeveiliging, zoals de NIS2-richtlijn (EU) en de Nederlandse Cyberwetgeving. Ze zijn gestart met bewustwordingscampagnes, risicomanagement en het verhogen van de weerbaarheid van onze gemeente bij een cybercrisis. Als onderdeel hiervan hebben we eind 2024 een cybercrisisoefening uitgevoerd, waarin we een scenario doorliepen waarbij onze IT-dienstverlening tijdelijk niet beschikbaar was. 

Daarnaast is de functie van CISO uitgebreid naar een volledig dienstverband. Voorheen was dit 0,5 fte. Met de komst van nieuwe wetgeving, de toenemende dreigingen en de groeiende impact van informatiebeveiliging is het belang van deze rol alleen maar verder toegenomen.  
De trend ten aanzien van datalekken is in 2024 hetzelfde gebleven. De meeste datalekken ontstaan nog steeds door verkeerd geadresseerde mail of post. In het afgelopen jaar zijn  twee datalekken bij de Autoriteit Persoonsgegevens gemeld.  

We hebben in 2024 de opleidingsvorm van NanoLearning voortgezet. Daarmee krijgen medewerkers elke drie weken via e-mail een korte training van enkele minuten op het gebied van informatieveiligheid en privacybescherming. Ongeveer 40% van de organisatie doet iedere drie weken mee aan de korte trainingen. Extra aandacht voor het programma kan de deelname mogelijk verhogen.  

Op grond van de AVG hebben inwoners verschillende rechten. Bijvoorbeeld het recht op inzage en het recht om waar mogelijk gegevens te laten verwijderen. In 2024 zien we een exponentiële groei ten aanzien van deze verzoeken. In 2023 ontving de gemeente slechts drie verzoeken. In 2024 is dit aantal gestegen naar dertien. Het behandelen van de verzoeken vergt veel capaciteit van zowel de privacy officers alsook de betrokken domeinen.  

Afgelopen jaar is er een inhaalslag gemaakt in het actualiseren van het verwerkingsregister. Dit is zo goed als afgerond waardoor we beter inzicht hebben in de processen en bijbehorende verwerkingen waarbij persoonsgegevens worden gebruikt.  

Er worden nog onvoldoende privacy impact analyses uitgevoerd op bestaande processen. Deels komt dat door gebrek aan capaciteit van de domeinen zelf.  Daarnaast beschikte de privacy afdeling in 2024 ook over verminderde capaciteit als gevolg van tijdelijke onderbezetting en de exponentiële toename van inzageverzoeken). De verwachting is dat in de loop van 2025 het privacy team weer volledig gevuld is.