1 Bedrijfsvoering

Informatievoorziening en informatieveiligheid

Samenwerking I&A
In het verleden hebben wij meerdere gesprekken gevoerd om een samenwerking met de gemeente Zwolle op het gebied van de informatievoorziening te realiseren. Zwolle heeft aangegeven vanwege reorganisatie (vooralsnog) geen mogelijkheden te zien. Vanwege het grote belang van deze functie hebben wij besloten om de vacature zelf in te vullen. Uiteraard blijven we in gesprek over samenwerkingsvormen.

Informatievoorziening (IV)
In 2019 is Dalfsen verder gegaan met voorbereidingen op de Omgevingswet, onder andere door het upgraden van de software voor onze huidige bestemmingsplannen. Deze voorbereidingen krijgen in 2020 een vervolg met de software voor de afdeling Publieksdienstverlening.

Er is daarnaast gestart met een actualisatie van het Bedrijfsinformatieplan (BIP), temeer omdat de meest concrete doelstelling van het huidige BIP begin 2020 gerealiseerd gaat worden: het verplaatsen van de ICT naar SSC ONS.

In 2019 zijn eerste stappen gezet met het optimaliseren van de informatiestromen tussen de verschillende afdelingen van de gemeente door de mogelijkheid om organisatiebreed dashboards te ontwikkelen met data uit verschillende bronnen. De technische randvoorwaarden zijn in 2019 gereed gemaakt, waarbij de verdere invulling 2020 gaat plaatsvinden.

Het vervangen van het financiële informatiesysteem verloopt overeenkomstig de planning. Na het opstellen van een projectverkenning is in augustus 2019 het projectplan door het directieteam vastgesteld. In het derde kwartaal is een marktverkenning gehouden. Mede op basis daarvan is in het najaar een Europese aanbesteding uitgeschreven. Begin maart 2020 is tot het voornemen van gunning besloten. Het nieuwe systeem is van  betekenis voor de financiële informatievoorziening van de gehele organisatie onder andere door het tegelijkertijd invoeren van een integrale verplichtingenadministratie.

Informatiebeveiliging (IB)
Informatie moet beschikbaar, actueel, volledig en betrouwbaar zijn. Daarnaast mag informatie alleen door bevoegden worden ingezien. Een niet-adequate beveiliging van deze gegevens kan imagoschade opleveren, maar ook grote gevolgen hebben voor onze bedrijfsvoering én inwoners. Informatiebeveiliging is daarom een randvoorwaarde voor een professionele gemeente.
Belangrijk is om op te merken dat 100% veilig en toekomstbestendig niet bestaat, kwetsbaarheden, dreigingen en daarmee ook het informatiebeveiligingsproces, veranderen continu. We zullen als gemeente constant in beweging moeten zijn, in moeten haken op nieuwe ontwikkelingen en passende maatregelen moeten treffen op basis van risicomanagement.

Baseline Informatiebeveiliging Overheid (BIO)
In 2019 is de gemeente Dalfsen begonnen met de implementatie van de Baseline Informatiebeveiliging Overheid (BIO). Deze baseline vervangt de Baseline Informatiebeveiliging Gemeenten (BIG). Voor alle overheidsinstanties is de BIO het uniforme normenkader ten behoeve van informatiebeveiliging. Voor gemeenten is 2019 voorzien als voorbereidingsjaar. Op 1 januari 2020 is de BIO de officiële richtlijn geworden op het gebied van informatiebeveiliging die alle gemeenten volgen.

Actieplan en beheersmaatregelen Informatieveiligheid
De actiepunten die in 2019 centraal stonden, vanuit de Baseline Informatiebeveiliging Overheid (BIO),  en geïmplementeerd zijn, betroffen voornamelijk:

  • Bewustwording:
    In 2019 stond de bewustwordingscampagne informatiebeveiliging en privacy als maatregel centraal. Er zijn diverse acties uitgevoerd, zo is er onder andere een presentatie gegeven door een externe om de medewerkers te wijzen op de risico’s die zij online lopen en zijn er drie mystery guest acties uitgevoerd.
  • Informatiebeveiligingsbeleid voor leveranciersrelaties:    
    Het inkoopbeleid en de voorwaarden zijn geharmoniseerd met SSC ONS. Bij de inkoopvoorwaarden en het inkoopbeleid is veel aandacht besteed aan privacy en informatieveiligheidseisen, zodat privacy en informatieveiligheid vanaf het begin goed is ingericht.
  • Interne controles en applicatiebeheer:    
    We hebben ons ingezet op nog betere adequate interne controles op applicatieniveau. Er is een intern controleplan opgesteld dat zich focust op de meest kritische applicaties.
  • SSC ONS:    
    Daarnaast is de transitie van de ICT huishouding richting het SSC ONS een centraal punt geweest in de organisatie en heeft de CISO hier een prominente rol in gehad. Wij zijn aangesloten bij het BTO informatiebeveiliging samen met alle partners om risico’s en maatregelen te bespreken, analyseren en op te pakken. In 2019 is een risicoanalyse opgesteld en uitgevoerd op het gebied van informatiebeveiliging om de risico’s te mitigeren rondom de transitie naar het SCC.

Collegeverklaring ENSIA inzake informatiebeveiliging DigiD en SUWInet
Elk jaar moeten wij ons verantwoorden over de kwaliteit van de informatieveiligheid van diverse informatiesystemen via de audit systematiek: de Eenduidige Normatiek Single Information Audit (ENSIA). Daarnaast moeten wij als gemeente  aantonen  dat wij voldoen aan de belangrijke normen op het gebied van DigiD en Suwinet. Dit betreft verticale verantwoording richting ministeries van BZK en SZW. Over deze twee vakgebieden  heeft een audit plaatsgevonden in het eerste kwartaal van 2019. De uitkomsten zijn opgenomen  in de collegeverklaring  en het audit-rapport.