| Organisatie | Montfoort |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Informatiebeleid gemeente Montfoort 2023 en verder |
| Citeertitel | Informatiebeveiligingsbeleid gemeente Montfoort 2023 |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | bestuur en recht |
| Eigen onderwerp | Informatiebeveiligingsbeleid gemeente Montfoort 2023 |
Geen
N.v.t.
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 23-02-2024 | 01-01-2023 | Nieuwe regeling | 07-03-2023 |
Dit vernieuwde Informatiebeleid is opgedeeld in drie delen. In deel 1 wordt aangegeven welke ontwikkelingen van invloed zijn op het Informatiebeleid van de gemeente. In deel 2 staat uitgewerkt hoe en waar de organisatie mee aan de slag gaat en welke beleidsuitgangspunten daarbij gehanteerd worden. Deel 3 bevat tenslotte de uitwerking met betrekking tot Governance.
Het beleid vervangt eerder geformuleerd beleid vanuit de UWSamenwerking waarbij ook gekeken is naar ontwikkelingen in de samenleving, de organisatie, wetgeving en innovaties. Omdat de informatievoorziening van de gemeente Montfoort moet bijdragen aan de verdere verbetering van de dienstverlening aan en samenwerking met burgers, bedrijven en instellingen hebben we in dit document 5 sporen opgenomen waarmee wij in de komende jaren aan de slag gaan:
Een van de onderwerpen is onder andere dat er continue aandacht moet blijven voor de digitale kloof met burgers die om verschillende redenen geen gebruik kunnen maken van de digitale technologie.
De gemeente sluit zoveel mogelijk aan bij ontwikkelingen rond de landelijke portalen en voorzieningen. Als deze voorzieningen toegevoegde waarde hebben of als ze verplicht zijn dan passen wij ze toe in onze processen.
De kwaliteit van informatie, gegevens en basisregistraties is voor de gemeente van groot belang om efficiënt en effectief te kunnen werken. Gegevens moeten betrouwbaar, relevant en up-to-date zijn.
Voor de organisatie zijn heldere uitgangspunten en afspraken nodig die richting geven aan de ontwikkelingen. Daarmee kunnen we de juiste keuzes maken en toetsen of we wel met de goede dingen bezig zijn. Een van onze uitgangspunten is dat wij ‘werken vanuit de bedoeling’ en het systeem moet de organisatie daarbij ondersteunen.
Er is onverminderd aandacht nodig voor informatiebeveiliging, privacy, transparantie, digitale duurzaamheid en verantwoording van gegevensgebruik.
Deel 1 - Beeldvorming Informatiebeleid
De rol van de gemeente verandert steeds meer van uitvoerder naar regisseur en facilitator. Daarnaast krijgt de gemeente steeds meer gedecentraliseerde taken toegewezen. De veranderingen waar de organisatie mee te maken krijgt maakt dat het goed organiseren van informatie steeds belangrijker wordt.
Omdat de gemeente Montfoort werkt vanuit de ‘bedoeling[1]’ moeten medewerkers ondersteund worden bij het nemen van hun verantwoordelijkheid. Technieken en systemen mogen daarbij niet belemmerend werken, ze zijn ondersteunend en volgend. Er wordt daarom eerst gekeken naar wat nodig is om vraagstukken op te lossen. Bij alles wat wij uitvoeren moeten wij eerst deze drie vragen (in deze volgorde) stellen:
Het informatiebeleid draagt bij aan de dienstverlening aan burgers, bedrijven en instellingen. De dienstverlening is transparant en klantgericht. Onze informatievoorziening maakt het mogelijk dat klanten diverse ingangen hebben bij de gemeente en dat ze betrouwbare informatie krijgen. De informatievoorziening faciliteert participatie en burgerinitiatieven.
De informatievoorziening ondersteunt de interne bedrijfsvoering en processturing, dit zorgt voor efficiency en duurzame vastlegging. Gebruik van standaarden en aansluiten bij generieke voorzieningen doen wij wanneer deze toegevoegde waarde hebben, als ze passen in onze organisatieontwikkeling of als deze verplicht zijn. De informatievoorziening maakt het mogelijk om op een flexibele wijze in te spelen op samenwerkingsinitiatieven.
De complexiteit en snelheid van veranderingen neemt toe. Burgers, bedrijven en instellingen stellen hogere eisen aan de dienstverlening van de overheid. Maatschappelijke- en bestuurlijke ontwikkelingen, wet en regelgeving en technologische ontwikkelingen vragen om een flexibele aanpak bij de inrichting van de informatievoorziening2.
Principes voor het Informatiebeleid
De dienstverlening wordt zo ingericht dat deze richting de klant duidelijk, betrouwbaar, tijdig en transparant is. Alle informatie die de gemeente geeft klopt en afspraken worden nagekomen.
- Wij stemmen daarvoor onze dienstverlening af op de verschillende rollen van klanten.
- Wij denken en werken in complete oplossingen; van vraag tot en met antwoord.
- De klantbehoefte is het uitgangspunt bij het inrichten van processen.
Gezamenlijk bouwen we aan een prettige woon-, werk- en leefomgeving, vanuit eigen kracht en dichtbij de burger. We zijn klantgericht en flexibel.
- Onze klanthouding is: “Ja, tenzij…”.
- Wij werken vanuit de ‘bedoeling’.
- Wet- en regelgeving vormen ons kader.
Principes vanuit de informatievoorziening3
Gegevens in alle denkbare verschijningsvormen zijn de bouwstenen waarmee informatie voor de sturing, beheersing en uitvoering van processen wordt gemaakt. De kwaliteit, actualiteit en compleetheid van deze gegevens is van groot belang en daarom hanteren wij de basisprincipes vanuit de Gemeentelijke Modelarchitectuur (GEMMA)[4]. Deze architectuur (inclusief de bijbehorende standaarden, principes en modellen) vormt de basis voor informatiearchitectuur van de gemeente Montfoort.
- Gegevens zijn een bedrijfsmiddel en hebben waarde.
- Gegevens worden conform wet- en regelgeving verwerkt.
Van deze basisprincipes is een aantal principes afgeleid. Deze afgeleide principes geven een nadere detaillering van de basisprincipes en leveren een bijdrage aan de implementatie van één of meer basisprincipes. Afgeleide principes zijn:
- Wij winnen gegevens eenmalig in en gebruiken ze meervoudig.
- Wij beheren de kwaliteit van gegevens actief.
- Wij borgen de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens.
- Wij melden gerede twijfel aan de bronhouder terug.
- Wij verantwoorden de verwerking van gegevens.
- Wij hanteren uniforme definities voor gegevens.
- Wij archiveren gegevens daar waar dat vereist is.
Deel 2 - Uitvoeringsplan Informatiebeleid
Wij ontwikkelen onze informatievoorziening in lijn met de gemeentelijke organisatieontwikkeling en de vastgestelde visie op dienstverlening. Wij sluiten daarnaast (waar noodzakelijk) aan bij landelijk en VNG beleid zoals op de Agenda voor de Digitale Overheid[5].
Het College stelt dit Informatiebeleid vast, ambities en doelstellingen uit het “Uitvoeringsprogramma college 2022-2026 gemeente Montfoort” zijn daarom meegenomen bij de uitwerking van dit beleid.
De directie heeft bij de uitvoering van het beleid een sturende rol richting de teams die met het beleid aan de slag gaan. Het beleid vervangt eerder geformuleerd beleid vanuit de UWSamenwerking en hoewel er een groot aantal nieuwe ontwikkelingen zijn pakken wij in de uitvoering ook door op ontwikkelingen en verbeteringen die al eerder opgestart zijn.
In dit informatiebeleid zijn voor de komende jaren 5 sporen opgenomen waarop de prioriteit komt te liggen. Het Uitvoeringsplan Informatiebeleid wordt regelmatig bijgewerkt zodat wij flexibel kunnen inspelen op de actualiteit. Het inregelen van het Informatiebeheer op basis van dit informatiebeleid zal leiden tot kwaliteitsverhoging van onze dienstverlening en bedrijfsvoering.
Er moet continue aandacht blijven voor de digitale kloof met burgers die niet kunnen profiteren van de digitale technologie.
- Digitale kanalen hebben onze voorkeur bij de snel-klaar en eenvoudige producten. Het persoonlijke contactkanaal blijft altijd open voor mensen die daar de voorkeur voor hebben.
- De gemeente faciliteert burgers, bedrijven en maatschappelijke instellingen tijdens de realisatie van zijn opgaven met goed toegankelijke informatie.
- Alle afspraken met burgers, bedrijven en instellingen worden vastgelegd.
- De website voldoet aan Europese normen inzake toegankelijkheid (zoals de WCAG2.15).
- De implementatie van de Wet Open Overheid wordt in de komende jaren uitgevoerd.
- Digitale kanalen, zoals elektronische formulieren, bevatten intelligentie die de aanvrager maximaal informeert over levering, doorlooptijden, enzovoort.
- Wij meten de klanttevredenheid op alle openstaande kanalen om daar verbeteringen op door te voeren.
- Wij onderzoeken de mogelijkheden om medewerkers handvatten aan te reiken voor de verdere verbetering van de (digitale) dienstverlening; organisatieontwikkeling.
Wij werken bij grote vraagstukken en wetwijzigingen, waar mogelijk, samen met andere organisaties en gemeenten; een voorbeeld hiervan is de invoering van de omgevingswet. De gemeente sluit zoveel mogelijk aan bij landelijke ontwikkelingen. Als dit mogelijk is dan passen wij landelijke ontwikkelingen en voorzieningen toe in onze processen.
- De gemeente sluit aan bij landelijke ontwikkelingen en neemt daarbij een ‘volgende’ houding aan.
- Bij samenwerkingsverbanden wordt een overeenkomst aangegaan.
- Bij het samenwerken, zijn afspraken over de uitwisseling van informatie van groot belang. Deze afspraken worden vastgelegd en gemonitord.
- Ketenpartner(s) voldoen aan vigerende wetgeving (Archiefwet, informatiebeveiliging) en wij controleren dit.
- Ketenpartners wordt gevraagd om een audit (of DPIA) als er gewerkt wordt met privacy gevoelige informatie.
- Waar nodig worden verwerkersovereenkomsten opgesteld.
De kwaliteit van informatie, gegevens en basisregistraties is voor de gemeente van groot belang om efficiënt en effectief te kunnen werken. Gegevens moeten betrouwbaar, relevant en up-to-date zijn.
- Wij doen aan eenmalige vastlegging en meervoudig gebruik van gegevens.
- Wij passen landelijke standaarden toe om gegevens uit te kunnen wisselen met andere overheden. Afwijken van de standaard is alleen gemotiveerd mogelijk; bijvoorbeeld als dit in het belang is voor ‘werken vanuit de bedoeling’.
- Geografische informatie wordt waar mogelijk ingezet voor dienstverlening en de visualisatie van beleidseffecten.
- Administratieve gegevens worden waar mogelijk voorzien van een locatie zodat deze informatie ook gebruikt kan worden om verbindingen te leggen voor het oplossen van ruimtelijke vraagstukken.
- Beschikbare informatie wordt toegankelijk gemaakt voor ketenpartners en/of derden die diensten verlenen; hiermee wordt aangesloten op de Omgevingswet.
- Informatie wordt op de website aangeboden aan burgers over ‘wat speelt er in de buurt’.
- Er wordt actief ingezet op privacy en informatiebeveiliging ter bescherming van de gegevens die wij in beheer/gebruik hebben.
Voor de organisatie zijn heldere uitgangspunten en afspraken nodig die richting geven aan de ontwikkelingen. Daarmee kunnen we de juiste keuzes maken en toetsen of we wel met de goede dingen bezig zijn. Een van onze uitgangspunten is dat wij ‘werken vanuit de bedoeling’ en het systeem moet de organisatie en de professionals daarbij ondersteunen.
- Werkprocessen zijn zoveel mogelijk gedigitaliseerd en papier-arm werken is standaard.
- Alle processen, systemen en data hebben een eigenaar binnen de organisatie. Teams mogen (tot op zekere hoogte) zelf beslissen over de inrichting van hun processen.
- Afdelingen voeren een DPIA[6] uit op processen of applicaties waarin met gevoelige persoonsgegevens gewerkt wordt. Zij kunnen hierbij advies vragen aan de Privacy Officer en de CISO.
- Medewerkers kunnen tijd- en plaats onafhankelijk beschikken over de informatie die voor de uitvoering van hun taak nodig is.
- Voldoen aan gestelde kwaliteitscriteria voor digitale dossiervorming en de archiefvorming.
- Werkprocessen worden verrijkt met de mogelijkheid om stukken digitaal te ondertekenen en te anonimiseren.
- Processen worden zoveel mogelijk ingericht volgens landelijke richtlijnen en standaarden.
- Aanschaf van overlappende functionaliteiten wordt voorkomen door af te stemmen met de Informatiemanager.
- Nieuwe functionaliteiten worden afgewogen tegen de mogelijkheden van in gebruik zijnde applicaties.
- Per applicatie bekijken welke archiefwaardige[7] informatie aanwezig is.
Er is onverminderd aandacht nodig voor informatiebeveiliging, privacy, transparantie, digitale duurzaamheid en verantwoording van gegevensgebruik.
- Het ICT-landschap wordt vereenvoudigd. We kiezen wanneer dat mogelijk is altijd voor SaaS en Cloud[8] oplossingen tenzij dit echt niet anders kan (volgens het pas toe of leg-uit principe).
- De gehele ICT van de gemeente Montfoort wordt fysiek ondergebracht bij ICT Gouwe-IJssel.
- De gemeente implementeert de Baseline Informatiebeveiliging Overheid (BIO) en gaat hier continue mee verder omdat informatieveiligheid voortdurend om aandacht vraagt.
- Er wordt waar mogelijk gebruik gemaakt van standaardfunctionaliteiten; maatwerk wordt zoveel mogelijk voorkomen.
- Met leveranciers worden voor (nieuwe) applicaties technische als organisatorische maatregelen doorgevoerd waardoor een zorgvuldige omgang met persoonsgegevens wordt afgedwongen (privacy-by-design).
- Gemeente Montfoort eist bij (nieuwe) applicaties dat standaardinstellingen altijd zo privacy-vriendelijk mogelijk ingesteld zijn voor alle betrokkenen. Er moet voor gezorgd worden dat persoonsgegevens nooit standaard openbaar zichtbaar zijn. (privacy-by-default).
- Er moet voor de gemeente Montfoort beleid komen voor cloud applicaties zodat de regierol van de gemeente die bij cloud applicaties noodzakelijk is voldoende ingevuld kan worden.
- In het privacy beleid wat opgesteld wordt i.s.m. de Lekstroomgemeenten staan de beleidsrichtlijnen met betrekking tot privacy-by-design en privacy-by-default verder uitgewerkt.
- Het verlagen van de kwetsbaarheid binnen de informatie-, applicatie- en gegevens beheersfuncties door een extra opleiding en training te verzorgen voor applicatiebeheerders.
- Het implementeren van een Siem/Soc[9] omgeving waarmee kwetsbaarheden op het netwerk worden gesignaleerd.
- Het verwerkingenregister als overzicht van applicaties, processen en verwerkingen en het gebruik hiervan binnen de bedrijfsprocessen wordt jaarlijks bijwerken.
- Vaststellen van het Basis Beveiliging Niveau[10] voor applicaties, processen en verwerkingen om te bepalen aan welke beveiligingseisen moet worden voldaan. Met het BBN kan de proceseigenaar aanvullende beveiligingsmaatregelen nemen die passend zijn voor de systemen waarmee gewerkt wordt.
- De verleende rechten en autorisaties binnen applicaties jaarlijks controleren.
- Jaarlijks het gebruik van applicaties en werkprocessen toetsen door de log-bestanden te controleren volgens de PDCA methode[11].
- Opstellen architectuurplaat voor Zaaksysteem en koppelingenoverzicht maken.
Deel 3 - Governance en financiën
- Het college is bestuurlijk opdrachtgever
- Het DT is ambtelijk opdrachtgever IBP
- De informatiemanager is opdrachtnemer IBP
- De Team coördinatoren en budgethouders zijn opdrachtgevers voor IBP-projecten
Er is voor nagenoeg alle processen in applicaties geïnvesteerd om te voldoen aan wet- en regelgeving of voor optimale digitale dienstverlening en bedrijfsvoering. Door procesoptimalisatie en slim gebruik van deze applicaties en data kunnen we onze visie en doelen met minder investering realiseren. De focus verschuift van de uitbreiding van applicaties naar de optimalisatie en vervanging van applicaties.
Planning en control cyclus en projectmandaten
Voor vervanging en uitbreiding van applicaties zorgen de opdrachtgevers voor de projectinrichting en een dekkingsvoorstel voor de incidentele en structurele kosten, en een voorstel hoe de applicatie te beheren.
Indien nodig prioriteert het DT de projecten op de volgende aspecten:
- Belang en urgentie wet- en regelgeving;
- Terugverdieneffect in tijd, zorgvuldigheid, capaciteit;
- Effect op de bedrijfsvoering.
Inkoop van applicaties en diensten
Voordat we investeren in applicaties of inhuur zoeken we de samenwerking met gemeenten en ketenpartners. Denk aan gezamenlijke inkoop, beheer en gebruik van applicaties en afstemming op processen en applicaties van ketenpartners. We automatiseren zoveel mogelijk processen met zo weinig mogelijk applicaties. Daarmee besparen we op applicatie- en gegevensbeheer en licentie- en onderhoudskosten. Voordat we investeren in applicaties controleren we of we in de informatiebehoefte kunnen voorzien met applicaties waar we al voor betalen. Of dat nieuwe applicaties meerdere applicaties kunnen vervangen waar we al voor betalen.
Waar mogelijk voeren we projecten met eigen medewerkers uit. Indien nodig huren we in op lijntaken of werken we samen met gemeenten. Zo investeren we in onze ontwikkeling en borgen we onze kennis.
Contractmanagement en verplichtingen
We registreren alle lopende overeenkomsten, inclusief financiële verplichtingen, servicelevel, procedure bij problemen en calamiteiten, einddatum contract etc. Met verplichtingen optimaliseren we de factuurafhandeling en financiële beheersing.
Elke applicatie heeft een procesverantwoordelijke als eigenaar die verantwoordelijk is voor het doelmatig en rechtmatig gebruik en het beheer van de applicatie. Daarvoor organiseert de eigenaar het functioneel applicatiebeheer en faciliteert de eigenaar training voor gebruik en beheer.
Deze beheerder is de contactpersoon voor vragen, incidenten of wijzigingsverzoeken en vormt de schakel tussen de gebruikers, de proceseigenaar, de leverancier en het systeembeheer van de technische infrastructuur. Bij voorkeur heeft de beheerder kennis van de processen waarin de applicatie wordt gebruikt.
Technisch applicatiebeheer is verantwoordelijk voor de technische infrastructuur en het technisch applicatiebeheer van applicaties. Dit is ondergebracht in een samenwerking met de gemeente Gouda.
Bijlage A - Trends en ontwikkelingen
Maatschappelijke en bestuurlijke ontwikkelingen
De rol van de overheid verandert. De inwoner neemt zelf meer regie. De overheid zal eerder faciliteren dan bepalen. Niet “de overheid” maar “mijn overheid” moet centraal staan.
- Burger- en overheidsparticipatie en de toename van zelfredzaamheid van de inwoner vergen van de overheid een vraag gestuurde organisatie, in plaats van de traditionele aanbodgerichtheid.
- Transparantie is een voorwaarde. De inwoner moet zelf kunnen beschikken over zijn door de overheid vastgelegde informatie. Die informatie moet veilig, betrouwbaar en toegankelijk zijn en voldoen aan de eisen op het gebied van privacy, informatieveiligheid en informatiebeheer.
- De inwoner en maatschappelijke partners krijgen een steviger informatiepositie. De inwoner zal steeds beter kunnen participeren en in staat zijn om zijn eigen problemen op te lossen.
- Schaalvergroting doet zich op vele terreinen in de samenleving voor. Te denken valt aan meer samenwerking tussen gemeenten m.b.t. dienstverlening en het samen laten ontwikkelen van software, het centraal hosten van processen en gegevens, en toenemend gebruik van landelijke voorzieningen. Standaardisatie is hierbij een voorwaarde.
- De maatschappij raakt steeds meer georganiseerd in ketens. De informatiehuishouding van de overheid zal steeds meer worden georganiseerd volgens de principes van keteninformatisering. Daardoor worden standaardisatie en betrouwbaarheid van gegevens nog belangrijker.
Criminelen maken gebruik van diensten van de bovenwereld. Dat brengt een risico met zich mee voor dienstverleners, ambtenaren en het openbaar bestuur. De gemeente heeft mogelijkheden om barrières op te werpen, waarmee kan worden voorkomen dat criminele organisaties of personen misbruik maken van legale structuren of zich weten te vestigen in de regio. Dit zal zich onder meer uiten in het versterken van de informatiepositie, actualiseren, regionaal afstemmen en consequent uitvoeren van beleid, kritische procedures bij vergunningverlening, subsidies en aanbestedingen, het uitoefenen van toezichts- en handhavingstaken en de strikte toepassing van het sanctioneringsinstrumentarium.
Uiteenlopende trends en ontwikkelingen zorgen dat onze wereld van morgen er heel anders uit zal zien. We moeten blijven investeren in een weerbare samenleving en een toekomstbestendige economie om onze gemeente vitaal en aantrekkelijk te houden. Dat doen we door onze manier van besturen aan te laten sluiten bij de veranderende omstandigheden en – vooral – bij de behoeften en wensen van onze inwoners. We zoeken voortdurend naar passende manieren van samenwerken, met inwoners, ondernemingen, onderwijs- en kennisinstellingen en maatschappelijke organisaties. Daarbij zien we het als onze rol om te ondersteunen met bijvoorbeeld aansluitende informatievoorziening.
De Omgevingswet integreert 26 wetten op het gebied van de fysieke leefomgeving. De Omgevingswet is één wet die alle wetten op het gebied van de leefomgeving (ruimte, wonen, infrastructuur, milieu, natuur en water) vereenvoudigt en bundelt. Vast staat dat digitalisering een belangrijk instrument is om de Omgevingswet tot een succes te maken. De nieuwe wet gaat uit van een gelijke informatiepositie van overheden, initiatiefnemers en belanghebbenden. Met één druk op de kaart is de juiste informatie over een bepaald gebied beschikbaar voor de gebruiker. Gemeente Montfoort wordt leverancier van gegevens en gebruiker van informatie.
Met het wetsvoorstel open overheid (Woo) zal de overheid de Wet openbaarheid van bestuur (Wob) vervangen. De Wob regelt al dat overheidsinformatie openbaar is op benoemde uitzonderingen na en hoe men deze informatie kan opvragen. De Woo gaat een stap verder. Deze wet verplicht overheden en semioverheden om informatie die openbaar is, rechtstreeks toegankelijk te maken. Opvragen met een Wob-verzoek is dan niet meer nodig.
De wijziging betreft het wijzigen van de overbrengingstermijn van 20 jaar naar 10 jaar. Met deze maatregel wordt beoogd dat belangrijke - digitale - overheidsinformatie beter bewaard en vindbaar blijft en daarmee bruikbaar voor huidige en toekomstige generaties. Digitalisering leidt ook bij de overheid tot een explosieve groei van informatie, van documenten en databestanden tot email en websites. Bovendien raakt informatie verspreid over allerlei verschillende systemen die draaien op software die snel veroudert. Overheden moeten daarom zo snel mogelijk de blijvend te bewaren informatie selecteren en overbrengen naar archiefdiensten; daar zorgen experts dat de digitale bestanden leesbaar blijven.
Algemene Verordening Gegevensbescherming en de Wet Politiegegevens
Bij de omgang met persoonsgegevens hebben gemeenten een grote verantwoordelijkheid. De gemeente beheert vanuit wettelijke taken veel persoonlijke gegevens van inwoners, waaronder informatie over werk, inkomen en zorg. Daarom moet iedereen erop kunnen vertrouwen dat gemeenten zorgvuldig met deze gegevens omgaan.
Baseline Informatiebeveiliging Overheid
De Baseline informatiebeveiliging Overheid (BIO) is het basisnormenkader voor informatiebeveiliging binnen alle overheidslagen (Rijk, gemeenten, provincies en waterschappen). Had voorheen iedere overheidslaag zijn eigen baseline, nu is er met gezamenlijke inspanning één BIO voor de gehele overheid.
Wet modernisering elektronisch bestuurlijk verkeer
De Wet modernisering elektronisch bestuurlijk verkeer wijzigt het onderdeel van de Algemene wet bestuursrecht (Awb) dat betrekking heeft op het elektronisch bestuurlijk verkeer. Gevolgen van de modernisering zijn dat digitale kanalen verplicht opengesteld moeten worden voor ieder elektronisch formeel bericht gericht aan het bestuursorgaan. Daarnaast moeten de digitale kanalen aangepast worden zodat aan wettelijke eisen kan worden voldaan. Deze wet gaat in op 1 januari 2024.
Sinds 1 juli 2021 is de Wet elektronische publicaties (WEP) van kracht. Deze wet verplicht bestuursorganen (bijvoorbeeld gemeenten en provincies) om vanaf 1 juli 2023 alle officiële publicaties online te zetten via de website officielebekendmakingen.nl. Daardoor wordt het voor burgers mogelijk om op één website alle algemene bekendmakingen, mededelingen en kennisgevingen van de overheid te raadplegen. Deze wetswijziging heeft als doel om burgers digitaal volledig te informeren over besluiten die impact hebben op hun leefomgeving. De burger wordt centraal gesteld bij de informatieverstrekking. Zij worden geïnformeerd over deze besluiten zodat ze tijdig hun recht van inspraak kunnen uitoefenen.
De cloud is ondertussen niet meer weg te denken binnen het applicatie landschap. Verschillende applicaties zijn zelfs niet meer lokaal (on premise) beschikbaar. Deze overgang brengt naast voordelen ook risico’s met zich mee. Denk aan discussies over dataeigenaarschap, back-up eisen en beschikbaarheidsnormen. Om dit te ondervangen moet er voor gemeente Montfoort een Cloud strategie komen.
De Gemeenschappelijke Gemeentelijke Infrastructuur (GGI)
De GGI creëert een samenhangende, digitale infrastructuur die samenwerken tussen gemeenten, gemeentelijke samenwerkingsverbanden en andere overheden eenvoudiger, beter en veiliger maakt. De voorzieningen van de Generieke Digitale Infrastructuur (GDI) en Gemeentelijke Gemeenschappelijke Infrastructuur (GGI) spelen een steeds belangrijkere rol bij landelijke ontwikkelingen en implementaties. De GGI bestaat uit verschillende onderdelen die elkaar versterken. Een gemeente kan elk onderdeel echter ook apart gebruiken. Door alle onderdelen te gebruiken versterkt de gemeente haar positie voor wat betreft de ICT-infrastructuur maximaal. Gemeenten houden flexibiliteit en bepalen voor elk GGI onderdeel of ze er gebruik van maken en wanneer ze de voordelen willen benutten.
Een steeds groter deel van het maatschappelijk en economisch verkeer loopt over online platformen zoals Facebook, Instagram en Uber. Ze vormen een digitale (platform) samenleving die impact heeft op verschillende aspecten van het publieke domein. De ontwikkelingen van online platformen hebben economische, sociaal-maatschappelijke, technologische en/of wettelijke impact die de overheid niet wil negeren. De platform samenleving richt zich op het delen van informatie. Ze ontwikkelt zich vaak buiten de directe invloed van de overheid, maar kent wel consequenties in het publiek domein.
Samen Organiseren en Common Ground
Gemeenten gaan met Samen Organiseren vergaand samenwerken onder meer op het gebied van dienstverlening en bedrijfsvoering. Het belang om gezamenlijk te werken is groot, omdat de vraagstukken te divers en vaak ook te complex zijn om als gemeente zelfstandig op te pakken en ook omdat er winst te behalen is om dat samen te organiseren. Gemeenten kunnen veel doen om hun informatievoorziening en informatie-uitwisseling samen te organiseren. Dan houden ze er ook beter regie op en is ook de privacy van burgers beter gewaarborgd. De manier waarop gemeenten dit willen doen wordt ‘common ground’ genoemd.
Bijlage B - Principes informatievoorziening
Gegevens zijn een bedrijfsmiddel en hebben waarde
Gegevens zijn de basis voor informatie en daarmee van groot belang bij het nemen van beslissingen. Hierdoor zijn gegevens een belangrijk bedrijfsmiddel waarvoor:
- De kwaliteit van gegevens dient bewaakt te worden.
- Gegevens dienen beveiligd te worden tegen oneigenlijk gebruik, ontvreemding en ongeautoriseerde mutatie.
- Gegevens moeten vindbaar te zijn.
Maatregelen die worden getroffen voor de beveiliging en borging van de kwaliteit zijn enerzijds technisch en anderzijds organisatorisch en procedureel van aard.
Gegevens moeten organisatie breed gedeeld te worden. Het delen en gebruiken van gegevens wordt slechts beperkt door wetgeving en niet door eigen ideeën over het gebruik van gegevens.
- Informatiesystemen zijn in staat om de wettelijk maximaal toegestane set van gegevens te leveren.
- Bij de verstrekking van gegevens is het vereist om de doelbinding van de afnemer te kennen om te kunnen bepalen welke gegevens conform wet- en regelgeving verstrekt mogen worden.
- Verstrekking van gegevens aan afnemers mag alleen als de afnemer doelbinding heeft en als voldaan is aan de beginselen van subsidiariteit en proportionaliteit[12].
Gegevens worden conform wet- en regelgeving verwerkt
Het doel waarvoor gegevens gebruikt mogen worden is vastgelegd in wet- en regelgeving. We verwerken gegevens conform deze wet en regelgeving.
- Verstrekking van gegevens aan afnemers enkel indien de afnemer doelbinding heeft en voldaan is aan de beginselen van subsidiariteit en proportionaliteit.
- De verwerking van gegevens voldoet aan de eisen van informatiebeveiliging.
- De bewaring van gegevens voldoet aan de eisen van de informatiehuishouding.
Van de basisprincipes zoals hierboven beschreven zijn weer een aantal principes afgeleid. Deze afgeleide principes geven een nadere detaillering en leveren een bijdrage aan de implementatie van één of meer basisprincipes.
We winnen gegevens eenmalig in en gebruiken ze meervoudig
Onze gemeente voert de processen zodanig uit dat burgers en ondernemingen niet naar (basis)gegevens worden gevraagd die al bekend zijn binnen de vastgestelde basisregistraties.
- Verstrekking van gegevens aan afnemers enkel indien de afnemer doelbinding heeft en voldaan is aan de beginselen van subsidiariteit en proportionaliteit.
- De verwerking van gegevens voldoet aan de eisen van informatiebeveiliging.
- De bewaring van gegevens voldoet aan de eisen van de informatiehuishouding.
We beheren de kwaliteit van gegevens actief
De kwaliteit van de gegevens die worden verwerkt binnen de gemeente wordt actief gemonitord en continu verbeterd en op een niveau gehouden wat in overeenstemming is met de eisen die daar vanuit de wetgeving en de afnemers aan gesteld worden.
- Processen die het kwaliteitsbeheer borgen zijn ingericht.
- De vastgelegde gegevens zijn een weergave van de werkelijkheid.
- Buiten de syntactische correctheid van gegevens bewaakt men ook de integriteit over gegevensverzamelingen heen.
- Afnemers dienen aan te geven wat hun eisen zijn ten aanzien van de kwaliteit en actualiteit van gegevens.
We borgen de beschikbaarheid, vertrouwelijkheid en integriteit van gegevens
Gegevens die binnen de gemeentelijke organisatie verwerkt worden, worden conform de overeengekomen kaders beschikbaar gesteld en beveiligd tegen ongeautoriseerde toegang, frauduleus gebruik of mutatie en gegevensverlies. De gemeente zorgt ervoor dat afnemers van vertrouwelijke gegevens enkel de gegevens verstrekt krijgen waar ze conform hun doelbinding recht op hebben.
- Verdere implementatie van de Baseline Informatiebeveiliging Nederlandse Overheid (BIO).
- Toegang tot gegevens wordt alleen geboden aan afnemers met doelbinding.
- Samenspel van organisatorische, procedurele en technische maatregelen.
We melden gerede twijfel aan de bronhouder terug
De gemeente zorgt ervoor dat de vermeende onjuistheden in gegevens aan de bronhouder gemeld worden. De gemeente verplicht alle afnemers bij gerede twijfel aan de juistheid van gegevens dit terug te melden aan de bronhouder.
- Implementeren van een voorziening om terug te melden.
- Treffen van procedurele en technische maatregelen.
We verantwoorden de verwerking van gegevens
De gemeente is transparant ten aanzien van de verwerking (verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken en verspreiden) van gegevens teneinde met voldoende zekerheid vast te kunnen stellen of wordt voldaan aan de wettelijk gestelde eisen ten aanzien van beschikbaarheid, integriteit en vertrouwelijkheid.
- Registratie van verwerkingen van gegevens.
- Gegevens worden beveiligd afhankelijk van hun gevoeligheid.
- Vastleggen wie, wanneer en waarom welke gegevens heeft verwerkt.
- Inrichting monitoring en controle op gebruik.
- Auditing op het gebruik van gegevens conform vastgestelde protocollen.
- Auditing op gegevensbeveiliging.
We hanteren uniforme definities voor gegevens
Om het delen en hergebruiken van gegevens mogelijk te maken worden voor zowel gestructureerde- als ongestructureerde gegevens gedeelde definities gebruikt.
- Informatiesystemen dienen gebruik te maken van landelijk vastgestelde informatiemodellen en standaarden.
- Gemeente Montfoort gebruikt gegevens volgens een eenduidige gemeentelijke indeling.
We archiveren gegevens daar waar dat vereist is
Gegevens worden conform de geldende bewaar- en vernietigingstermijnen uit de vigerende weten regelgeving behandeld. Zowel gestructureerde als ongestructureerde gegevens worden gearchiveerd.
- Opslag van gegevens dient duurzaam te zijn.
- We bewaren gegevens niet langer dan nodig is.
- Maatregelen nemen voor tijdige en volledige archivering van gegevens.
Bijlage C – Gemeentelijke beleidskaders en randvoorwaarden
Bij het ontwikkelen of optimaliseren van de informatievoorziening voldoen we aan de Baseline Informatiebeveiliging Overheid (BIO) en relevante andere wet- en regelgeving. Dit staat uitgewerkt in het Informatiebeveiligingsbeleid.
Bij het ontwikkelen of optimaliseren van de informatievoorziening voldoen we aan de Algemene Verordening Gegevensbescherming. Dit staat uitgewerkt in het Privacy beleid. We nemen technische en organisatorische maatregelen ten behoeve van de:
· Rechtmatigheid, behoorlijkheid en transparantie: We verwerken persoonsgegevens op een manier die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is.
· Doelbinding: We verzamelen persoonsgegevens enkel voor uitdrukkelijk omschreven en gerechtvaardigde doeleinden en verwerken deze vervolgens enkel verder wanneer er sprake is van een verenigbaar doel.
· Dataminimalisatie: We verwerken niet meer persoonsgegevens dan nodig is voor het doel van de verwerking. We gebruiken proportionaliteit en subsidiariteit ter afweging.
· Juistheid: We controleren regelmatig of de verwerkte persoonsgegevens juist en actueel zijn. Anders worden ze gewijzigd of verwijderd. We gebruiken classificatie op integriteit ter afweging.
· Opslagbeperking: We bewaren persoonsgegevens niet langer dan nodig is voor het doel van de verwerking.
Bij het opslaan en verwerken van informatie houden we rekening met de toegankelijkheid en met:
· Wat is relevant om te bewaren en hoe lang?
· Wat moeten we volgens de Woo openbaar maken?
· In welk formaat maken we het openbaar?
· Wat mogen we juist niet openbaar maken?
· Wat komt in aanmerking voor meervoudig gebruik en door wie?
· Welke metadata en geo-informatie voegen we toe voor meervoudig gebruik?
· Welke afspraken maken we over de structuur?
· Welke versie stellen we officieel vast?
· In welk formaat slaan we het op?
We werken papieronafhankelijk, niet papierloos. Informatie verwerken we digitaal vaak sneller, efficiënter en goedkoper dan op papier. Daarom digitaliseren we onze processen. Papier heeft ook voordelen, maar we willen er niet van afhankelijk zijn.
We richten processen en applicaties in op basis van standaarden en best practices. Dat maakt samenwerking en automatisering eenvoudiger en goedkoper.
We delen gegevens, informatie en kennis met de samenleving en ketenpartners, waar dat moet of mag. Bij de verwerving van applicaties eisen we ondersteuning van open standaarden van het Forum Standaardisatie en geven we bij gelijke geschiktheid de voorkeur aan open source software.
Bij de verwerving van applicaties geven we de voorkeur aan bewezen producten en diensten van leveranciers die aantonen dat ze de applicaties onderhouden en aanpassen aan veranderingen in wet- en regelgeving.
Bij de verwerving van applicaties geven we de voorkeur aan applicaties die als een dienst via internet worden aangeboden. Dat is veiliger, goedkoper en flexibeler.
[1] Uit het Uitvoeringsprogramma college 2022-2026: Bij werken vanuit de bedoeling staat de belevingswereld en het beoogde doel van de gemeenschap centraal, waarbij gezocht wordt naar de mogelijkheden (in regels en beleid) om dat doel te bereiken. (In de raad van september 2022 behandeld).
[2] De ontwikkelingen met de grootste impact voor de komende 5 jaar zijn uitgewerkt in bijlage A.
[3] Bijlage B bevat de principes informatievoorziening en gaat dieper in op de genoemde principes met de bijbehorende maatregelen die genomen moeten worden.
[4] Meer informatie over de Gemeentelijke Modelarchitectuur is te vinden op: https://www.gemmaonline.nl/index.php/Gemeentelijke_Model_Architectuur_(GEMMA)
[5] https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/wetgeving/wet-digitale-overheid/
[6] Een DPIA is een onderzoek dat duidelijk maakt of en waar grote privacy risico’s ontstaan als er gebruik wordt gemaakt van persoonsgegevens.
[7] Zie voor meer detailinformatie brief provincie “IBT informatiebeheer 2021 – 2022”.
[8] De gemeente Montfoort kiest altijd voor een oplossing in de Cloud (of Saas), tenzij dit niet ander kan. Bij externe hosting van data en/of services (uitbesteding, Cloud computing) is de gemeente zelf verantwoordelijk voor de betrouwbaarheid van uitbestede diensten.
[9] SIEM maakt gebruik van informatie rondom bestaande kwetsbaarheden. Wanneer een organisatie nog geen grip heeft op deze kwetsbaarheden, dan zal de SIEM-oplossing melding maken van de gevonden kwetsbaarheden en een ongecontroleerde hoeveelheid meldingen genereren. SOC, in de praktijk monitort een Security Operations Centre de computer- en netwerkactiviteiten. Log-informatie van applicaties en apparaten in het bedrijfsnetwerk wordt verzameld en onderzocht op afwijkingen.
[10] BBN is een verzameling van een minimale set van passende maatregelen om een bepaald belang te beschermen.
[11] De PDCA cyclus staat voor de afkorting van de vier belangrijkste stappen in de cirkel: Plan Do Check Act.
[12] Gegevens moeten op de minst ingrijpende manier voor de klant worden verwerkt. Er moet een balans zijn tussen het afgesproken doeleinde van de verwerking en het effect van de verwerking voor de klant.