Om de informatieveiligheid verder te bevorderen is gedurende 2023 een CISO/Privacy Officer/ENSIA-coördinator ingehuurd. Werving heeft niet geleid tot het aantrekken van een ervaren adviseur, daarom is gekozen om met hulp van de ingehuurde deskundige een trainee op te leiden. De resultaten zijn niet volgens planning behaald als gevolg van langduriger uitvallen van de adviseur.
De ISMS tooling (t.b.v. kwaliteit- en risicomanagement) wordt gebruikt voor de waarborging van de werkprocessen met betrekking tot informatieveiligheid en privacyaspecten. Op basis van de nulmeting uit 2022 is de implementatie binnen de organisatie in 2023 opgepakt met een analyse van de prioriteiten. De kernapplicaties zijn in kaart gebracht en een periodieke autorisatiecontrole is ingericht. De afspraken met leveranciers worden hierna in kaart gebracht en zo nodig aangepast.
De bewustwordingscampagne over informatieveiligheid en privacy voor de medewerkers liep heel 2023.
Voor ICT diensten en samenwerkingsverbanden met andere organisaties is een systeem voor risicomanagement ingericht. Daarbij is een lijst met mogelijke dreigingen en maatregelen in beeld gebracht. De invulling van deze basis vindt hierna plaats. Dit maakt onderdeel uit van de eisen van NIS2 waaraan gemeenten in 2024 moeten voldoen.
H et register van verwerkingsactiviteiten (verwerkingsregister) bevat informatie over de persoonsgegevens die Landsmeer verwerkt. Het geeft een overzicht van alle processen waarin persoonsgegevens worden gebruikt. Gebleken is dat de processen niet allemaal up to date zijn. De processen in het nieuwe zaaksysteem Join en I-burgerzaken worden als eerste herzien.
De gemeente is voor een aantal gegevensverwerkingen verplicht om een risicoanalyse uit te voeren (een zgn. Data Protection Impact Assessment of DPIA). In 2023 zijn 3 DPIA’s vastgesteld. De uitvoering van maatregelen op grond van de DPIA’s is door beperkte capaciteit nog niet afgerond. Er wordt intern een monitor ontwikkeld om dit beter te volgen.
Beleid en procedures rond Informatiebeveiliging en Privacy zijn in 2023 ambtelijk geactualiseerd en worden in 2024 vastgesteld.
Als persoonsgegevens worden gedeeld met derden maakt Landsmeer hierover schriftelijke afspraken. In 2023 is een aantal geactualiseerd waar dat nodig was en zijn nieuwe overeenkomsten afgesloten waar nog geen afspraken bestonden.
De gemeentelijke boa’s verwerken onder meer politiegegevens. De gemeente is jaarlijks verplicht om een interne audit te houden en één keer in de vier jaar een externe audit. In 2023 is een hercontrole op de externe audit gehouden en zijn diverse actiepunten uitgezet in de organisatie.
Voor terugkerende werkzaamheden is een jaarcyclus opgezet en een planning is gemaakt om te voldoen aan de eisen van NIS2 met een prioritering. Het is nog niet mogelijk om aan alle wettelijke eisen maximaal te voldoen.