2.4.3 Rechtmatige overheid
Trends en ontwikkelingen
De ontwikkelingen in kunstmatige intelligentie (AI), algoritmen en andere technologie die (persoons)gegevens gebruiken, gaat razendsnel. Vooral kunstmatige intelligentie biedt steeds meer kansen voor kwaadwillende partijen. Zij kunnen hierdoor makkelijker schadelijke software maken en verspreiden. Dit maakt het steeds moeilijker om (persoons)gegevens goed te beveiligen, wat een vereiste is vanuit de Algemene Verordening Gegevensbescherming (AVG) en de archiefwet.
We zien ook dat wet- en regelgeving hierop reageert. Voorbeelden zijn de AI-verordening, de geplande verplichte inventarisatie van algoritmes in het algoritmeregister en de ePrivacy verordening, waarvan de impact op gemeenten vooralsnog beperkt lijkt.
Verder komt er ook de Richtlijn Netwerk- en Informatiesystemen 2.0 (NIS2). Deze zal deze naar verwachting in 2025 in Nederland van kracht worden onder de Cyberbeveiligingswet (Cbw). De impact op gemeenten zijn juist weer groot
De grootste veranderingen voor ons als lokale overheid zijn:
- Het BIO (Baseline Informatiebeveiliging Overheid) kader waarin we nu werken wordt omgezet naar een BIO 2.0, waarbij aanvullende eisen worden toegevoegd conform de Cbw.
- De Cbw is een verplichting voor alle digitale dienstverleners. Er wordt een onafhankelijke toezichthouder aangesteld, de Rijksinspectie Digitale Infrastructuur, met de vrijheid om onderzoek te doen naar partijen in de scope van de Cbw en deze te beboeten als zij niet voldoen aan de Cbw, zoals de Autoriteit Persoonsgegevens dat kan bij de AVG.
- Er komt een 24-uursmeldplicht voor alle beveiligingsincidenten aan deze onafhankelijke toezichthouder.
De Wet open overheid verplicht tot het op orde krijgen van de informatiehuishouding binnen acht jaar na inwerkingtreding, dus op 1 mei 2030. Het op orde krijgen van de informatiehuishouding gaat verder dan alleen te voldoen aan de Archiefwet. Het regulier aandacht hebben voor de governance, het vakmanschap van de informatieprofessionals en het informatiebewustzijn van de medewerkers en de inrichting van informatiesystemen horen hier ook bij. Het programma Samen Digitaal Transparant voorziet voor een deel in het op orde krijgen van de informatiehuishouding door meer regie en monitoring op bedrijfsinformatie. Daarnaast wordt er een verbeterplan opgesteld om de knelpunten aan te pakken, die het op orde hebben van de informatiehuishouding nu nog in de weg zitten.
De maatschappij verlangt steeds sterker van gemeenten dat (financiële) opgaven worden gerealiseerd in balans met sociale belangen en het milieu. In antwoord hierop heeft de EU de Green Deal vastgesteld, die de regio duurzaam moet maken op basis van vijf milieuthema’s (klimaat, vervuiling, water, biodiversiteit en circulariteit). De EU heeft al richtlijnen voor verslaggeving vastgesteld, de zogenoemde Corporate Sustainability Reporting Directive (CSRD). Uit deze richtlijn zijn de European Sustainability Reporting Standards (ESRS) voortgekomen. De standaarden bieden handvatten voor hoe een organisatie zich op het gebied van milieu (Environment), mens (Social) en bestuur (Governance) kan verantwoorden. Ook vormt het de kapstok om duurzaamheid een integraal onderdeel te maken van de opgaven en biedt het een afwegingskader voor bestuurders en organisatie bij het maken van strategische keuzes waarbij bepaalde duurzaamheidsontwikkelingen (zoals klimaatverandering) risico’s kunnen vormen.
Wat willen we bereiken?
Doel: | Medewerkers en bestuurders ontwikkelen een groter bewustzijn van de diverse risico's op het gebied van privacy, informatieveiligheid, juridische kwesties en imago. |
|---|
Wat gaan we daarvoor doen?
Activiteit | Type | Omschrijving activiteit |
|---|---|---|
A1 | Project | We voeren de bewustwordingsactiviteiten uit zoals vastgelegd in het gegevensbeschermingsplan.. |
A2 | Proces | We spelen het risicospel en inventariseren de daaruit voortkomende risico's. |
A3 | Project | We stellen de kadernota Risicomanagement vast. |
Wat willen we bereiken?
Doel: | De informatie en de informatiebronnen voldoen aan de wet- en regelgeving. |
|---|
Wat gaan we daarvoor doen?
Activiteit | Type | Omschrijving Activiteit |
|---|---|---|
B1 | Proces | We voeren de verbetermaatregelen uit voor de Basisregistratie Adressen en Gebouwen (BAG) zoals beschreven in de ENSIA-rapportage. |
B2 | Proces | We houden de maatregelen uit het DigiD en Suwinet normenkaders op peil. |
B3 | Proces | We leggen een focus op de verplichte deelname aan de Landelijke Aanpak Adreskwaliteit om de adreskwaliteit van Basisregistratie van Personen (BRP) te verbeteren.. Hiermee brengen we illegale bewoning in beeld, zorgen we voor legalisering door middel van inschrijving en lossen we de leegstand en briefadressen op. |
B4 | Project | De achterstand in het verplicht vernietigen van informatie zal projectmatig worden weggewerkt. |
Wat willen we bereiken?
Doel: | Het college van burgemeester en wethouders beschikt over voldoende kwalitatieve en kwantitatieve informatie zodat de rechtmatigheidsverantwoording opgesteld en in de jaarstukken opgenomen kan worden. |
|---|
Wat gaan we daarvoor doen?
Activiteit | Type | Omschrijving activiteit |
|---|---|---|
C1 | Project | We stellen een plan van aanpak Rechtmatigheid op. Op basis van de evaluatie nemen we acties op ter verbetering van de interne beheersing. |
C2 | Project | We verbeteren de kennis over staatsteun in de organisatie. |
Wat willen we bereiken?
Doel: | Het versterken van financiële sturing en beheersing. |
|---|
Wat gaan we daarvoor doen?
Activiteit | Type | Omschrijving activiteit |
|---|---|---|
D1 | Project | We bereiken het doel van het programma versterken financiële sturing en beheersing door versterking van de financiële functie. |
D2 | Project | We ontwikkelen de bestuurlijke P&C cyclus en producten door. Dit wordt uitgevoerd in samenwerking tussen leden van de drie auditcommissies, portefeuillehouders financiën, de griffies en het ambtelijk apparaat. |
Wat willen we bereiken?
Doel: | Rechtmatige juridische besluitvorming. |
|---|
Wat gaan we daarvoor doen?
Activiteit | Type | Omschrijving Activiteit |
|---|---|---|
E1 | Proces | Het adequaat behandelen van klachten en bezwaren en WOO-verzoeken. |
Wat willen we bereiken?
Doel: | De gemeente verbetert haar positie op het gebied van rechtmatigheid binnen de domeinen privacy en informatieveiligheid. |
|---|
Wat gaan we daarvoor doen?
Activiteit | Type | Omschrijving activiteit |
|---|---|---|
F1 | Project | We voeren de projecten binnen het gegevensbeschermingsplan uit, met taken als het automatiseren van het register van verwerkingen en het professionaliseren van leveranciersmanagement en accounthouderschap. |
F2 | Proces | FG en CISO houden toezicht op naleving van de wetten AVG en BIO. |
F3 | Project | We stellen een verbeterplan Wpg op en voeren het uit. |
F4 | Project | We maken en implementeren het plan Cbw met projecten zoals: 24 uurs monitoring, logische toegangsinrichting en bedrijfscontinuïteit. |
Hoe gaan we dat meten?
Effectindicatoren (incl. bron) | Laatste meting | Begroting 2025 | Streefwaarde 2028 |
|---|---|---|---|
Doel 1 vergroten risico bewustzijn | |||
1. De organisatie laat een stijgende lijn zien in haar score op het gebied van privacy- en informatieveiligheidsbewustzijn (gemeten middels de nano-learning score). | nee | ja | ja |
2. De resultaten van het risicospel worden voortaan meegenomen in de p&c cyclus (en faciliteren betere sturing op risico's). | nee | ja | ja |
Doel 2 informatiebronnen voldoen aan wet | |||
1. Alle geo-basisregistraties (BAG/BGT/BRO) scoren voldoende (>75%) | nee | ja | ja |
2. Er wordt een collegeverklaring DigiD en Suwinet afgegeven waarin alle maatregelen worden beheerst. | ja | ja | ja |
3. Er wordt volgens het horizontale (gemeentearchivaris) en verticale toezicht (IBT) in voldoende mate voldaan aan de Archiefwet en aanpalende wet- en regelgeving. Dit wordt gemeten in het IBT-dashboard van de provincie Zuid-Holland. | geel | geel | groen |
Doel 3 Rechtmatigheidsverantwoording | |||
Goedkeurende controleverklaring bij de rechtmatigheidsverantwoording. | ja | ja | ja |
Doel 4 financiële sturing en beheersing | |||
De afwijkingen begrotingsrechtmatigheid vallen binnen de tolerantiegrenzen | ja | 1%> | 1%> |
Doel 6 Privacy en informatieveiligheid | |||
1. Conform de Jaarrapportage van de Functionaris Gegevensbescherming (FG) en Chief Information Security Officer (CISO) heeft het AVG-volwassenheidsniveau voor privacy en informatieveiligheid niveau 3 (Bepaald) bereikt. | nee | ja | ja |
2. De FG/CISO Jaarrapportage vermeldt dat de naleving van de Wet politiegegevens (Wpg) vooruitgang heeft geboekt ten opzichte van vorig jaar. | n.v.t. | ja | ja |
3. De organisatie voldoet aan het basisniveau cyber-hygiëne conform de Europese standaard NIS2/Cbw | nee | nee | ja |
Hoe gaan we dat meten?
Prestatie indicatoren (incl. bron) | Laatste meting | Begroting 2025 | Streefwaarde 2028 |
|---|---|---|---|
Doel 1 vergroten risicobewustzijn | |||
1.1 Het aantal datalek/incident-meldingen neemt toe. | 21 | 60 | 60 |
1.2 Het aantal datalek/incident meldingen aan AP/IBD neemt toe. | 0 | 6 | 6 |
1.3 Er is een bewustzijnskalender in 2025. | nee | ja | ja |
2.1 Alle teams hebben minimaal één keer meegedaan aan het risicospel. | nee | ja | ja |
Doel 2 informatiebronnen voldoen aan de wet. | Ja | Ja | |
We verhogen onze ENSIA-score voor de basisregistratie Adressen en Gebouwen. | 71% | 75% | 80% |
We behouden onze huidige ENSIA-score binnen het normenkader DigiD en Suwinet. | voldoen volledig | voldoen volledig | voldoen volledig |
Op het IBT-dashboard van de provincie Zuid-Holland scoort het informatie- en archiefbeheer weer groen. | geel | geel | groen |
Doel 3 Rechtmatigheidsverantwoording | |||
Het college heeft de rechtmatigheids-afwijkingen opgenomen in de verantwoording in de jaarstukken 2024. | Ja | Ja | Ja |
Doel 4 financiële sturing en beheersing | |||
Aantal programma’s dat is verbeterd in de programmabegrotingen van de gemeenten. | 1 | 2 | 4 |
Doel 6 privacy en informatieveiligheid | |||
Het percentage voltooide projecten van het Gegevensbeschermingsplan. | 53% | 100% | 100% |
De gemeente ontvangt een Wpg-audit rapport inclusief aanbevelingen. | n.v.t | ja | n.v.t. |
Het percentage maatregelen van de Wbni waar we aan voldoen. | 38% | 60% | 80% |
Samenwerkingspartners
Verbonden partijen | Overige samenwerkingspartners |
|---|---|
Erfgoed Leiden | Informatiebeveiligingsdienst |