Informatieveiligheid en Privacy
In 2021 is opnieuw een meting uitgevoerd van de Functionaris voor Gegevensbescherming (FG). Tevens is om nog beter te voldoen aan de Algemene Verordening Gegevensbescherming (AVG) een controleplan FG opgesteld met concrete activiteiten voor 2022 op de terreinen van toezicht, informatie en advisering.
Blijvende aandacht vraagt het beleid en inrichting voor het veilig thuiswerken zodat privacy en informatieveiligheid geborgd is, ook nu thuiswerken een blijvende realiteit is.
Bewustwording blijft een voortdurend aandachtpunt. Met behulp van Data Protection Impact Assessments (DPIA’s) zijn bij nieuwe ontwikkelingen de risico’s voor privacy en informatieveiligheid in kaart gebracht.
Daarnaast was een forse inspanning nodig van de FG, als onderdeel van de driehoek informatieveiligheid en privacy, voor het ‘moskee onderzoek’, de hack en de log4j situatie.
Gemeenten zijn vanaf 2021 ingevolge de Wet politiegegevens (Wpg) verplicht om periodiek een privacy-audit uit te voeren op gegevensverwerkingen die onder deze wet vallen. Dat is onder meer het geval voor onze BOA-taken. Door de VNG worden nog gesprekken gevoerd met de Autoriteit Persoonsgegevens (AP) over de precieze eisen die aan de audit Wpg gesteld gaan worden. Vooruitlopend hierop hebben we inmiddels zelf een 0-meting ontwikkeld waarin de risico’s en benodigde acties in beeld worden gebracht. De AP verwacht in ieder geval uiterlijk eind 2022 de WPG rapportage van een externe auditor ontvangen te hebben.
De ingezette samenwerking met de gemeenten Rhenen en Wageningen met betrekking tot de uitvoering van de AVG verloopt naar tevredenheid.
Auditing
In 2021 is gewerkt aan het verder professionaliseren van het systeem van auditing (toezien op de doelmatigheid, kwaliteit, doeltreffendheid en rechtmatigheid van beleid en bedrijfsvoering). Dit is een continu proces om in de pas te blijven met de toenemende eisen en behoeftes op dit terrein. Het gaat daarbij om de samenhang op het terrein van administratieve organisatie en interne controle, de bevindingen van de accountant vanuit zijn controle, het (laten) uitvoeren van audits, artikel 213a onderzoeken en risicomanagement met bijbehorend (jaarlijks op te stellen) auditplan. Maar ook de afstemming met onderzoek dat plaatsvindt door de rekenkamercommissie. Deze doorontwikkeling heeft door de corona echter wel onder druk gestaan. De aandacht is vooral uitgegaan naar de uitvoering van de coronamaatregelen en - regelingen, pakketten en de rechtmatigheid daarvan.
Ook voor 2020 werd een goedkeurende accountantsverklaring afgegeven.
Onder andere de doorontwikkeling van de rechtmatigheidsverantwoording (verplicht ingaande programmarekening 2022) is daardoor achtergebleven. Hoewel het daarop betrekking hebbende wetsvoorstel nog steeds niet is behandeld en besloten in de Kamer hebben we eind 2021 wel opdracht gegeven voor de uitvoering ven een Quick Scan, waarna we op basis van de uitkomsten daarvan een gericht plan opstellen.
Wij gebruiken daarbij tevens de ervaringen uit een (landelijke) kerngroep om de doorontwikkeling verder door te zetten. Gekeken wordt daarbij in hoeverre verdere digitalisering en data-analyse dit kan ondersteunen.
In samenwerking met onze accountant zijn in 2021 weer een tweetal pilots IT-gerichte controles uitgevoerd.
Wij blijven de Auditcommissie en Raadswerkgroep Programmabegroting bij deze doorontwikkeling betrekken.
In 2021 is de Netwerkmonitor geactualiseerd. Hierin worden de risico’s op al onze netwerkrelaties in kaart gebracht en geeft een beeld van de relaties die belangrijk zijn voor realisatie van onze beleidsdoelstellingen én risicovol zijn en dus aandacht vragen.