Als gemeente zijn we schatbewaarder van een breed scala van data, zowel van inwoners als van ondernemers en andere organisaties. Door het gebruik van deze data kunnen wij onze dienstverlening steeds verder verbeteren en optimaliseren en een bijdrage leveren aan realiseren van het raadsprogramma, het coalitie akkoord en de missie en visie van onze gemeente.
Gemeenten moeten zich elk jaar verantwoorden over de kwaliteit van de informatieveiligheid van diverse informatiesystemen. Dit moet verplicht met de audit systematiek Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA helpt gemeenten in één keer slim verantwoording af te leggen over informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Overheid ( BIO ). Dit gebeurt door middel van een zelfevaluatie op de normen van de BIO aangevuld met zelfevaluaties op de Basisregistraties en een audit op de normen van het gebruik van DigiD en Suwinet. Regionale ICT-dienst
De kwaliteit van de informatieveiligheid en de diverse informatiesystemen worden geborgd in de samenwerking met de RID-ICT. Voor een groot deel worden de general en applicationcontrols ingericht en onderhouden door de RID. Bij de RID zit een belangrijke waarborg voor de betrouwbaarheid van de systemen. De kwaliteit van de RID en de afspraken met de RID zijn daarmee van fundamenteel belang Vanwege dit belang heeft de accountant ook verschillende adviezen opgenomen in zijn rapporten over de relatie tussen de RID en de gemeente en een aantal belangrijke Baseline Informatiebeveiliging Overheid (BIO)
Uit de zelfevaluatie op de BIO blijkt dat veel maatregelen al (gedeeltelijk) geïmplementeerd zijn. In 2025 is het functioneel beheer binnen de gemeente zelf verder ontwikkeld, maar we zien dat de uitvoer van een aantal maatregelen nog niet volledig gerealiseerd zijn en de gemeente hiermee nog niet voldoet aan de BIO. In de I&A-visie en -strategie 2023-2025 “Beter Samen” zijn op het gebied van Informatiebeveiliging en Privacy 4 speerpunten benoemd; Basis (processen) op orde krijgen, voldoen aan wet- & regelgeving, digitale weerbaarheid en inzetten op bewustwording. Deze zijn echter nog niet op het gewenst niveau. Er moet de komende jaren meer ingezet worden op bewustwording, het op orde brengen van de basis(processen) en het inrichten van risicomanagement om te voldoen aan de wet en regelgeving (NIS2) en de Cyberveiligheidswet (Cbw). DigiD en Suwinet
In april 2026 is door het College van B&W een collegeverklaring DigiD en Suwinet afgegeven over de ENSIA verantwoording 2025. Met de ENSIA-collegeverklaring geeft het college aan in hoeverre de beheersingsmaatregelen voldoen aan de normen die gelden voor Suwinet en DigiD. Met de ENSIA-collegeverklaring geeft het college aan in hoeverre de beheersingsmaatregelen voldoen aan de normen die gelden voor Suwinet en DigiD. Uit de zelfevaluatie blijkt dat de gemeente aan alle normen voor Suwinet en DigiD voldoet. De bevindingen uit de collegeverklaring zijn in het 1e kwartaal van 2026 nog apart getoetst door een IT-auditor en deze heeft de juistheid van de collegeverklaring bekrachtigd. Zelfevaluaties Basisregistraties
Over de Basisregistratie Adressen en Gebouwen (BAG), de Basisregistratie Grootschalige Topografie (BGT), de Basisregistratie Ondergrond (BRO), Basisregistratie Personen (BRP) en de Paspoortuitvoeringsregeling (PUN) moet de gemeenten verantwoording afleggen door middel van een verantwoordingsrapportage. De verantwoordingsrapportages geven een oordeel over de borging van het proces en de tijdigheid, de volledigheid en de juistheid van de basisregistraties van de BAG, BGT, BRO en de normen die behoren bij de BRP en PUN. De rapportages laten zien dat de gemeente Zevenaar voor de meeste basisregistraties aan haar verplichtingen voldoet. Voor de BRO is afgelopen jaar niet aan de wettelijke voorwaarden voldaan, hiervoor wordt een verbeterplan geschreven. Incidenten en datalekken
In 2025 zijn 10 datalekken geregistreerd. Afgelopen jaar zijn er (landelijk) een aantal beveiligingsincidenten geweest, deze zijn tijdig gesignaleerd en hebben niet geleid tot ongeoorloofd verlies van beschikbaarheid, integriteit en betrouwbaarheid van de gegevens. Zowel de landelijke als eigen incidenten worden geëvalueerd en aandacht- en verbeterpunten worden doorgevoerd in de processen. Privacybescherming - AVG
Privacy is een doorlopend proces dat zich steeds beter verankerd binnen de organisatie, maar ook complex is, gezien de diversiteit van taken binnen de gemeente. Het bewustzijn over het verwerken van persoonsgegevens neemt toe maar levert ook weer nieuwe vraagstukken op. We zien dat privacy maatregelen op onderdelen niet voldoende ingebed zijn binnen de processen van de gemeente en dit vraagt de komende jaren ook nog blijvend aandacht. Belangrijk is hierbij het borgen van het tijdig uitvoeren van Data Protection Impact Analyses (DPIA) op risicovolle processen. Ook op het gebied van informatiebeheer, opslag en beschikbaarheid tot privacygevoelige informatie staan verbeteracties gepland. Essentieel hierin blijft gerichte aandacht voor het juiste gedrag en de bewuste omgang met informatie. Tot slot zien we een duidelijke ontwikkeling in de samenwerking bij de implementatie van nieuwe processen en wetgeving met de VNG. Hierdoor wordt optimaal gebruik gemaakt van de kennis en ervaring en is privacy ook een standaard onderdeel van het implementatietraject. In 2025 hebben diverse burgers gebruik gemaakt van het recht op inzage, verwijdering of informatie over de verwerking van persoonsgegevens bij de gemeente Zevenaar. We zien dat deze verzoeken veel capaciteit van de organisatie vragen. Het hebben van een goede informatievoorziening en dossiervorming is dan van belang om aan de privacywetgeving te kunnen voldoen. Op deze onderdelen zijn nog een aantal verbeterslagen te maken, met name op het gebied van documenteren en archiveren. Privacybescherming - Wet politiegegevens (Wpg)
Gemeenten (en andere werkgevers) die beschikken over boa’s met opsporingstaken zijn op grond van de Wet politiegegevens verplicht om jaarlijks een interne audit uit te voeren en 4 jaarlijkse een externe audit. In 2025 is over de periode 2021-2024 de verplicht externe audit uitgevoerd. In deze audit is vastgesteld dat gemeente Zevenaar niet (geheel) voldoet aan het bij of krachtens de wet bepaalde. In 2025 zijn al wel diverse verbeteringen doorgevoerd. De interne audits over 2025 en 2026 zullen dan toetsen of hiermee de gemeente wel voldoet aan de normen die zijn vastgelegd. | 