Het voldoen aan de actuele wet- en regelgeving rondom informatieveiligheid en privacy en het anticiperen op nieuwe ontwikkelingen op dit terrein is een grote uitdaging. De omgeving is aan continue verandering onderhevig en het aantal dreigingen op het gebied van informatieveiligheid neemt toe en ontwikkelt zich in een steeds sneller tempo. Het vraagt veel inzet om deze ontwikkelingen bij te benen en daarnaast de noodzakelijke groei van de organisatie op dit onderwerp te bewerkstelligen. Het volwassenheidsniveau van de organisatie op het gebied van privacy is het afgelopen jaar duidelijk gegroeid. De groei van de organisatie ten aanzien van informatieveiligheid gaat echter moeizaam. Mede op basis van de bevindingen en aanbevelingen van het Assessment Informatiebeveiliging 2021 wordt onderzocht op welke wijze de noodzakelijke groei alsnog kan worden ingezet. Het programma IV&P, als onderdeel van de I-agenda, ondersteunt de organisatie hierbij op het gebied van preventie en repressie door onder andere het vergroten van kennis en bewustzijn van medewerkers, het uitvoeren van risicoanalyses en het adviseren over maatregelen.
Risicomanagement IV&P en Information Security Management System (ISMS)
De belangrijkste risico’s voor de organisatie op het gebied van IV&P zijn in kaart gebracht. Er is gestart met de implementatie van een ISMS (Information Security Management System), een systeem dat risico’s, processen en maatregelen vastlegt zodat gericht risicomanagement mogelijk is. Besloten is om vooralsnog te focussen op de meest kritische processen.
Informatieveiligheid
Overheidsorganisaties moeten voldoen aan een bepaald basisniveau (BBN2) van informatiebeveiliging, dit is een continu aandachtspunt. Het nomenkader hiervoor is de Baseline Informatiebeveiliging Overheid. Om te bepalen wat wij moeten doen om aan dit normenkader te voldoen, is er een analyse gemaakt, die richtinggevend is voor de werkzaamheden van het programma in 2022.
Privacy / de AVG
Het voldoen aan de AVG is een doorlopend aandachtspunt. Zowel de dienstverlening door de provincie als de wereld om ons heen zijn immers doorlopend in beweging. In 2021 is met extra personele inzet veel werk verzet op het gebied van de AVG. Dit heeft ertoe geleid dat de organisatie op de meeste onderdelen het gewenste volwassenheidsniveau drie van het normenkader van het CIP (Centrum voor Informatieveiligheid en Privacy) heeft behaald. De inzet in 2021 heeft vooral gezien op bewustwording en opleiding, mitigeren van hoog-risico processen en het volledig en openbaar maken van het register van verwerkingen.
Opleiding en bewustwording
In 2021 is een opleidingsplan informatieveiligheid & privacy ontwikkeld voor de organisatie en opgeleverd met bijbehorende e-learning modules. De opleiding vergroot de kennis van medewerkers, maakt hen bewuster van de risico’s en helpt hen passend gedrag aan te leren. uitrol vindt plaats in 2022.
Responsplan
Tenslotte is in 2021 een Cyberincident Responsplan vastgesteld en is een Provinciaal Cyber Emergency Respons Team (CERT) opgericht. De werking van dit team is met verschillende oefensessies getest. Hiermee bereidt de organisatie zich voor op een mogelijk cyberincident. Eind 2021 werden wij geconfronteerd met de wereldwijde Log4j problematiek. Het vastgestelde Cyberincident Responsplan en het CERT hebben ondersteunend gewerkt bij de aanpak van deze situatie binnen onze organisatie.