Informatieveiligheid en privacy
De grijstinten die de Algemene verordening gegevensbescherming (AVG) met zich meebrachten worden door richtlijnen van de Autoriteit persoonsgegevens (AP) steeds meer ingekleurd. Ook komt langzamerhand jurisprudentie beschikbaar en reacties van de AP op voorgedane incidenten.
Als gemeente Ede hebben we een heldere lijn in privacybeleid neergelegd, waarmee wij invulling geven aan de manier waarop de gemeente Ede met de persoonsgegevens van haar burgers en medewerkers omgaat.
In 2023 zal de Functionaris voor Gegevensbescherming (FG) de inmiddels gebruikelijke FG-meting uitvoeren. Hiermee wordt de toezichthoudende rol van deze functionaris steeds meer vormgegeven en daarmee invulling gegeven aan de verantwoording aan het college van burgemeester en wethouders. In de FG-metingen zijn aanbevelingen gegeven en met concrete activiteiten vertaald in het controleplan FG.
Aan de hand van dit actieplan is de organisatie aan de slag met de nodige maatregelen. In de periodiek uit te voeren FG metingen wordt de opvolging daarvan getoetst.
Aandacht (bewustwording) is blijvend nodig. Hoewel reeds diverse projecten gerealiseerd zijn die ervoor hebben gezorgd dat wij op een ruim voldoen aan de wetgeving, moeten we alle zeilen onverminderd bij blijven zetten. Zeker ook nu (deels) thuiswerken een blijvend fenomeen wordt is daarvoor aandacht nodig. Dit niveau willen we vasthouden met periodieke veiligheidsupdates, alertheid op nieuwe bedreigingen, het nemen van adequate maatregelen en het bewust omgaan van medewerkers met onze systemen en gegevens.
Voor 2023 zal data gedreven werken een steeds grotere bijdrage leveren aan de maatschappelijke opgaves. Samenwerking met de privacy-driehoek blijft hierin nodig om de juiste afwegingen te kunnen maken met betrekking tot privacy en informatieveiligheid.
De AP is op dit moment bezig met een onderzoek naar het gebruik van cloud-diensten binnen de publieke dienstverlening en ook komt zij met een richtsnoer die betrekking heeft op het gebruik van sociale media. Deze producten gaan zeker ook gevolgen hebben voor onze bedrijfsvoering.
Gemeenten zijn vanaf 2021 ingevolge de Wet politiegegevens (Wpg) verplicht om periodiek een privacy-audit uit te voeren op gegevensverwerkingen die onder deze wet vallen. Dat is onder meer het geval voor onze BOA-taken. Vooruitlopend hierop hebben we inmiddels zelf een 0-meting ontwikkeld waarin de risico’s en benodigde acties in beeld zijn gebracht. De AP verwacht in ieder geval uiterlijk eind 2022 de WPG rapportage van een externe auditor ontvangen te hebben.
De goede samenwerking met Wageningen en Rhenen voor de FG functie zetten we ook in 2023 voort.
Ten aanzien van informatieveiligheid moet de gemeente voldoen aan de BaselineInformatiebeveiliging Overheid (BIO). ENSIA (Eenduidige Normatiek Single Information Audit) is onderdeel van wat de wet BIO beoogt en heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren door het toezicht te bundelen en aan te sluiten op de gemeentelijke Planning & Control-cyclus. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier ook beter op sturen.
Auditing
Het verder professionaliseren van het systeem van auditing (toezien op de doelmatigheid, kwaliteit, doeltreffendheid en rechtmatigheid van beleid en bedrijfsvoering) is een continu proces om in de pas te blijven met de toenemende eisen en behoeftes op dit terrein. Het gaat daarbij om de samenhang op het terrein van administratieve organisatie en interne controle, de bevindingen van de accountant vanuit zijn controle, het (laten) uitvoeren van audits, artikel 213a onderzoeken en risicomanagement met bijbehorend (jaarlijks op te stellen) auditplan. Maar ook de afstemming met onderzoek dat plaatsvindt door de rekenkamercommissie. Het aantal eigen onderzoeken in 2023 zal gezien de beschikbare middelen overigens beperkt zijn.
Aandacht voor de kwaliteit van de auditfunctie blijft onverminderd in 2023. Herziening van het auditplan is gepland in 2023 en wordt met behulp van input van het bestuur opgesteld.
In 2023 zullen wij ook de Netwerkmonitor actualiseren. Hierin worden de risico’s van al onze netwerkrelaties in kaart gebracht en geeft een beeld van de relaties die belangrijk zijn voor realisatie van onze beleidsdoelstellingen én risicovol zijn en dus aandacht vragen.
Rechtmatigheidsverklaring
Voor 2022, doorlopend in 2023 vraagt de invoering van de rechtmatigheidsverantwoording volop onze aandacht. Na enige keren uitstel van de behandeling van het betreffende wetsvoorstel is deze op 25 mei 2022 behandeld door de 2e Kamer en op 31 mei 2022 vastgesteld. Dit is een belangrijke mijlpaal op weg naar de invoering van de rechtmatigheidsverantwoording door het college. De vervolgstap is dat de Eerste Kamer het wetsvoorstel zal behandelen. Tevens moet de onderliggende regelgeving nog worden aangepast. Omdat het relatief lang geduurd heeft voordat het wetsvoorstel is behandeld (al ingediend in 2019) en om de nodige vervolgstappen zorgvuldig te kunnen zetten, is door de minister besloten om de invoering in te laten gaan met ingang van het verslagjaar 2023, dus de Programmarekening 2023 die in 2024 wordt vastgesteld.
Via deze verantwoording zal het college van burgemeester en wethouders de rechtmatigheid voortaan zelf verantwoorden aan de gemeenteraad. Tot en met de jaarrekening 2022 verstrekt de accountant nog een controleverklaring met een oordeel over de getrouwheid én de rechtmatigheid bij de jaarrekening. Vanaf 20223 geeft de accountant alleen nog een controleverklaring af met een oordeel over de getrouwheid van de jaarrekening. Wij moeten als college de rechtmatigheidsverantwoording opnemen in de jaarrekening. Onze accountant dient vervolgens vast te stellen of de rechtmatigheidsverantwoording een getrouw beeld geeft van de werkelijkheid.
Wij gebruiken hiervoor een gefaseerde aanpak om deze wijziging te implementeren en zetten hiervoor extra capaciteit in. In het boekjaar 2022 willen wij al bij wijze van pilot middels deze nieuwe systematiek werken.
Zoals met uw raad gedeeld is onze ambitie dit te verbreden richting een In Control Statement. Via de Auditcommissie en Raadswerkgroep Programmabegroting betrekken wij uw raad bij de verdere implementatie.