Gemeente Breda
Raadsvoorstel
Registratienr: 45452]
voldoen aan alle landelijke beveiligingsnormen en om in 2017 goed voorbereid te zijn op de
normen in de Europese Algemene Verordening Gegevensbescherming.
Hierbinnen formuleert de Rekenkamer een aantal specificaties en voorwaarden:
Verzoek het College zo spoedig mogelijk zoveel mogelijk te voldoen aan de digitale en
technische beveiligingsnormen om tot een zo optimaal mogelijk beveiligingsniveau te komen,
waarbij zo min mogelijk wordt afgeweken van de BIG-normen en als wordt afgeweken dit
bewust en gemotiveerd wordt gedaan;
Verzoek het college om informatiebeveiliging een vast integraal onderdeel van
beleidsprocessen en afdelingen te maken en gegevens op beschermingsniveau te
classificeren;
Verzoek het College om voldoende budget ter beschikking te stellen om tot een goede
inbedding en uitvoering van een integrale gemeentebrede informatiebeveiligingsaanpak te
komen:
Verzoek het College periodiek te toetsen hoe het staat met de Informatieveiligheid op digitaal,
organisatorisch en fysiek vlak en het vlak van het menselijk gedrag.
3. Verzoek het College van B&W om meer centrale sturing te geven aan informatiebeveiliging in de
organisatie, o.a. door benoeming van het Chief Information Security Officer, om
informatieveiligheid breed te verankeren in de organisatie en versnippering in de
verantwoordelijkheden en in de organisatie tegen te gaan.
4. Verzoek het College van B&W om zo snel mogelijk leer- en bewustwordingstrajecten voor alle
betrokkenen in de gemeentelijke organisatie te starten, om duidelijke gedragsrichtlijnen op te
stellen en deze uit te dragen, om een meldsysteem ten aanzien van datalekken op te zetten en de
benodigde kennis en acties goed in te bedden binnen de organisatie. Verzoek om de kennis, het
bewustzijn en het gedrag regelmatig te toetsen en periodiek te werken aan het up-to-date houden
van de kennis en alertheid.
5. Verzoek het College van B&W om privacyprotocollen en werkprocessen in deze in het sociaai
domein verder uit te schrijven, een privacyhandvest op te stellen en periodiek te toetsen hoe het
staat met de uitvoering van de privacybescherming in het sociaal domein.
6. Verzoek het College van B&W om bij alle nieuwe en te vernieuwen contracten en
overeenkomsten met ICT-leveranciers, met partners, externen en ingehuurde bedrijven c.q.
organisaties waarmee wordt samengewerkt te toetsen of deze voldoende clausules bevatten
inzake informatiebeveiliging en privacy; om waar nodig deze strakker te gaan formuleren; en om
periodiek te toetsen of de afspraken nageleefd worden. Daarnaast de meest risicovolle lopende
contracten die gericht zijn op informatisering (de ICT-contracten) in eerste instantie te analyseren
en te beoordelen op beveiligings- en privacy aspecten. Indien noodzakelijk dient met de
contractpartner het gesprek te worden aangegaan, gericht op verbeteringen. De te benoemen
CISO kan een coördinerende en controlerende rol in deze innemen.
Afwegingen
Onvoldoende informatieveiligheid kan grote risico's opleveren voor de gemeente, voor bedrijven,
organisaties en burgers. Cyberaanvallen, verlies van vertrouwelijke/persoonlijke gegevens, inbraak en/of
oneigenlijk gebruik van informatie kan grote financiële schade opleveren voor overheden, bedrijven,
organisaties en burgers, fysieke beschadiging aan systemen, imagoschade voor overheden, en het
vertrouwen van burgers in de overheid grote schade toebrengen. Gegevens van burgers, bedrijven en
organisaties moeten in goede, veilige handen zijn bij gemeenten.
Financieel
Indien de raad dat wenst, kan het voorstel leiden tot het reserveren van een aanvullend bedrag voor
informatiebeveiliging.
Communicatie
-2-