Beleidsdoelen

Het beoogd resultaat in 2023 voor informatieveiligheid en privacy (IV&P) was om dit onderwerp structureel in te bedden in de organisatie. En om aantoonbaar op orde te zijn en te blijven. Meer specifiek moet ten aanzien van privacy worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Ten aanzien van informatieveiligheid dient voldaan te worden aan de Baseline Informatiebeveiliging Overheid (BIO). En de internationale norm voor Informatiebeveiliging ISO27001.
Het voldoen aan de actuele, maar ook nieuwe (NIS2) wet- en regelgeving en nieuwe ontwikkelingen blijft een grote uitdaging. De omgeving verandert continu en het aantal dreigingen op het gebied van informatieveiligheid neemt toe.  

Het is belangrijk om als organisatie te blijven investeren en anticiperen op interne en externe ontwikkelingen op het gebied van informatiebeveiliging en privacybescherming (IV&P). Dat is onder meer gedaan door:  

• Advisering en ondersteuning  

In 2023 hebben de privacy officers en de information security officers de organisatie ondersteund en geadviseerd. Dat deden ze door het beantwoorden van vragen in de IV&P-loketten. En het uitvoeren van Quickscans en Data Protection Impact Assessments (DPIA’s). 

• Opleiding en bewustwording  

In 2023 is actief ingezet op opleiding en bewustwording. Zo zijn er twee nieuwe leermodules uitgerold en zijn er diverse trainingen gegeven aan leidinggevenden. Ook zijn er kennissessies georganiseerd voor ‘contactpersonen IV&P’ en artikelen op intranet gepubliceerd. 

• Medewerker IV&P  

In één domein is gestart met het werken met een ‘medewerker IV&P’. Deze medewerker moet voor meer verbinding gaan zorgen tussen de centraal gepositioneerde privacy officers en information security offcers enerzijds. En de medewerkers uit het domein anderzijds. In 2024 wordt dit uitgebreid naar de andere domeinen. 

Organisatievolwassenheid informatieveiligheid  

1. Implementeren geactualiseerd informatiebeveiligingsbeleid middels het opstellen en doorvoeren van richtlijnen is in 2023 van start gegaan.  
2. Voor het risicomanagement IV&P en information securitymanagement system (ISMS) zijn de belangrijkste risico’s voor de organisatie in kaart gebracht. In samenwerking met een aantal andere provincies wordt een ISMS gebruikt. Dit is een systeem dat risico’s, processen en maatregelen vastlegt. Zodat gericht risicomanagement mogelijk is. In 2023 is aangevangen met het uitvoeren van risicoanalyse volgens de Strict Risico en Management Methodiek (SRAM). Deze methode wordt in 2024 verder uitgewerkt en voorzien van trainingen voor medewerkers van informatieveiligheid. 
3. Het versterken van proces-volwassenheid is een belangrijk doel. Het beter implementeren van randvoorwaardelijke zaken, zoals incident management, draagt bij aan de totale organisatievolwassenheid.  
4. Interprovinciaal werken we intensief samen, bereiden we een cyberoefening voor en is de provincie aangesloten op het Nationaal Cyber Security Centrum (NCSC).

Organisatievolwassenheid Privacy   
In 2022 is volwassenheidsniveau van de organisatie, gegroeid naar het geambieerde niveau 3. Over vrijwel de hele linie. In 2023 is dit niveau gehandhaafd. Dit niveau kenmerkt zich door gedefinieerde en vastgelegde procedures en afspraken en de opvolging hiervan. Dit niveau past bij onze organisatie. En hiermee wordt in voldoende mate voldaan aan de verplichte normenkaders.  

Governance informatiebeveiliging & Privacy  
In 2023 is het programma IV&P beëindigd. En zijn de werkzaamheden vanuit dit programma belegd in de lijnorganisatie. Het programma IV&P is in 2019 gestart. Er was namelijk een intensieve aanpak nodig om de organisatie op het gebied van IV&P sneller te laten groeien. Nu beide disciplines een bepaald volwassenheidsniveau hebben bereikt, wordt IV&P definitief geborgd in de organisatie.