Bedrijfsvoering | Informatieveiligheid | Programmarekening 2025 Gemeente Den Helder

Informatiebeveiliging en Privacy

Informatieveiligheid en zorgvuldige verwerking van persoonsgegevens zijn onderdeel uit van een zorgvuldig werkende overheid. Op het gebied van informatiebeveiliging en zorgvuldig omgaan met persoonsgegevens waren in 2025 de volgende doelen gesteld:

De gemeente opereert volledig volgens de eisen van de Baseline Informatiebeveiliging Overheid (BIO), in voorbereiding op de NIS2 en BIO2 (wettelijke bepalingen op informatieveiligheid en digitale weerbaarheid), waarin de afhankelijkheid is bedrijf kritische processen, risicoanalyse(s), de voorbereidingen hiervan zijn in volle gang. Hierin het uitgangspunt uitzetten naar implementatietrajecten wat bepalend is voor de inzet van middelen (capaciteit van medewerkers, budget en tijd).

De groei van de volwassenheid binnen de gemeente Den Helder op het gebied van gegevensbescherming en zorgvuldige verwerking van persoonsgegevens. Deze bevindt zich op het niveau 'beheerst' (schaal 3 op een schaal van 5).

De gemeente verhoogt planmatig en gestructureerd de informatiebeveiliging en bescherming van persoonsgegevens door het verhogen van de kennis van medewerkers, en zet in op het verbeteren van houding en het gedrag. Niet alleen via e-learning maar ook via opleidingen informatieveiligheid binnen je werk en werkomgeving (specifiek voor diverse rollen) De gemeente maakt dit meetbaar.

De gemeente Den Helder slaagt voor verplichte audits en inspecties op het gebied van informatieveiligheid en verwerken van politiegegevens.

Verder verstevigen en inrichten van de privacyorganisatie met inzet van een privacy officer.

Actualiseren van het verwerkingsregister en tijdig uitvoeren van DPIA’s.

Uitvoering doelen in 2025

1. De gemeente opereert volgens de eisen van de Baseline Informatiebeveiliging Overheid (BIO).

In 2026 gaan gemeente(n) over van BIO1 naar BIO2 waar de essentie van technische insteek van informatieveiligheid meer naar risicomanagement gaat en de risicobeheersing over alle lagen in de organisatie. Meer van techniek naar processen. In 2025 heeft hiervan al een GAP-analyse plaatsgevonden en is er een Governance Risk en Control tool (GRC) aangeschaft met de bijbehorende normenkaders. De implementatie hiervan zal verder in 2026 plaatsvinden. Het geeft meer inzicht aan je compliance op de normen BIO2 en NIS2, maar ook naar BCM. Daarnaast is er aandacht geweest op de implementatie van de NIS2 en de bijbehorende verplichtingen van de gemeente. Hierop wordt in 2025, en in 2026 (2025 zijn delen afgerond maar niet alles) verder op geacteerd om december 2026 voldoende te zijn voorbereid op de inwerkingtreding van de NIS2, waaronder het verplichte karakter van de BIO2. Gezien het programma BIO2 en NIS2, zal er op gebied van capaciteit bij informatieveiligheid wel een uitbreiding nodig zijn om ook de risicobeheersing goed te kunnen faciliteren.

2. De volwassenheid van de organisatie op het gebied van bescherming van informatie en persoonsgegevens bevindt zich op het niveau beheerst.

Uit onderzoek, (Rekenkamerrapport ‘informatieveiligheid’, 2023) is gebleken dat de taakvolwassenheid van de organisatie op het gebeid van informatieveiligheid en privacy groeipotentie heeft om op het niveau van beheerst te komen. In 2024 zijn plannen gemaakt om het team Informatieveiligheid en Privacy uit te breiden met een privacy-officer en information security officer om de organisatie op tactisch en operationeel niveau te versterken. In 2026 wordt ingezet op een groei in de taakvolwassenheid naar het beoogde niveau ‘beheerst’.

3. De gemeente verhoogt planmatig de informatiebeveiliging door het verhogen van de kennis van medewerkers en zet in op het verbeteren van de houding en het gedrag op gebied van iBewustzijn. De gemeente maakt dit meetbaar.

Sinds 2021 werkt de gemeente met een communicatieplan en per 2022 de gemeente gestructureerd en planmatig activiteiten uit die de kennis van, en houding en gedrag ten aanzien van informatiebeveiliging en zorgvuldig verwerken van persoonsgegevens verhogen. De medewerkers worden met een i-bewustzijnscampagne (online trainingen, micro-learnings en modules) getraind in het bewust veilig en zorgvuldig omgaan met informatie en persoonsgegevens. In 2024 is een nieuw informatiebeveiligings-bewustzijnsprogramma voor de hele organisatie in gebruik wordt genomen. De resultaten van de toetsen van kennis van informatieveiligheid en privacybescherming worden gemeten en teruggevonden in dashboards waardoor inzichtelijk wordt op welke gebieden de medewerkers aanvullend training of kennis nodig hebben.
Naast een generieke aanpak blijft de gemeente investeren in kennis van de individuele medewerker als voor de rol van de medewerker meer specialistische kennis van informatieveiligheid en bescherming van de privacy vereist is. Voor 2026 is er een oplegnotitie gemaakt en zal een DT-voorstel worden ingediend om BIO2 en NIS2 meer te laten integreren in uitvoerende werkzaamheden binnen diverse rollen en afdelingen.

4. De gemeente Den Helder slaagt voor verplichte audits en inspecties.

De gemeente verantwoordt zich jaarlijks over informatiebeveiliging en – kwaliteit middels (verplichte) ENSIA. Dat staat voor Eenduidige Normatiek Single Information Audit. De focus van ENSIA ligt op het afleggen van verantwoording van voldoen aan de ENSIA-normen aan de gemeenteraad en het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Over 2024 is gemeente Den Helder deels geslaagd voor de ENSIA. De resultaten van de ENSIA-audit 2025 worden eind maart 2026 verwacht. Gezien de samenwerking met de vorige auditor niet goed verliep is er gekozen voor een nieuwe auditor die de gemeente Den Helder ook meer faciliteert. De verwachting is dat de ENSIA-audits zwaarder worden op gebied van BIO2 en NIS2 in het verantwoordingsjaar 2026, en dat hierbij meer inzet bij benodigd zal zijn.
Daarnaast verantwoordt de gemeente zich jaarlijks aan het college van burgemeester en wethouders over de zorgvuldige omgang met politiegegevens, wettelijk verplicht gesteld in de Wet politiegegevens. De audit op de zorgvuldige verwerking van politiegegevens over 2024 laat, ten opzichte van de resultaten van de audit 2022 en 2023, een stijgende lijn zien in het (aantoonbaar) voldoen aan zorgvuldige verwerking van politiegegevens. De resultaten van de audit 2024, uitgevoerd door een extern gecertificeerd auditor, worden (wettelijke verplichting Wet politiegegevens) aangeleverd bij de Autoriteit Persoonsgegevens.

1. De gemeente opereert volgens de eisen van de Baseline Informatiebeveiliging Overheid (BIO).

2. De volwassenheid van de organisatie op het gebied van bescherming van informatie en persoonsgegevens bevindt zich op het niveau beheerst.

3. De gemeente verhoogt planmatig de informatiebeveiliging door het verhogen van de kennis van medewerkers en zet in op het verbeteren van de houding en het gedrag op gebied van iBewustzijn. De gemeente maakt dit meetbaar.

4. De gemeente Den Helder slaagt voor verplichte audits en inspecties.

5. Verder verstevigen en inrichten van de privacyorganisatie met inzet van een privacy officer.

6. Actualiseren van het verwerkingsregister en tijdig uitvoeren van DPIA's