Informatiebeveiliging privacybescherming

10.1.5	Versterken informatiebeveiliging en privacybescherming

Toelichting op meerjarendoel
Informatieveiligheid en privacy vormen een maatschappelijke verantwoordelijkheid voor de Provincie Utrecht. De provincie moet aantoonbaar voldoen aan de geldende wetgeving en verplichte normenkaders. Dit vraagt om een omvangrijke verandering in denken en doen binnen de organisatie. Deze verandering is, middels een interventie op het programma IV&P in 2020, ingezet. Het versterken van informatieveiligheid en privacy vraagt om groei op volwassenheid van de organisatie. Het volwassenheidsniveau geeft aan op welk niveau (de diverse onderdelen van) informatieveiligheid en privacy in de gehele provinciale organisatie op orde zijn. De organisatie bevindt zich momenteel op niveau 1 waarbij we nog onvoldoende vaste procedures hebben afgesproken om de informatieveiligheid en privacy te waarborgen. En hetgeen wat we doen is nog deels op ad-hoc basis. Ook moeten we de bekendheid bij de medewerkers van wat nodig is om IV&P te kunnen te waarborgen nog verder vergroten. Landelijk zijn er afspraken gemaakt over de eisen op de verschillende niveaus waar je als organisatie aan moet voldoen en op basis waarvan je de groei kunt monitoren. In verschillende stappen willen we eind 2022 de borging van zowel privacy als informatieveiligheid op niveau 3 krijgen en houden. Niveau 3 kenmerkt zich door gedefinieerde en vastgelegde procedures en afspraken en de opvolging hiervan. Dit niveau is passend bij onze organisatie en hiermee wordt in voldoende mate voldaan aan de verplichte normenkaders. Om dit te bereiken wordt blijvend gestuurd op het borgen van de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens en bedrijfsgevoelige data. De belangrijke risico’s op het gebied van informatieveiligheid en privacy zijn gedeeltelijk in beeld, maar dit vraagt continue aandacht. De basismaatregelen voor informatieveiligheid en privacy worden verder op orde gebracht. Er worden, indien nodig, aanvullende technische en of organisatorische maatregelen getroffen om risico’s te beperken. Op de voortgang van de implementatie wordt gestuurd. Daarnaast krijgen medewerkers en diverse doelgroepen een opleiding aangeboden. Er is gestart met een intern netwerk met laagdrempelig te bereiken aanspreekpunten voor medewerkers. Dit wordt de komende tijd verder uitgebreid. Bewustwording en incidentafhandeling krijgen doorlopend aandacht, zodat medewerkers weten wat er van hen wordt verwacht en hoe ze hier vorm aan moeten geven. Tenslotte wordt de organisatie voorbereid op een mogelijk cyberincident in de toekomst, middels een responsteam met mandaat en handelingsperspectief, een draaiboek en een cyberoefening. Minimaal twee keer per jaar wordt aan de Staten gerapporteerd over de voortgang op het gebied van informatieveiligheid en privacy.

10.1.5

Versterken informatiebeveiliging en privacybescherming

Informatieveiligheid en privacy vormen een maatschappelijke verantwoordelijkheid voor de Provincie Utrecht. De provincie moet aantoonbaar voldoen aan de geldende wetgeving en verplichte normenkaders. Dit vraagt om een omvangrijke verandering in denken en doen binnen de organisatie. Deze verandering is, middels een interventie op het programma IV&P in 2020, ingezet. Het versterken van informatieveiligheid en privacy vraagt om groei op volwassenheid van de organisatie. Het volwassenheidsniveau geeft aan op welk niveau (de diverse onderdelen van) informatieveiligheid en privacy in de gehele provinciale organisatie op orde zijn. De organisatie bevindt zich momenteel op niveau 1 waarbij we nog onvoldoende vaste procedures hebben afgesproken om de informatieveiligheid en privacy te waarborgen. En hetgeen wat we doen is nog deels op ad-hoc basis. Ook moeten we de bekendheid bij de medewerkers van wat nodig is om IV&P te kunnen te waarborgen nog verder vergroten. Landelijk zijn er afspraken gemaakt over de eisen op de verschillende niveaus waar je als organisatie aan moet voldoen en op basis waarvan je de groei kunt monitoren. In verschillende stappen willen we eind 2022 de borging van zowel privacy als informatieveiligheid op niveau 3 krijgen en houden. Niveau 3 kenmerkt zich door gedefinieerde en vastgelegde procedures en afspraken en de opvolging hiervan. Dit niveau is passend bij onze organisatie en hiermee wordt in voldoende mate voldaan aan de verplichte normenkaders.

Om dit te bereiken wordt blijvend gestuurd op het borgen van de vertrouwelijkheid, integriteit en beschikbaarheid van persoonsgegevens en bedrijfsgevoelige data.
De belangrijke risico’s op het gebied van informatieveiligheid en privacy zijn gedeeltelijk in beeld, maar dit vraagt continue aandacht. De basismaatregelen voor informatieveiligheid en privacy worden verder op orde gebracht. Er worden, indien nodig, aanvullende technische en of organisatorische maatregelen getroffen om risico’s te beperken. Op de voortgang van de implementatie wordt gestuurd. Daarnaast krijgen medewerkers en diverse doelgroepen een opleiding aangeboden. Er is gestart met een intern netwerk met laagdrempelig te bereiken aanspreekpunten voor medewerkers. Dit wordt de komende tijd verder uitgebreid. Bewustwording en incidentafhandeling krijgen doorlopend aandacht, zodat medewerkers weten wat er van hen wordt verwacht en hoe ze hier vorm aan moeten geven. Tenslotte wordt de organisatie voorbereid op een mogelijk cyberincident in de toekomst, middels een responsteam met mandaat en handelingsperspectief, een draaiboek en een cyberoefening.

Minimaal twee keer per jaar wordt aan de Staten gerapporteerd over de voortgang op het gebied van informatieveiligheid en privacy.