2019 stond voor gemeenten op het gebied van informatiebeveiliging en privacy in het teken van de verdere implementatie van de Algemene Verordening Gegevensbescherming (AVG) en de overgang naar het gezamenlijke normenkader voor informatiebeveiliging van alle overheidslagen, de Baseline Informatiebeveiliging Overheid (BIO).

In het afgelopen jaar hielp de IBD gemeenten bij het verhogen van hun digitale weerbaarheid en het borgen van privacy in de organisatie door middel van gericht advies, ondersteuning bij incidenten en kennisdeling. In dit jaaroverzicht treft u de meest in het oog springende activiteiten en ontwikkelingen.

Het jaar in cijfers

De IBD ontving in 2019 3044 vragen en meldingen over privacy en informatiebeveiliging en de IBD CERT stuurde maar liefst 1751 kwetsbaarheidsmeldingen uit, waarvan 23 zeer ernstige, dat wil zeggen met een hoge kans op en hoge waarschijnlijkheid van misbruik. Tweemaal werd hiervoor ook een waarschuwings-sms gestuurd aan de contactpersonen, waarvan 1 op kerstavond in verband met een ernstige kwetsbaarheid in Citrix. De IBD ontving 14 onderzoekswaardige responsible disclosure meldingen, de melders hebben een kleine attentie ontvangen voor de moeite en zijn vermeld in de hall of fame. De website van de IBD werd 112.716 maal bezocht met gemiddeld 3 pagina’s per bezoek. In totaal zijn 88.615 documenten gedownload. De meest gedownloade documenten waren de BIO (3662 unieke downloads) en de standaardverwerkersovereenkomst (2803 unieke downloads). Het websitebezoek is ten opzichte van 2018 bijna verdubbeld. De IBD registreerde 144 informatiebeveiligingsincidenten met een hulpvraag van gemeenten. Hierbij verleende de IBD op afstand assistentie in de vorm van bijvoorbeeld analyse van logbestanden, woordvoerings- en communicatieadvies en advies over aanvullende maatregelen om herhaling van incidenten te voorkomen. Eén maal is de hulp van andere gemeenten ingeroepen om een gemeente bij te staan na een incident. Deze vorm van gemeentelijke bijstand bleek zeer goed te werken en we noemen dit voortaan het gemeentelijk responsnetwerk (GRN).

De BIO: Risicomanagement centraal

Het afgelopen jaar was het overgangsjaar naar een uniform normenkader voor informatiebeveiliging samen met de rijksoverheid, de waterschappen en de provincies: de Baseline Informatiebeveiliging Overheid (BIO). Deze BIO is net als de eerdere baseline gebaseerd op de internationale ISO27001/2-standaard. Gemeenten krijgen met de BIO meer ruimte om vanuit risicomanagement de voor hen relevante maatregelen te treffen. De BIO positioneert de bestuurder en het management sterker in de sturende rol op het gebied van informatieveiligheid. Om nadere invulling te geven aan risicomanagement ontwikkelde de IBD een gemeentespecifiek ondersteuningsprogramma voor de BIO in lijn met de bestaande en bekende aanpak van gemeenten. De gezamenlijke overheidsnorm is allesomvattend en gaat in op beschikbaarheid, integriteit en vertrouwelijkheid van informatie(systemen). De risicogebaseerde aanpak betekent ook dat de grootste risico’s als eerste dienen te worden aangepakt. In het kader van het verhogen van de digitale weerbaarheid van gemeenten biedt de IBD een prioritering van de belangrijkste maatregelen en processen.
De IBD paste circa 70 bestaande kennisproducten aan op basis van de nieuwe norm. In het productenoverzicht op de website zijn de handreikingen en factsheets te vinden. Ook zijn in 2019 een aantal nieuwe producten geïntroduceerd waaronder de handreiking verhoging informatiebeveiligingsbewustzijn, de factsheet en toolkit veilige e-mail in het zorgdomein, de factsheet Gehackt, hoe nu verder?. In vervolg op de bestaande IBD crisisgame maakte VNG Beleid een nieuwe cybergame gericht op gemeentelijke bestuurders.

Deze versturen we 3-4x per jaar.