Planning & Control (P&C)
Conform artikel 2 van de Financiële Verordening gemeente Drimmelen 2021 heeft de gemeenteraad bij aanvang van de nieuwe raadsperiode de programma indeling voor die periode vastgesteld. Deze indeling gaat gelden m.i.v. de begroting 2023. In 2022 is vanwege het vertrek van een aantal mensen en de daarmee gepaard gaande onderbezetting het project vervanging financieel pakket on hold gezet. Zodra er weer voldoende capaciteit aanwezig is om een kwalitatieve overgang te borgen zal het project weer opgestart worden. Het huidige contract van de uitbesteding van de waardebepaling, aanslagoplegging, heffing en invordering van de gemeentelijke belastingen loopt eind 2023 af. Ter voorbereiding is een onderzoek gedaan naar de beste optie voor het onderbrengen van deze functie. In het eerste kwartaal 2023 komt hiertoe een voorstel in de raad.
Rechtmatigheid
De nieuwe Wet versterking decentrale rekenkamers bepaalt dat niet langer de accountants maar de colleges verantwoording aan de raad af dienen te leggen over de rechtmatigheid van het gevoerde beleid. De wet werd op 27 september 2022 met enige vertraging door het parlement aangenomen en trad op 1 januari 2023 in werking. Het belang dat gemeenten hun interne beheersing op orde hebben wordt door deze nieuwe wet nog betekenisvoller. Om die reden heeft de gemeente in 2022 de uitvoering van verbijzonderde interne controles tot en met 2025 aan een extern bureau uitbesteed. Het bureau zal daarnaast ondersteunen bij het versterken van de procesbeheersing in de eerste lijn en het organiseren van 'checks and balances' in de tweede lijn. Tot slot zal het bureau in 2023 het bestaande kaderplan interne beheersing actualiseren en - daarvan afgeleid - steeds jaarlijks een nieuw interne controleplan opstellen.
Informatiebeveiliging en Privacy
2022 stond op het gebied van informatiebeveiliging en privacy in het teken van de verdere implementatie van de Baseline Informatiebeveiliging Overheid (BIO), die vanaf 1 januari 2020 van kracht is. Gestart is met de uitvoering van het informatiebeveiligingsplan uit 2021. Daarnaast stond 2022 in het teken van de voortzetting van het in 2020 ingezette bewustwordingsprogramma rondom informatiebeveiliging en privacy.
ENSIA
De methode waarmee gemeenten verantwoording afleggen over het niveau van hun informatiebeveiliging heet ENSIA, Eenduidige Normatiek Single Information Audit. ENSIA helpt gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO) met de specifieke normen over informatiebeveiliging van de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling Nederland (PUN), Digitale identiteit (DigiD), Basisregistraties Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en Structuur Uitvoeringsorganisatie Werk en Inkomen (SUWI).
Het college verklaart dat bij gemeente Drimmelen op 31 december 2022 de interne beheersingsmaatregelen in opzet en bestaan voldoen aan de geselecteerde normen inzake DigiD en Suwinet.
Uit de zelfevaluatie ENSIA is gebleken dat BAG en BGT aandacht vereisen. Daar waar nodig worden verbetermaatregelen getroffen.
Maatregelen informatieveiligheid
Om de BIO verder te implementeren zijn er in 2022 verschillende maatregelen getroffen. Door het implementeren van de BIO zullen risico’s rondom cyberdreigingen afnemen. In 2022 zijn er verschillende maatregelen getroffen om het toenemende digitale werken veilig te laten verlopen. Enkele voorbeelden hiervan zijn een veiligere inlogmethode en het scannen van e-mail op onveilige inhoud, zoals phishing (om inloggegevens te stelen) of virussen. Ook wordt er continu gemonitord op kwetsbaarheden in software om hackers geen kans te geven hier misbruik van te maken. Daarnaast zijn er richtlijnen opgesteld om veilig met gegevens om te gaan, omdat er steeds meer hybride wordt gewerkt.
WPG audit
Verplichte externe privacy audit uitgevoerd en rapportage is aangeleverd bij Autoriteit Persoonsgegevens. Uit de audit kwamen tekortkomingen en de organisatie zal in 2023 een plan van aanpak opstellen om die tekortkomingen weg te nemen. N.a.v. de tekortkomingen moet er in 2023 ook een hercontrole plaatsvinden.
Bewustwording en training
Naast technische en organisatorische beveiligingsmaatregelen valt of staat de bescherming van gegevens met het bewust en zorgvuldig omgaan door medewerkers. De medewerkers van de gemeente Drimmelen worden zich steeds meer bewust van de vertrouwelijkheid van de gegevens waarmee zij (en haar samenwerkingspartners) werken. Voor gemeente Drimmelen is in 2022 het bewustwordings- en trainingsprogramma rond informatiebeveiliging en privacy voortgezet (micro-learnings en voice-phishing actie) en zijn voorbereidingen gestart voor een aanbesteding van een meerjarige samenwerking met een externe partner.
Meldplicht datalekken
Onder de AVG (Algemene Verordening Gegevensbescherming) geldt de meldplicht datalekken. Dit houdt in dat incidenten, waaronder inbreuken met persoonsgegevens, gemeld moeten worden aan de Autoriteit Persoonsgegevens (AP) en/of de betrokkene(n). Bij een datalek van persoonsgegevens wordt de impact beoordeeld. Er wordt beoordeeld of het datalek moet worden gemeld aan de AP en de betrokkenen. Daarnaast wordt onderzocht welke maatregelen gemeente Drimmelen moet treffen. Hierdoor wordt het aantal datalekken beperkt. Dit geldt ook voor de kans op een boete.
De beveiligingsincidenten en datalekken worden bijgehouden in een register. Ook in 2022 is het aantal beveiligingsincidenten toegenomen, met name door toename van het aantal phishing pogingen, CEO-fraude (nepfacturen) en waarschuwingen over mogelijke kwetsbaarheden in software die misbruikt kunnen worden door hackers. In 2022 was sprake van 37 beveiligingsincidenten t.o.v. 33 beveiligingsincidenten in 2021. Hierbij was er geen sprake van meld-plichtige datalekken bij de Autoriteit Persoonsgegevens.
Rechten van betrokkenen
Alle processen voor de interne afhandeling van verzoeken over rechten van betrokkenen zijn vastgelegd. Inwoners kunnen een verzoek ook via de website van de gemeente Drimmelen indienen. Daarnaast kan een inwoner een privacy-melding bij de FG (Functionaris Gegevensbescherming) neerleggen. In 2022 zijn er geen AVG verzoeken tot inzage binnengekomen.
Samenwerking
De gemeente Drimmelen werkt op meerdere gebieden samen met (mede) overheden en private organisaties. In veel gevallen is er sprake van een verwerking van persoonsgegevens tussen partijen.
In 2022 is onder meer aandacht besteed aan het Kleinschalig Collectief vervoer Regio West-Brabant (KCV RWB), het Zorg- en Veiligheidshuis, Beschermd Wonen en de inrichting van het Crisis Interventie Team Jeugdhulp West-Brabant- Oost (incl. Data Protection Impact Assessment (DPIA)). Afspraken over samenwerkingen worden vastgesteld door middel van overeenkomsten, convenanten en verwerkersovereenkomsten waar Drimmelen actief bijdrages aan levert.