339178 RIB ENSIA 2024 verantwoording

Aan de leden van de gemeenteraad

Via deze Raadsinformatiebrief informeren wij u over de resultaten van de ENSIA 2024 (Eenduidige Normatiek Single Information Audit) en de stand van zaken rondom informatieveiligheid en privacy. De ENSIA is uitgevoerd conform het normenkader van de Baseline Informatieveiligheid Overheid (de BIO). Het bestaat uit 180 controles waaraan de gemeente minimaal moet voldoen.

Met de ENSIA legt de gemeente verantwoording af aan landelijke toezichthouders die erop toezien dat de landelijke regels rondom informatiebeveiliging bij gemeenten worden nageleefd. Daarnaast legt de gemeente op een aantal specifieke onderdelen verplicht verantwoording af aan de toezichthouders.

In 2024 doen we dat over:

  • Digitale persoonsidentificatie (DigiD);

  • Gezamenlijke Elektronische Voorzieningen Structuur Uitvoeringsorganisatie Werk en Inkomen (GeVS/ Suwinet);

  • Basisregistratie Adressen en Gebouwen (BAG);

  • Basisregistratie Grootschalige Topografie (BGT);

  • Basisregistratie Ondergrond (BRO);

  • Basisregistratie Personen (BRP);

  • Paspoorten en Nederlandse Identiteitskaarten (PNIK).

Te verstrekken informatie

Collegeverklaring ENSIA 2024

Via een collegeverklaring wordt jaarlijks verantwoording afgelegd over Suwinet en DigiD. De gemeente moet zich in het kader van haar opdrachtgeverschap verantwoorden over de uitvoering. In de collegeverklaring verklaart het college dat de gemeente Den Helder op 31 december 2024 in opzet (inrichting en beschrijving), bestaan (implementatie), werking (aantoonbaarheid), voldoet aan de beheersingsmaatregelen die nodig zijn voor de informatieveiligheid.

De collegeverklaring is opgesteld naar aanleiding van de zelfevaluatie. De bevindingen zijn in een pre-audit en definitieve audit getoetst door een onafhankelijke IT-auditor. Op basis van bewijsstukken heeft de auditor zich een oordeel kunnen vormen. En op basis van de vastgestelde collegeverklaring heeft de auditor een assurancerapport opgesteld. In de collegeverklaring is opgenomen dat op 31 december 2024 grotendeels aan alle normen is voldaan. Aan een aantal normen is niet voldaan. Er zijn bevindingen geconstateerd bij de DigiD en Suwinet.

Bevindingen DigiD

Uit de resultaten van de wettelijk verplichte verantwoording blijkt dat de informatiebeveiliging van de gemeente op één onderdeel voor DigiD onvoldoende scoort. Dat is normpunt C.8 – Wijzigingenbeheer. Het jaar 2024, was het eerste jaar dat voor de audit, de werking (aantoonbaarheid) ook verplicht is gesteld. Op het onderdelen vastleggen testen, informeren medewerkers waar releasenotes staan, onvoldoende aangetoond op werking. Om de resultaten hierop te verbeteren heeft de CISO (Chief Information Security Officer) een verbeterplan opgesteld. Het verbeterplan, dat door de IT-auditor is goedgekeurd, is gericht op het vastleggen van updates of wijzigingen volgens het beschreven testplan, informeren van de medewerkers waar deze releasenotes zijn geplaatst.

Bevindingen Suwinet

Uit de resultaten van de wettelijk verplichte verantwoording blijkt dat de informatiebeveiliging van de gemeente op een aantal onderdelen voor Suwinet onvoldoende scoort. Omdat de gemeente Den Helder een aansluiting heeft voor de Suwinet-inkijk, maar niet gebruikt, betekent dit dat men wel een verantwoordingsplicht voor de audit op heeft. Voor het verbeteren van de resultaten heeft de CISO (Chief Information Security Officer) een verbeterplan opgesteld. Het verbeterplan, dat door de IT- auditor is goedgekeurd, is gericht op het opzeggen van de aansluiting bij BKWI op de Suwinet-inkijk.

De tekortkomingen worden opgenomen in de Assurance verklaring van de IT-auditor en wordt eind april verstrekt aan de externe toezichthouders voor DigiD (Logius) en Suwinet (BKWI).

Samenvattend

Er zijn verbeterplannen opgesteld om aan de normen te voldoen, acties zijn belegd en worden gemonitord. De bevindingen hebben geen consequentie voor het Suwinet-Inkijk of onze DigiD aansluiting. De DigiD aansluiting blijft in 2025 actief. Ondanks dat niet voldaan is aan alle normen inzake DigiD en Suwinet heeft de auditor aangegeven dat de gemeente Den Helder voldoet aan de geselecteerde normen inzake DigiD en Suwinet.

Uitkomsten BAG, BGT en BRO

Den Helder scoort een voldoende op Basisregistratie Adressen en Gebouwen (BAG).

Voor de zelfevaluatie BAG is getoetst op de onderdelen borging, actualiteit, volledigheid en juistheid. Uit de zelfevaluatie blijkt dat de gemeente Den Helder een totaalscore van 100% heeft behaald. De minimale norm bedraagt 75%. Uit de rapportage komen geen verdere maatregelen naar voren om dit kwaliteitsniveau te verbeteren.

Den Helder scoort een voldoende op Basisregistratie Grootschalige Topografie (BGT).

Voor de zelfevaluatie BGT is getoetst op de onderdelen borging, actualiteit, volledigheid en juistheid. Uit de zelfevaluatie blijkt dat de gemeente Den Helder een totaalscore van 90% heeft behaald. De minimale norm bedraagt 75%. Uit de rapportage komen een aantal verbetermaatregelen naar voren om dit kwaliteitsniveau te verbeteren. De gewijzigde situaties worden opgenomen in uitvoeringsbestekken en daarnaast wordt het bijhouden van gewijzigde objecten beter gestuurd.

Den Helder scoort een voldoende op Basisregistratie Ondergrond (BRO).

Voor de zelfevaluatie BRO is getoetst op de onderdelen borging, actualiteit, volledigheid en juistheid. Uit de zelfevaluatie blijkt dat de gemeente Den Helder een totaalscore van 28% heeft behaald. De minimale norm bedraagt 60%. Daarmee scoort de gemeente Den Helder onder de norm. Er zijn nog geen verbetermaatregelen getroffen om de totaalscore te verhogen. De BRO- coördinatie wordt opgenomen in het functieboek en daarnaast worden de verplichtingen van de gemeente als bronhouder gedeeld binnen de organisatie.

Uitkomsten BRP en PNIK

Den Helder scoort een voldoende op Basisregistratie Personen (BRP).

Voor de zelfevaluatie BRP is getoetst op de onderdelen organisatie van de beveiliging, toegangsbeveiliging, naleving voor de ENSIA. Uit de zelfevaluatie blijkt dat de gemeente Den Helder een totaalscore van 99,97% heeft behaald. De gemeente Den Helder streeft ernaar om de score boven de 90% te krijgen.

Den Helder scoort een voldoende op Paspoorten en Nederlandse Identiteitskaarten (PNIK).

Voor de zelfevaluatie PNIK is getoetst op de onderdelen organisatie van de beveiliging, toegangsbeveiliging, naleving voor de ENSIA. En daarnaast is er getoetst op het aangifteproces, het overige proces reisdocumenten en de aanbeveling. Uit de zelfevaluatie blijkt dat de gemeente Den Helder een totaalscore van 87,92% heeft behaald.

Den Helder, 1 april 2025.

Met vriendelijke groet,

Burgemeester en Wethouders van Den Helder,

J.A. (Jan) de Boer MSc.

burgemeester

K. (Koen) van Veen

secretaris
Laatst gewijzigd: 02 april 2025