Thema-architectuur Privacy en Informatiebeveiliging

Privacy verwijst naar het recht en de mogelijkheid van individuen om controle te hebben over hun persoonlijke informatie en de mate waarin ze ervoor kunnen kiezen om die informatie te delen met anderen. Informatiebeveiliging verwijst naar het proces van beschermen van informatie tegen ongeoorloofde toegang, ongeautoriseerde openbaarmaking, wijziging, vernietiging of verstoring. Privacybescherming is gerelateerd aan Informatiebeveiliging omdat (persoonlijke) informatie zodanig beveiligd moet kunnen worden dat geen ongeoorloofde toegang mogelijk is.Gemeenten moeten privacy en informatiebeveiliging borgen om te voldoen aan wet en regelgeving en het vertrouwen van burgers en bedrijven te behouden. Toenemende digitalisering, het verweven raken van publieke en particuliere netwerken en het vaker delen van informatie leidt tot meer beveiligingsdreigingen en een toename van risico's. Er zijn nieuwe maatregelen en een aangepaste inrichting van de informatievoorziening nodig om privacy en beveiliging te kunnen blijven borgen.

Doel[bewerken]

Deze thema-architectuur heeft als doel om gemeenten en leveranciers te ondersteunen bij het borgen van privacy en informatiebeveiliging. Zowel binnen de bedrijfs-, informatie- als technische architectuur moet rekening worden gehouden met privacy en informatiebeveiligingsaspecten. Daarbij kan het gaan om uiteenlopende onderwerpen zoals beleid, processen, procedures, applicaties, data en technologie. De gemeentelijke informatievoorziening speelt daarbij een belangrijk rol. Door functies als authenticatie, autorisatie en logging van verwerking op een hedendaagse manier in samenhang in te richten wordt het beter mogelijk om privacy en informatiebeveiliging te kunnen borgen.

Architectuur[bewerken]

Op het gebied van privacy en informatiebeveiliging bestaan al een groot aantal lijsten met aanbevolen maatregelen ('controls') en themagerichte handreikingen. De Baseline Informatiebeveiliging Overheid (BIO) biedt een uniform normenkader voor de beveiliging van de informatiehuishouding van alle overheidsorganisaties. De Informatiebeveiligingsdienst (IBD) heeft speciaal voor gemeenten een groot aantal handreikingen ontwikkeld.

De GEMMA vult dit aan door met een architectuurbril naar de (belangrijke!) aspecten privacy en informatiebeveiliging te kijken. De GEMMA kent daarbij geen aparte beveiligingsarchitectuur maar ziet privacy en informatiebeveiliging als aspecten die integraal onderdeel uitmaken van gemeentelijke architectuur. GEMMA-architectuurproducten waar dit tot uiting komt zijn bijvoorbeeld de GEMMA principes (met een richtinggevend principe als 'Beheers risico's voortdurend') en de GEMMA Informatie-architectuur (die bij iedere referentiecomponent de eisen beschrijft qua beschikbaarheid, integriteit en vertrouwelijkheid met de benodigde BIO-controls en -maatregelen).

Deze thema-architectuur is te zien als een aanvulling daarop en beschrijft onderwerpen die GEMMA-breed van belang zijn. Het per proces of informatiesysteem nemen van maatregelen is en blijft nodig maar is niet meer voldoende. Er zijn ook fundamentele veranderingen nodig binnen de gemeentelijke informatievoorziening. Bijvoorbeeld om informatiebeveiliging meer vanuit 'zero trust principes' in te gaan richten en voor autorisatie meer gebruik te gaan maken van beheersbare sets van regels ("policies").

Privacy en informatiebeveiliging kennen heel veel verschillende aspecten. Een groot aantal daarvan zijn niet gemeentespecifiek en vaak elders al goed beschreven. In plaats van die informatie te dupliceren wordt vanuit de GEMMA op een voor gemeenten bruikbare manier verwezen naar elders aanwezige bruikbare informatie. Bijvoorbeeld naar bepaalde onderdelen van de NORA of naar speciaal voor gemeenten gemaakte handreikingen van de IBD.