Paragrafen

3.5 Bedrijfsvoering

Informatiebeveiliging en privacy
Digitale veiligheid en privacy vormen een belangrijk onderdeel van de bedrijfsvoering en van het vertrouwen dat inwoners hebben in de gemeente Dalfsen. In deze paragraaf wordt inzicht gegeven in de organisatie, de wettelijke kaders en de verantwoording over informatieveiligheid en privacy.

Security & Privacy-organisatie
Het Security & Privacy-team van de gemeente Dalfsen bestaat uit de volgende functies: de Chief Information Security Officer (CISO), de Functionaris Gegevensbescherming (FG) en de Privacy Officer (PO). Deze functionarissen maken deel uit van het team Concern Control.
Het team is verantwoordelijk voor de beleidsmatige en adviserende taken op het gebied van informatiebeveiliging en privacy en voert regelmatig voorlichtings- en bewustwordingscampagnes uit om aandacht te vragen voor digitale veiligheid en privacyvraagstukken binnen de organisatie.

Wet- en regelgeving
Voor de inrichting en uitvoering van informatiebeveiliging is de Baseline Informatiebeveiliging Overheid (BIO) leidend. Deze baseline bevat normen en maatregelen voor informatiebeveiliging en is van toepassing op alle bestuursorganen binnen de Nederlandse overheid.
In aanloop naar de BIO 2.0/NIS2, die in 2026 van kracht wordt, is in 2025 gewerkt aan verdere professionalisering en borging van processen en controles.

ENSIA-audit informatiebeveiliging
In het kader van de ENSIA-systematiek (Eenduidige Normatiek Single Information Audit) is over het verantwoordingsjaar 2024 opnieuw een zelfevaluatie uitgevoerd op het gebied van informatiebeveiliging. ENSIA vormt de landelijke methodiek waarmee gemeenten op een gestructureerde en uniforme wijze verantwoording afleggen over de inrichting en werking van hun informatiebeveiliging.
De uitgevoerde zelfevaluatie geeft inzicht in de mate waarin de organisatie voldoet aan de geldende normen en richtlijnen. Deze evaluatie vormt de basis voor de horizontale verantwoording aan de gemeenteraad en draagt bij aan transparantie en continue verbetering van de informatiebeveiliging.
Aanvullend op de zelfevaluatie heeft een externe audit plaatsgevonden. Zowel de uitkomsten van de zelfevaluatie als de bevindingen van de externe auditor zijn als voldoende beoordeeld. Dit bevestigt dat de organisatie de beheersmaatregelen op het gebied van informatiebeveiliging op orde heeft en voldoet aan de gestelde eisen.
De ENSIA-cyclus wordt jaarlijks doorlopen en blijft daarmee een belangrijk instrument om de kwaliteit en volwassenheid van informatiebeveiliging structureel te borgen en verder te ontwikkelen.

Samenvatting beveiligingsincidenten en datalekken 2025
In 2025 zijn geen informatiebeveiligingsincidenten geregistreerd die hebben geleid tot verstoring van de bedrijfsvoering of uitval van systemen. Dit is mede het resultaat van verbeterde monitoring, tijdige signalering en een op sterkte gebracht securityteam. Binnengekomen signalen en meldingen zijn conform de geldende procedures zorgvuldig beoordeeld en waar nodig opgevolgd met passende maatregelen.
De organisatie heeft blijvend ingezet op bewustwording van privacy en informatiebeveiliging. Medewerkers nemen deel aan structurele awareness-activiteiten en nieuwe medewerkers volgen verplichte e-learning. In 2025 is een stijgende lijn zichtbaar in deelname en betrokkenheid, mede door verbeterde monitoring en gerichte communicatie.
Landelijk is sprake van een toename in spam- en phishingpogingen. Dit beeld is ook binnen de organisatie herkenbaar. Verdachte situaties zijn in een vroeg stadium gesignaleerd en adequaat afgehandeld, zonder dat dit heeft geleid tot beveiligingsincidenten.
In totaal zijn in 2025 21 datalekmeldingen geregistreerd. Het merendeel (18) is intern afgehandeld zonder nadelige gevolgen. In drie gevallen is, conform de wettelijke verplichtingen, melding gedaan bij de Autoriteit Persoonsgegevens. Waar nodig zijn betrokkenen geïnformeerd. Er zijn geen datalekken gemeld binnen het kader van de Wet politiegegevens.
De stijging van het aantal meldingen ten opzichte van voorgaande jaren wordt gezien als een positief effect van verhoogde bewustwording en verbeterde meldingsbereidheid. Tegelijk blijft aandacht bestaan voor verdere verbetering van deze meldingscultuur.
Conclusie
De organisatie heeft in 2025 aantoonbaar grip gehouden op informatiebeveiliging en privacy. Incidenten zijn uitgebleven en datalekken zijn conform wet- en regelgeving afgehandeld. De ingezette lijn op het gebied van bewustwording, monitoring en procesverbetering wordt in 2026 voortgezet.

Samenwerking SSC ONS
Het Shared Service Centrum ONS werkt samen met haar partners, waaronder de gemeente Dalfsen, aan het vergroten van de digitale weerbaarheid. Afgelopen jaar zijn gezamenlijk verschillende initiatieven geïdentificeerd en opgestart die bijdragen aan het versterken van preventie, detectie en respons op digitale dreigingen.

Bewustwording en training
In 2025 is ingezet op het vergroten van de bewustwording rondom privacy en informatiebeveiliging en op het verbeteren van de deelname hieraan. Iedere medewerker ontvangt wekelijks een korte vraag of module die betrekking heeft op privacy of digitale veiligheid. Het doel van deze bewustwordingscampagne is om medewerkers, management en bestuurders structureel alert te houden op het belang van zorgvuldig omgaan met informatie.
Nieuwe medewerkers volgen verplicht een e-learningmodule waarin (digitaal) veilig werken binnen de gemeente Dalfsen centraal staat. Deze module moet door alle medewerkers met succes worden afgerond en vormt een vast onderdeel van het onboardingproces. Daarnaast krijgen nieuwe medewerkers bij de start van hun dienstverband een presentatie over privacy en security. Ook de rest van de organisatie wordt via presentaties en informatiestukken op het intranet bewust gemaakt van privacy en security.


Deze pagina is gebouwd op 07/02/2026 09:41:32 met de export van 07/01/2026 16:20:12