Eigenschap:BIG2GEMMA impact

Indien er foutieve of zelfs onbevoegde handelingen zijn uitgevoerd op de informatie systemen van de Omgevingswet moet het mogelijk zijn om te achterhalen wie er wat precies gedaan heeft. Dit om zo snel mogelijke de veroorzaakte fouten te kunnen herstellen of de persoon in kwestie aan te spreken en daarmee herhaling te voorkomen. Dit kan onnodige onbeschikbaarheid voorkomen.  +

Gemeente vormen een onderdeel van het digitale stelsel wat noodzakelijk is voor de uitvoering van de Omgevingswet. Het correct werken van ieder onderdeel maakt dat het stelsel als geheel kan functioneren, binnen de geldende wet- en regelgeving. Het correct gebruik van de ICT middelen en de informatie bedoeld voor de uitvoering van de Omgevingswet is hierbij noodzakelijk.  +

Alle gegevens die verwerkt worden binnen de Omgevingswet dienen op adequate wijze beschermd te worden. De toegang en verwerking dienen tot op persoon herleidbaar te zijn. Deze bescherming kan mede worden vastgesteld op basis van de classificatie van deze gegevens.  +

Er dienen processen ingericht te worden om (versie)beheer van de operationele software en applicaties uit te kunnen voeren. Dit heeft tevens op technisch gebied tot gevolg dat er naast de productieomgeving ook test en acceptatie omgevingen beschikbaar moeten zijn.  +

Er dienen processen ingericht te worden om kwetsbaarheden in de software adequaat te mitigeren.  +

Alle medewerkers dienen bewust gemaakt te worden van de waarde van de informatie waar zij mee om gaan. Dit vergt veranderingen in de mindset en het gedrag van de medewerkers en dat kost veel tijd en energie. De opbrengst is echter zeer groot.  +

Het beschermen van de gebruikte informatie (incl. persoonsgegevens) binnen de Omgevingswet is op diverse gebieden van belang. Met name voor het transport (bv naar andere partijen) en de opslag van de informatie is encryptie belangrijk. Op basis van een risicoanalyse dient er besloten te worden waar men encryptie toe past.  +

Er dient een proces ingericht te worden waarin het management alle gebruikers en hun toegangsrechten evalueren en afwijkingen worden gecorrigeerd.  +

De noodzaak van logging is beschreven bij norm 10.10.1. Het beschikbaar hebben van deze logging voor de geautoriseerde personen is de kern hiervan. Het adequaat beschermen van deze logging is dan ook onontbeerlijk.  +

Indien de implementatie van de IB-aspecten voor de Omgevingswet niet op de juiste wijze wordt aangestuurd bestaat het risico dat de ontwikkelde/aangepaste informatievoorzieningen niet gebruikt kunnen worden voor de taken waarvoor ze bedoeld zijn. Om de voorzieningen alsnog in gebruik te kunnen nemen zijn dan herstel acties noodzakelijk. Dat kost extra tijd, geld en verminderd beschikbaarheid van medewerkers voor andere noodzakelijke taken.  +

Externe leveranciers/inhuur voeren in opdracht van gemeenten het beheer van en/of werkzaamheden op de informatiesystemen uit, zowel functioneel als technisch. Zij hebben daarmee de verantwoordelijkheid om te voldoen aan de geldende wet- en regelgeving voor gemeenten. Deze verantwoordelijkheid moet contractueel geborgd worden, zie ook norm 6.2.1. Binnen de Omgevingswet worden persoonsgegevens verwerkt. Om deze reden moet is met gehouden aan de geldende wetgeving. Dit is de Algemene Verordening Gegevensbescherming (AVG, Europees ook bekend als GDPR).  +

Reguliere controle op de dienstverlening van de informatievoorzieningen voor de Omgevingswet is noodzakelijk om een passende dienstverlening te realiseren en te handhaven.  +

De noodzaak van logging is beschreven bij norm 10.10.1. De definitie van de te loggen activiteiten bepaald mede de bruikbaarheid van de logging. Het is van belang om deze activiteiten ook op beschreven manier vast te leggen.  +

Om de toegang en de verwerking van de noodzakelijke informatie voor de Omgevingswet veilig te faciliteren is een goede coördinatie van de (IB) activiteiten hiervoor essentieel. De CISO vervult de verbindende rol tussen de verschillende betrokken delen van de organisatie, zodat alle aspecten hiervoor correct geadresseerd kunnen worden.  +

De hierboven genoemde koppelingen dienen getekend en versleuteld te worden met het gebruik van PKI-overheid certificaten. Deze norm heeft een relatie met norm 10.6.1 en kan in het patroon voor de koppelvlakken toegepast worden.  +

Externe leveranciers/inhuur voeren in opdracht van gemeenten het beheer van en/of werkzaamheden op de informatiesystemen uit, zowel functioneel als technisch. Deze leveranciers/inhuur vallen daarmee onder de voor gemeenten geldende wet- en regelgeving. Deze verantwoordelijkheid moet contractueel geborgd worden, zie ook norm 6.2.3. Binnen de Omgevingswet worden persoonsgegevens verwerkt. Om deze reden moet is met gehouden aan de geldende wetgeving. Dit is de Algemene Verordening Gegevensbescherming (AVG, Europees ook bekend als GDPR).  +

De gegevens binnen de Omgevingswet dienen geclassificeerd te worden. Deze classificatie vormt de basis voor de in te richten maatregelen om de toegang tot deze informatie te reguleren.  +

Zonder koppelingen met de GDI-bouwstenen en het DSO functioneert de informatievoorziening voor de Omgevingswet niet. Het is daarom essentieel dat deze koppeling op de juiste wijze veilig gefaciliteerd wordt.  +

Er dient een proces ingericht te worden waarin alle gebruikers worden geregistreerd en de toegangsrechten worden beheerd.  +

Bij ieder systeem kan een verstoring of defect optreden. Bij het verliezen van informatie kunnen de processen binnen de Omgevingswet niet meer functioneren. Een goede backup is onmisbaar voor het beschikbaar houden van de benodigde informatie. Dit is een van de eerste maatregelen die getroffen moeten worden bij informatiesystemen.  +