Trends en ontwikkelingen
De ontwikkelingen in kunstmatige intelligentie (AI), algoritmen en andere technologie die (persoons)gegevens gebruiken, gaat razendsnel. Vooral kunstmatige intelligentie biedt steeds meer kansen voor kwaadwillende partijen. Zij kunnen hierdoor makkelijker schadelijke software maken en verspreiden. Dit maakt het steeds moeilijker om (persoons)gegevens goed te beveiligen, wat een vereiste is vanuit de Algemene Verordening Gegevensbescherming (AVG) en de archiefwet.
We zien ook dat wet- en regelgeving hierop reageert. Voorbeelden zijn de AI-verordening, de Cyberbeveiligingswet en de geplande verplichte inventarisatie van algoritmes in het algoritmeregister.
De Europese Richtlijn Netwerk- en Informatiesystemen 2.0 (NIS2) zal naar verwachting vanaf 2026 in Nederland van kracht worden onder de Cyberbeveiligingswet (Cbw).
De grootste veranderingen met de komst van de Cbw zijn voor ons als lokale overheid:
- Het BIO (Baseline Informatiebeveiliging Overheid) kader waarin we nu werken wordt omgezet naar een BIO 2.0, waarbij aanvullende eisen worden toegevoegd conform de Cbw.
- De Cbw is een verplichting voor alle digitale dienstverleners. Er wordt een onafhankelijke toezichthouder aangesteld, de Rijksinspectie Digitale Infrastructuur, met de vrijheid om onderzoek te doen naar partijen in de scope van de Cbw en deze te beboeten als zij niet voldoen aan de Cbw, zoals de Autoriteit Persoonsgegevens dat kan bij de AVG.
- Er komt een 24-uursmeldplicht voor alle beveiligingsincidenten aan deze onafhankelijke toezichthouder.
Naast de actieve en de passieve openbaarmaking verplicht de Wet open overheid tot het op orde krijgen van de informatiehuishouding binnen acht jaar na inwerkingtreding van deze wet. Wij zetten ons in om hieraan te voldoen. Nadere toelichting is opgenomen in paragraaf 3.6.
Als het gaat om compliance, oftewel het voldoen aan wet- en regelgeving en je daarover moeten en kunnen verantwoorden, dan zien nog een trend. De maatschappij verlangt steeds sterker van gemeenten dat (financiële) opgaven worden gerealiseerd in balans met sociale belangen en het milieu. Hiervoor heeft de Europese Unie al richtlijnen voor verslaggeving vastgesteld, de zogenoemde Corporate Sustainability Reporting Directive (CSRD) en de European Sustainability Reporting Standards (ESRS). Op termijn zullen gemeenten dus ook aan deze verslagleggingsregels moeten voldoen ten behoeve van een af te leggen verantwoording.
WAT WILLEN WE BEREIKEN?
Doel:Medewerkers en bestuurders ontwikkelen een groter bewustzijn van de diverse risico's op het gebied van privacy, informatieveiligheid, duurzame toegankelijkheid (archiving), juridische kwesties en imago.
WAT GAAN WE DAARVOOR DOEN?
Activiteit | Type | Omschrijving activiteit |
|---|---|---|
A1 | Project | We blijven werken aan de bewustwording omtrent Privacy en Informatieveiligheid (PIV) en archiving middels periodieke acties, PIV-vertegenwoordigers en het aanbieden van trainingen. |
A2 | Proces | We vergroten het risicobewustzijn door op de teams een risicospel te spelen. |
WAT WILLEN WE BEREIKEN?
Doel: De informatie en de informatiebronnen voldoen aan de wet- en regelgeving.
WAT GAAN WE DAARVOOR DOEN?
Activiteit | Type | Omschrijving Activiteit |
|---|---|---|
B1 | Proces | We werken continu aan de verbetermaatregelen voor de Basisregistratie Adressen en Gebouwen (BAG) zoals deze zijn beschreven in de ENSIA-rapportage. |
B2 | Proces | We houden de maatregelen uit het DigiD en Suwinet normenkaders op peil. |
B3 | Project | De achterstand in het verplicht vernietigen van informatie zal projectmatig worden weggewerkt. |
B4 | Proces | Jaarlijks monitoren we het dashboard Interbestuurlijk toezicht van de Provincie en rapporteren we hierover aan de raad. |
WAT WILLEN WE BEREIKEN?
Doel:Het college van burgemeester en wethouders beschikt over voldoende kwalitatieve en kwantitatieve informatie zodat de rechtmatigheidsverantwoording opgesteld en in de jaarstukken opgenomen kan worden.
WAT GAAN WE DAARVOOR DOEN?
Activiteit | Type | Omschrijving activiteit |
|---|---|---|
C1 | Proces | We stellen een plan van aanpak Rechtmatigheid op. Op basis van de evaluatie nemen we acties op ter verbetering van de interne beheersing. |
C2 | Project | De verbijzonderde interne controle door te ontwikkelen van een gegevensgerichte controle naar een procesgerichte controle en in de toekomst naar een systeemgerichte controle. Hiervoor stellen we een meerjarig VICplan op. |
C3 | Project | Het doorontwikkelen van Audit en Control met behulp van HR-control, JZ-control en I-control om door te groeien naar het kunnen afleggen van een In control Statement waarbij de verantwoording gericht is op brede bedrijfsvoering. |
WAT WILLEN WE BEREIKEN?
Doel:Het versterken van (financiële) sturing en beheersing.
WAT GAAN WE DAARVOOR DOEN?
Activiteit | Type | Omschrijving activiteit |
|---|---|---|
D1 | Project | We blijven de bestuurlijke P&C cyclus en producten doorontwikkelen. Dit wordt uitgevoerd in samenwerking tussen leden van de drie auditcommissies, portefeuillehouders financiën, de griffies en het ambtelijk apparaat. |
D2 | Proces | We stellen een onderzoeksplan onderzoeken doelmatigheid en doeltreffendheid op voor 1 april. |
D3 | Proces | We voeren twee onderzoeken doelmatigheid en doeltreffendheid uit voor de drie gemeenten tezamen. |
D4 | Project | De in 2025 vastgestelde integriteitscode wordt verder geïmplementeerd. Tevens zal er bij de bestuurswisselingen als gevolg van de verkiezingen aandacht zijn voor goed en integer bestuur door onder andere screening van nieuwe bestuurders. |
WAT WILLEN WE BEREIKEN?
Doel: Rechtmatige juridische besluitvorming.
WAT GAAN WE DAARVOOR DOEN?
Activiteit | Type | Omschrijving Activiteit |
|---|---|---|
E1 | Proces | Het adequaat behandelen van klachten en bezwaren en WOO-verzoeken. |
E2 | Proces | Gevraagd en ongevraagd geven van juridisch advies over (nieuwe en/of gewijzigde) wetgeving en jurisprudentie, juridische risico’s, mandaten, het correct volgen van procedures, het zorgvuldig afwegen van belangen en het onderbouwen van besluiten. |
WAT WILLEN WE BEREIKEN?
Doel: De gemeente verbetert haar positie op het gebied van rechtmatigheid binnen de domeinen privacy en informatieveiligheid.
WAT GAAN WE DAARVOOR DOEN?
Activiteit | Type | Omschrijving activiteit |
|---|---|---|
F1 | Project | We stellen duidelijke doelen op en zorgen voor een effectieve uitvoering daarvan, gericht op het implementeren van de verplichtingen uit de privacy- informatieveiligheidswetgeving. |
F2 | Proces | FG en CISO houden toezicht op naleving van de geldende privacy- en informatieveiligheidswetgeving, inclusief de nieuwe Cyberbeveiligingswet. |
F3 | Project | We gaan verder met de implementatie van de Wpg, gestuurd door verbeterpunten voortkomend uit de Wpg audits. |
HOE GAAN WE DAT METEN?
Effectindicatoren (incl. bron) | Laatste meting | Begroting 2026 | Streefwaarde 2029 |
|---|---|---|---|
Doel 1 vergroten risico bewustzijn | |||
1. De organisatie laat een stijgende lijn zien in haar score op het gebied van privacy- en informatieveiligheidsbewustzijn (gemeten middels de nano-learning score). | ja | ja | ja |
2. De resultaten van het risicospel worden voortaan meegenomen in de P&C cyclus (en faciliteren betere sturing op risico's). | nee | ja | ja |
Doel 2 informatiebronnen voldoen aan wet | |||
1. Alle geo-basisregistraties (BAG/BGT/BRO) scoren voldoende (>75%) | ja | ja | ja |
2. Er wordt een collegeverklaring DigiD en Suwinet afgegeven waarin alle maatregelen worden beheerst. | nee | ja | ja |
3. Er wordt in voldoende mate voldaan aan de Archiefwet, en aanpalende wet- en regelgeving. Dit wordt jaarlijks getoetst door de gemeentearchivaris (horizontaal toezicht) en het Interbestuurlijk Toezicht (verticaal toezicht). De uitkomsten hiervan zijn te vinden in het IBT-dashboard van de provincie Zuid-Holland. | geel | geel | groen |
Doel 3 Rechtmatigheidsverantwoording | |||
Goedkeurende controleverklaring bij de rechtmatigheidsverantwoording. | ja | ja | ja |
Doel 4 financiële sturing en beheersing | |||
De afwijkingen begrotingsrechtmatigheid vallen binnen de tolerantiegrenzen | ja | 1%> | 1%> |
Doel 6 Privacy en informatieveiligheid | |||
1. Conform de Jaarrapportage van de Functionaris Gegevensbescherming (FG) en Chief Information Security Officer (CISO) heeft het AVG-volwassenheidsniveau voor privacy niveau 3 bereikt, en scoren we op de categorieën voor informatieveiligheid minimaal een voldoende. | nee | nee | ja |
2. De Wpg audit resultaten laten een vooruitgang zien ten opzichte van voorgaande jaren. | ja | ja | ja |
Prestatie indicatoren (incl. bron) | Laatste meting | Begroting 2026 | Streefwaarde 2029 |
|---|---|---|---|
Doel 1 vergroten risicobewustzijn | |||
1.1 Het aantal datalek/incident-meldingen neemt toe. | 33 | 40 | 40 |
1.2 Het aantal datalek/incident meldingen aan AP/IBD neemt toe. | 3 | 4 | 4 |
2.1 Alle teams hebben minimaal één keer meegedaan aan het risicospel. | nee | ja | ja |
Doel 2 informatiebronnen voldoen aan de wet. | |||
We verhogen onze ENSIA-score voor de basisregistratie Adressen en Gebouwen. | 83% | 85% | 85% |
We behouden onze huidige ENSIA-score binnen het normenkader DigiD en Suwinet. | voldoen niet volledig | voldoen volledig | voldoen volledig |
Op het IBT-dashboard van de provincie Zuid-Holland scoort het informatie- en archiefbeheer weer groen. | geel | geel | groen |
Doel 3 Rechtmatigheidsverantwoording | |||
Het college heeft de rechtmatigheids-afwijkingen opgenomen in de verantwoording in de jaarstukken 2025. | Ja | Ja | Ja |
Doel 4 financiële sturing en beheersing | |||
Aantal programma’s dat is verbeterd in de programmabegrotingen van de gemeenten. | 1 | 2 | 4 |
Doel 5 Rechtmatige juridische besluitvorming. | |||
Het aantal WOO-verzoeken daalt. | 26 | 25 | 23 |
Het aantal klachten neemt af. | 30 | 28 | 26 |
Het totaal aantal bezwaren neemt af | 48 | 47 | 44 |
Het percentage ongegronde bezwaren neemt toe. | 81% | 84% | 90% |
Doel 6 privacy en informatieveiligheid | |||
We ronden alle punten uit het gegevensbeschermingsplan af. | nee | ja | ja |
De gemeente ontvangt een Wpg-audit rapport inclusief aanbevelingen. | ja | ja | ja |
Verhoogde Digitale Weerbaarheid + meldplicht is geïmplementeerd. | nee | ja | ja |
Samenwerkingspartners
Verbonden partijen | Overige samenwerkingspartners |
|---|---|
Erfgoed Leiden | Informatiebeveiligingsdienst |
Voor informatie over de verbonden partijen wordt verwezen naar de paragraaf Verbonden partijen.