Verantwoord omgaan met informatie

We hebben stappen gezet in informatiebeveiliging, privacybescherming en procesbewustzijn. Security by design en privacy by design worden steeds vaker toegepast, maar we moeten nog stappen zetten om risicomanagement toe te passen en om volledig te voldoen aan de Cyberbeveiligingswet. Tegelijkertijd is informatiebeheer vaak nog versnipperd georganiseerd, met risico’s op overdraagbaarheid, transparantie en compliance. Informatiebeheer wordt nu nog te vaak gezien als ‘laatste stap’ in plaats van een integraal onderdeel van het proces. De volgende stap is een integrale benadering waarin informatie vanaf het ontstaan goed wordt beheerd én beveiligd. Door verdere standaardisatie, bijvoorbeeld met een gezamenlijk informatiebeveiligings, informatiebeheer- en privacy beleid, bewustwording en slimme technologieën kunnen we verder professionaliseren op dit thema.

Wij bouwen aan een veilige, transparante en beheersbare informatievoorziening waarin informatiebeveiliging, privacy en informatiebeheer hand in hand gaan:

• Security & privacy by design – Veiligheid en privacy worden standaard meegenomen in ontwerp en uitvoering van processen en systemen.
• Informatiebeheer by design – Informatiebeheer start niet achteraf, maar bij het ontwerp van processen, applicaties en teams.
• Bewustzijn en professionaliteit – Elke medewerker heeft een rol in veilig en verantwoord omgaan met informatie.
• Samenwerking met archiefdiensten – Digitale archivering wordt structureel georganiseerd in samenwerking met het West-Brabants Archief en het Zeeuws Archief.
• Governance en eigenaarschap – Heldere afspraken over wie waarvoor verantwoordelijk is binnen informatiebeveiliging én informatiebeheer.
• Investeren in innovatieve technieken voor informatiebeheer, digitale weerbaarheid en innovatieve beveiligingstechnologieën.

We streven naar een digitale werkomgeving waarin informatiebeveiliging, privacy en informatiebeheer structureel zijn verankerd. Veilig en betrouwbaar en verantwoord werken is niet alleen een technische uitdaging, maar een collectieve verantwoordelijkheid die bij alle medewerkers en teams begint.

We zetten in op:

• Privacy en informatiebeveiliging als mindset, geïntegreerd in processen en werkcultuur.
• Security & privacy by design, waarbij beveiliging en privacy direct worden meegenomen in de ontwikkeling of aanschaf van systemen en diensten.
• Onze informatiesystemen zijn ingericht om de informatie duurzaam toegankelijk te maken en te houden.
• Informatiebeveiliging is risicomanagement en risicomanagement is onderdeel van de besluitvorming door directie en bestuur (financiële, juridische, personele risico’s).
• Verhoogd eigenaarschap in uitvoerende teams, zodat verantwoordelijkheid voor digitale veiligheid breed wordt gedragen.
• Een duidelijke invulling van cruciale functies zoals Chief Information Security Officer (CISO), Technical Information Security Officer (TISO), Information Security Officer (ISO), Privacy Officer (PO), Functionaris Gegevensbescherming (FG) en Informatiebeheerder.
• 24/7 monitoring, detectie en respons, inclusief beveiliging van SaaS-oplossingen.
• Een gezamenlijk privacy- en informatiebeveiligingsbeleid, dat in de hele regio wordt nageleefd.
• Een integrale visie over zaakgericht werken. We maken een roadmap op informatiebeheer en -beveiliging, inclusief de tactische positionering van IB-teams, heldere proces- en eigenaarschapsafspraken. Daarnaast zorgen we voor digitale archivering in samenwerking met het West Brabants Archief en Zeeuws Archief (inclusief dynamische informatie en een duidelijke rolverdeling tussen toezicht en uitvoering).
• Informatie- en privacybeheer als standaardonderdeel van processen, met ‘information, security & privacy by design’ als uitgangspunt bij de ontwikkeling of aanschaf van systemen en diensten.
• Slim en veilig gebruik van Microsoft 365 als informatiesysteem, door standaardisatie van toewijzing, classificatie en bewaartermijnen én aansluiting op archiefwaardige structuren.
• Verankering van risicomanagement in bestuurlijke besluitvorming, waarbij informatiebeveiliging en privacy gelijkwaardig zijn aan andere organisatie-brede risico’s.
• Professionalisering van digitale veiligheid en informatiebeheer, door duidelijke invulling van sleutelrollen (zoals CISO, (T)ISO, PO, FG en Informatiebeheerder) en versterkt eigenaarschap bij uitvoerende teams, ondersteund door 24/7 monitoring en beveiliging van SaaS-oplossingen.

Onze kernwaarden:

• Security & privacy en informatiebeheer by design – informatiebeveiliging, privacy en- beheer is geen losse toevoeging, maar een basisprincipe.

• Bewustwording bij alle medewerkers – Iedereen heeft een rol in digitale veiligheid, privacy en informatiebeheer.

• Bereidheid & bewust handelen – Veilig en verantwoord werken is een gezamenlijke verantwoordelijkheid.

• Betrouwbaar – Informatie is integer, actueel en zorgvuldig beheerd.

• Openheid & verantwoordelijkheid – Transparante communicatie over risico’s en incidenten.

Langetermijnresultaten:

• Privacy, informatiebeveiliging en informatiebeheer zijn structureel verankerd in processen, systemen én organisatiecultuur, met risicomanagement als integraal onderdeel van besluitvorming op alle niveaus.
• De basis is op orde en aantoonbaar compliant: een uniform beleid is regionaal afgestemd en geïmplementeerd, met naleving van wetgeving zoals de Archiefwet, Wet open overheid en toekomstige wetten (zoals de Cyberbeveiligingswet en de nieuwe Archiefwet).
• De samenwerking met Archiefdiensten is stevig gepositioneerd, met een duidelijke dienstverleningsovereenkomst (DVO) en waarbij heldere afspraken gemaakt zijn over verantwoordelijkheden, digitale archivering, e-depot en opdrachtgeverschap. Technologie ondersteunt duurzaam beheer: archivering en vernietiging verlopen geautomatiseerd via moderne systemen (zoals M365), en monitoring en respons op beveiligingsincidenten zijn structureel ingericht, ook voor SaaS-oplossingen.
• Bewustwording en professioneel handelen zijn geborgd, via structurele training, duidelijke procesafspraken en eigenaarschap binnen teams, waardoor medewerkers veilig en verantwoord met informatie omgaan.

Wij streven naar een digitale overheid waarin informatie veilig, verantwoord en duurzaam wordt beheerd. Medewerkers werken met vertrouwen in systemen en processen, burgers kunnen rekenen op transparantie en betrouwbaarheid.

We werken aan het versterken van het informatiebeheer, de informatiebeveiliging en het vergroten van de weerbaarheid tegen cyberincidenten. In 2025 wordt gestart met het opstellen van een gezamenlijke visie en roadmap, inclusief positionering van informatiebeheer binnen het bredere informatiemanagement. Dit vormt het fundament voor eenduidig handelen en effectieve besluitvorming. In 2027 wordt de basis verder versterkt met een uniforme aanpak voor risico-, maatregelen- en wijzigingsbeheer. De CISO’s en informatiebeheerders spelen hierin een coördinerende rol. Ook worden afspraken met de Archiefdiensten herzien en uitgebreid, gericht op directe digitale archivering en scheiding tussen toezicht en uitvoering. Verder werken we aan de inrichting van Microsoft 365 als beheerd informatiesysteem, met automatische toewijzing, classificatie en bewaartermijnen. We onderzoeken verder gezamenlijk hoe we strategisch kunnen omgaan met de afhankelijkheid van niet-Europese cloudleveranciers, inclusief de verkenning van Europese alternatieven die beter aansluiten bij publieke waarden en onze behoefte aan digitale autonomie. Met het oog op nieuwe wetgeving, zoals de Cyberbeveiligingswet, wordt in 2028 toegewerkt naar het inrichten van een regionale incident- en responsstructuur (CSIRT). Dit gaat gepaard met bewustwordingsprogramma’s en gerichte trainingen voor medewerkers en management en bestuur. Deze trajecten versterken gezamenlijk de basis voor een betrouwbare, transparante en toekomstbestendige informatiehuishouding.