Algemene beleidsmaatregelen | Jaarrapportage 2021

Beleidsmaatregel

Algemene beleidsmaatregelen

Omschrijving

Toelichting	Status:
Toelichting	Status:

Prestatie indicatoren

Informatiebeveiliging

Dit stond gepland in 2021

De afhankelijkheid van systemen en betrouwbare data neemt toe. Dat maakt ons digitaal kwetsbaar. Hackers proberen gebruik te maken van de mens als kwetsbare factor door bijvoorbeeld phishing-mails te sturen. Om ons hiertegen weerbaarder te maken, voeren we bewustwordingsacties uit en doen we crisisoefeningen. Ook laten we onze technische beveiligingsmaatregelen testen door middel van pen testen. We bouwen verder aan ons interne en externe netwerk om kennis over informatiebeveiliging te delen.

Dit hebben we bereikt in 2021		Status:
Dit hebben we bereikt in 2021		Status:
In 2021 is verder gewerkt aan het weerbaarder maken van de organisatie tegen digitale dreigingen. Hierbij zijn diversie middelen ingezet: bewustwordingssessies, presentaties, publicaties op het intranet en phishing testen. De uitkomsten van de phishing-testen zijn zorgelijk: er wordt nog teveel op linkjes in phishing mails geklikt. In 2022 zal een aanpak worden gehanteerd waarbij er meer aandacht wordt besteed aan “de klikkers”. Er zijn twee pen-testen (hacking testen) uitgevoerd om de feitelijke weerbaarheid van de ICT-infrastructuur te toetsen. Eén hiervan was specifiek gericht op de veiligheid van de nieuwe Windows 10 werkplekken. Er waren geen verontrustende uitkomsten. Eind 2021 is voor het eerst een crisisoefening uitgevoerd met een cyber-incident. Deze oefening was erg leerzaam. Er zal een evaluatie worden uitgevoerd en de aandachtspunten zullen in 2022 worden opgepakt. We nemen een trend waar waarbij er steeds meer kwetsbaarheden in programmatuur worden ontdekt. Deze trend is landelijk en heeft tot gevolg dat er steeds meer energie moet worden gestoken in het proces om deze lekken procatief op te sporen en vervolgens te repareren. Dit heeft consequenties voor de beheerorganisatie van de vakgroep IM/ICT. Het wereldwijde beveiligingslek uit december 2021 (Log4J) had WF snel onder controle en heeft binnen WF niet tot problemen geleid. Eind 2021 is een sectorale audit uitgevoerd omtrent Informatiebeveiliging & Privacy bij de waterschappen. De resultaten hiervan zullen in het eerste kwartaal van 2022 worden opgeleverd.

Privacy

Dit stond gepland in 2021

De Algemene verordening gegevensbescherming (AVG) richt zich op de bescherming van persoonsgegevens. We verwachten dat de invulling van deze open norm meer vorm gaat krijgen. De AVG eist dat wij kunnen aantonen dat we voldoen aan deze Europese regelgeving. In 2020 zagen we de verschuiving van maatregelen treffen naar maatregelen beheren. Het beheren doen de vakgroepen in 2021 zelf. Ze leggen verantwoording af via de P&C-cyclus, monitoren zelf hun eigen activiteiten door middel van een dashboard en leveren een bijdrage aan het aantoonbaar voldoen. We bouwen verder aan ons interne en externe netwerk om kennis over de bescherming van persoonsgegevens te delen. Daarnaast blijven we werken aan het vergroten van de bewustwording onder onze medewerkers. We stemmen dit af met andere vakdisciplines, zoals Arbo en integriteit.

Dit hebben we bereikt in 2021		Status:
Dit hebben we bereikt in 2021		Status:
De verandering van de organisatie heeft met zich meegebracht dat veel nieuwe privacy beheerders die ingewerkt moesten worden. Desondanks lopen we in de pas met de verwachte ontwikkelingen van de waterschappen.

Calamiteiten en crisisbeheersing

Dit stond gepland in 2021

In 2020 is een start gemaakt om de calamiteitenorganisatie verder te professionaliseren. We willen zo goed mogelijk voorbereid zijn op incidenten en calamiteiten om zo de veiligheid te vergroten en het afbreukrisico te verkleinen. We gaan verder met de uitwerking van de nieuwe meerjarenbeleidsvisie crisisbeheersing 2020-2023. In deze visie staan tien verbeteringen. Zo zijn we als organisatie beter ‘in controle’ op zowel operationeel, tactisch als strategisch niveau. We blijven ook sterk focussen op opleiding en trainen.

Dit hebben we bereikt in 2021

Status:

Ondanks beperkingen die werden opgelegd vanuit corona maatregelen zijn er ook het afgelopen jaar (2021) weer flinke stappen gezet op het gebied van de doorontwikkeling van de crisisorganisatie. Concrete voorbeelden zijn het slagen voor de go-live training netcentrisch werken, de werving/selectie/opleiding van nieuwe crisisfunctionarissen en de actualisatie/digitalisatie van planvorming. Naast beperkingen heeft corona ook nog positief effect gehad v.w.b. de digitalisering van overleggen i.p.v. de eerdere fysieke bijeenkomsten. Als er nu een melding komt van een incident/calamiteit/crisis dan zijn wij binnen WF in staat om binnen een half uur een eerste crisisoverleg te organiseren. Wij kunnen dus nog sneller anticiperen op onverwachte situaties.

1.   Bemensing (crisisbeheersing & crisisorganisatie): Op dit moment is de crisisorganisatie WF kwetsbaar georganiseerd omdat functies en rollen op minimale aantallen zijn bemenst.
2.   Opleiden, Trainen en Oefenen (OTO): De afgelopen periode is regelmatig gebleken dat crisisfunctionarissen niet altijd aansluiten bij geplande opleidingsactiviteiten. Er worden regelmatig andere prioriteiten gesteld waardoor de inzetbaarheid van bepaalde crisisfunctionarissen (en hiermee ook de crisisorganisatie) in het geding komen.
3.   Systemen / data: Bepaalde GEO-data zijn niet standaard ontsloten in het Landelijke Crisis Management Systeem (LCMS) waardoor crisisfunctionarissen bij incidenten, calamiteiten en crisis niet direct kunnen beschikken over de juiste informatie / kaartlagen.
4.   Samenwerking partners: WF krijgt steeds vaker de vraag om aan te sluiten bij projecten / opdrachten vanuit haar ketenpartners maar kan dit niet altijd waarmaken.
5.   Planvorming: Een van de grootste aandachtspunten betreft op dit moment de actualisatie van het bedrijfscontinuïteitsplan (BCP) op het onderdeel ICT. Het bestrijdingsplan ICT is eerder vervangen door ICT- scenario’s die in het BCP beschreven staan. Het bestrijdingsplan ICT is hiermee komen te vervallen. Deze ICT scenario’s moeten nog verder uitgewerkt worden in protocollen.

Netcentrisch werken

Dit stond gepland in 2021

Het jaar 2020stondvooral in het teken van de verbetering ’netcentrisch werken’. Netcentrisch werken is het snel en efficiënt informatie uitwisselen tussen verschillende partijen, zowel intern als extern (denk aan veiligheidsregio’s, waterschappenof Rijkwaterstaat). Zo bouwen we een gezamenlijk beeld op van een incident, calamiteit of crisis. Zo’n gezamenlijk beeld is belangrijk voor een efficiënte en effectieve gezamenlijke aanpak. In 2021 ronden we dit project af en werken we op een eenduidige manier zoals bij alle waterschappen het geval is.

Dit hebben we bereikt in 2021		Status:
Dit hebben we bereikt in 2021		Status:
Wetterskip Fryslân is in januari 2021 geslaagd voor de go-live training netcentrisch werken. Een officieel examen vanuit het Instituut Fysieke Veiligheid (IFV). Hiermee behoort WF nu ook tot het landelijk netwerk netcentrisch werken.