De gemeente hecht een grote waarde aan de beheersing van haar organisatie gericht op de identificatie van risico’s zowel strategisch, tactisch en operationeel. Om inzicht te krijgen in de risico’s en tevens de beheersmaatregelen om deze te beperken of mogelijk te accepteren blijft de gemeente investeren in de versterking van de beheersorganisatie. In 2024 is verder gewerkt aan de implementatie van de module risicomanagement in de controlapplicatie. Met deze module zijn we in staat om inzicht te krijgen in alle mogelijke risico’s die invloed hebben op de realisatie van de doelstellingen van de organisatie, zowel qua bedrijfsvoering als beleidsmatig. Daarnaast is de functie projectcontrol uitgewerkt en zijn de eerste functies bemenst. Deze medewerkers geven invulling aan de versterking van de interne beheersing en bewaking van de financiële risico’s van het projectenportofolio. Evenals voorgaande jaren zijn drie rapportages opgesteld over de kwaliteit van de interne beheersorganisatie met aanbevelingen voor verbetering. De gemeente is voldoende 'in control' om mogelijke onrechtmatigheden tijdig te detecteren en hierop te acteren indien noodzakelijk. De rechtmatigheidsverantwoording 2024 is in deze jaarstukken opgenomen.

Informatiebeveiliging en Privacy

Met de toenemende digitalisering en de groter wordende cyberdreiging groeit informatiebeveiliging uit tot een strategische prioriteit binnen de gemeente. We hebben daarom gewerkt aan nieuwe verbeterplannen voor informatiebeveiliging en privacy met als doel om als gehele organisatie te voldoen aan de geldende wet- en regelgeving. Tegelijkertijd hebben we ons gericht op voorbereiding voor het implementeren van nieuwe wet- en regelgeving als de Network and Information Security Directive 2 (NIS2), de cyberbeveiligingswet en de Baseline Informatiebeveiliging Overheid 2 (BIO2). Om een consistente en schaalbare aanpak te hebben voor uitvoering, toezicht, onafhankelijke evaluatie en compliance is het Information Security Management System (ISMS) opgezet. Een ISMS is een gestructureerd raamwerk dat ons helpt om informatiebeveiliging systematisch te beheren en te verbeteren. Daarbij is de menselijke factor van groot belang. Nieuwe medewerkers zijn getraind en medewerkers zijn ondersteund op het gebied van security bewustwording. Ook is de samenwerking van maatregelen op het gebied van techniek, proces en mens en de grip op beveiligingsprocessen versterkt. Periodieke onafhankelijke toetsing zorgt ervoor dat effectiviteit en de naleving van beleidskaders en regelgeving zijn geborgd. Daarom hebben we naast de jaarlijkse BIO-meting en ENSIA eind 2024 ook de daadwerkelijke weerbaarheid van onze organisatie getest door middel van een Red Teaming oefening, waarbij ingehuurde hackers een daadwerkelijke aanval simuleren. Dat heeft goede aanbevelingen voor verbetering opgeleverd. We hebben ook een vernieuwd Dreigingsbeeld Haarlemmermeer gemaakt en vandaaruit zijn we gestart met de maandmonitor informatiebeveiliging. Hiermee informeren we verschillende betrokkenen over de meest belangrijke interne en externe ontwikkelingen op het gebied van informatiebeveiliging.

Vanuit de wettelijke taak van de Functionaris Gegevensbescherming is gerapporteerd over de toepassing en naleving van de privacywetgeving (AVG en Wpg). De wettelijke verplichte voorafgaande risico-inventarisaties (DPIA’s) en het treffen van extra gegevensbeschermings-maatregelen vragen nog meer aandacht. De vernieuwing van een aantal grote applicaties en ICT projecten zijn door de Functionaris Gegevensbescherming vanuit Privacy oogpunt bekeken.

In 2024 zijn er 41 datalekken in het incidentenregister geregistreerd, dit is vergelijkbaar met vorig jaar (44 in 2023). Er zijn negen gemeentelijke devices zoekgeraakt, dit is een stijging ten opzichte van 2023 (zes in 2023). Het risico op misbruik van de ontvreemde devices is gering, omdat de gemeente bij de eerste inlogpoging op afstand de data blokkeert en wist. Het actueel en goed gevuld houden van het Register van verwerkingen met de wettelijk verplichte gegevens blijft een aandachtspunt. Er is gestart met de structurele verbetering van privacy en informatiebeveiliging in het programma voor privacy en informatiebeveiliging.