Informatie en gegevensbescherming
Informatiemanagement
In 2018 is het informatiebeleid door de gemeenteraad vastgesteld. Informatiemanagement is het proces van afstemmen van mensen, middelen en maatregelen om aan de informatiebehoefte van de klanten, ambtelijke en bestuurlijke organisatie te voldoen. De pijlers van het beleid zijn:
- Flexibele en toekomstbestendige inrichting van de informatievoorziening en automatisering;
- Met eigentijds middelen en werkwijzen die aansluiten op de manier van communiceren van de klant;
- Zodat integraal samenwerken intern en met partners gemakkelijk mogelijk is;
- En Meierijstad transparant is in haar handelen, waar dit mogelijk is en mag.
In 2019 zijn we verder gegaan op de ingeslagen weg rond digitaal en procesmatig werken, zodat de dienstverlening effectief en efficiënt verloopt. Dit doen we door de digitale drempels te minimaliseren (digitale toegankelijkheid) en goed samen te werken in het informatiedomein. We nemen deel aan meerdere projecten om mensen te helpen goed digitaal te kunnen (samen)werken en het aspect informatie goed te gebruiken. De eerste stappen (agendering, bewustwording) naar data gedreven werken zijn gezet en de eerste versies van een aantal dashboards zijn opgeleverd en die van het sociaal domein getoond aan de gemeenteraad. Voor de klanten zijn we met eenvoudige persoonlijke internetpagina gestart.
We ondersteunen bij het optimaliseren van de processen en de aansluiting van de ondersteunende informatievoorziening door onder architectuur te gaan werken.
Informatieveiligheid
De gemeente Meierijstad vindt informatieveiligheid belangrijk en heeft hiervoor ook de nodige stappen genomen in 2019. Zij is hierbij niet een van de voorlopers maar loopt ook zeker niet achter op andere gemeenten. Zij voert stap voor stap maatregelen in waarbij een stijgende lijn te zien is in het verbeteren van de veiligheid van de informatie waarover zij beschikt. De gemeente is op de goede weg maar ze is er nog niet. Meerdere stappen zijn nodig en zullen in aankomende jaren dan ook verder genomen worden.
In 2019 is veel aandacht besteed aan het vergrote van de bewustwording van de medewerkers op het gebied van informatiebeveiliging. Daarnaast zijn extra technische en procedurele maatregelen ingevoerd.
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Gemeente (BIG) vervangen door de Baseline Informatiebeveiliging Overheid (BIO). In 2019 zijn hiervoor voorbereidende activiteiten uitgevoerd. Er is een vergelijking gemaakt tussen de maatregelen in de BIG en die in de BIO staan. Daarna is gekeken welke maatregelen nog ingevoerd moeten worden en in welke volgorde. In 2020 zullen de nodige activiteiten hiervoor opgepakt worden. De totale implementatie van de BIO is een meerjarenplan. Vandaar dat er een prioriteitsplanning is gemaakt.
In 2019 hebben de volgende zelfevaluaties plaatsgevonden:
- basisregistratie grootschalige topografie (BGT),
- basisregistratie adressen en gebouwen (BAG),
- basisregistratie ondergrond (BRO)
- implementatie beveiligingsmaatregelen BIG,
- gebruik Suwinet,
- DigiD aansluitingen.
Net als in 2017 en 2018 zijn in 2019 de hierboven genoemde zelfevaluaties op de verschillende gebieden uitgevoerd via de Eenduidige Normatiek Single Information Audit (ENSIA). Volgens de richtlijnen van deze audit zijn de uitkomsten van deze evaluaties via een college verklaring met Assurance rapport apart aan de Raad teruggekoppeld. De resultaten van alle zelfevaluaties zijn als voldoende beoordeeld.
Op grond van de Wet Basisregistratie Personen (Wet BRP) en artikel 94 van de Paspoortuitvoeringsregeling Nederland 2001 zijn gemeenten verplicht om de inrichting, werking en beveiliging van de basisregistratie personen (BRP) en paspoorten en Nederlandse identiteitskaarten (PNIK), jaarlijks te evalueren. De desbetreffende evaluaties zijn in 2019 uitgevoerd en als voldoende beoordeeld. Zoals verplicht zijn de uittreksels van de resultaten van 2019 naar RvIG en de Autoriteit Persoonsgegevens gestuurd.
Gegevensbescherming
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG zorgt onder meer voor:
- versterking en uitbreiding van privacy-rechten;
- meer verantwoordelijkheden voor organisaties;
- dezelfde, stevige bevoegdheden voor alle Europese privacy-toezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
De gevolgen van de wet zijn voor de bedrijfsvoering fors. In 2019 zijn er verdere stappen gezet zoals het vaststellen van het privacy-beleid, het vastleggen van de procedures bij datalekken en bij de rechten van betrokkenen, het opstellen van een format verwerkersovereenkomst, de opzet van een verwerkingsregister, het investeren in bewustwording enz.
De belangrijkste werkzaamheden die in 2019 zijn uitgevoerd:
- Actualiseren van eerder opgestelde privacy beleidsdocumenten en het inrichten van privacy in de organisatie en bedrijfsprocessen;
- Inventariseren en waar nodig actualiseren en afsluiten van verwerkersovereenkomsten en convenanten met derde partijen (verwerkers);
- Afhandelen van datalek meldingen en verzoeken van betrokkenen;
- Actualiseren en aanvullen van het (verplichte) register van verwerkingen van persoonsgegevens;
- Uitvoeren Privacy Impact Assessments (PIA’s): Dit is een verplicht instrument waarmee privacy-risico’s van een gegevensverwerking in kaart gebracht worden en waarmee gerichte maatregelen genomen kunnen worden om de risico’s te verkleinen.
- Onderzoeken Privacy by design: Dit zijn onderzoeken die ervoor zorgen dat, bij het ontwerpen van producten en diensten, persoonsgegevens goed worden beschermd en dat er niet meer gegevens verzameld en bewaard worden dan noodzakelijk voor het doel van de verwerking.
- Onderzoeken Privacy by default: Dit zijn onderzoeken die zich richten op de benodigde technische en organisatorische maatregelen om te bereiken dat er, als standaard, alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het te bereiken doel.
- Het verder vergroten van de bewustwording bij het personeel door middel van trainingen en adviezen.