In 2020 heeft de organisatie rondom informatiebeveiliging en privacy definitief vorm gekregen. Hiermee zijn de taken en verantwoordelijkheden bepaald en diverse relevante rollen intern belegd. Als onderdeel daarvan is medio november de concerncontroller als Functionaris voor de gegevensbescherming (FG) aangesteld. De FG houdt intern toezicht op de toepassing en naleving van de Algemene Verordening Gegevensbescherming (AVG).
Bij de overdracht heeft de vorige, externe, FG een jaarverslag opgeleverd aan het college over 2019 en 2020 tot dat moment. Hierin is een aantal aanbevelingen opgenomen waaronder opmerkingen rondom de uitvoering van DPIA’s* en gegevensverwerking in samenwerkingsverbanden. In de laatste twee maanden van 2020 zijn hier al acties voor uitgezet en is de planning van de organisatie voor 2021 in lijn hiermee bepaald. Door deze belangrijke stappen wordt het toezicht en de uitvoering van deze taken nu ook uitgevoerd in een plan-do-check-actcyclus die past in onze eigen planning- en controlcyclus.
In 2020 is verder gewerkt aan de implementatie en het door ontwikkelen van het vastgestelde informatiebeveiligingsbeleid, gebaseerd op de Baseline Informatiebeveiliging Overheden (BIO). Hierbij is ingezet op risicoanalyses bij aanschaf van nieuwe systemen en zijn verdere stappen gezet in de gewenste bedrijfscontinuïteit.
Met partijen die persoonsgegevens voor de gemeente verwerken zijn verwerkersovereenkomsten afgesloten. Het afsluiten van verwerkersovereenkomsten is een continu proces bij het aangaan van nieuwe overeenkomsten waarbij persoonsgegevens zijn betrokken.
De jaarlijkse ENSIA-audit 2020 wordt uitgevoerd en die van 2019 is afgerond. ENSIA is de zelfevaluatie voor de basisregistraties BAG, BGT, BRO, BRP reisdocumenten, DigiD en Suwinet.
Bewustwording rondom informatiebeveiliging en privacy is gebeurd door middel van intranet, sessies en door het uitvoeren van gegevensbeschermingseffectbeoordelingen (DPIA’s). Specifiek is er in 2020 extra aandacht geweest voor bewustwording in relatie tot de privacy- en informatiebeveiligingsaspecten van thuiswerken.
Datagedreven werken
In 2020 zijn we verder gegaan met zo breed mogelijk in de organisatie vraagstukken datagedreven te beantwoorden. Daarnaast zijn we een traject gestart om datagedreven werken nog gerichter door te ontwikkelen en een vaste waarde in de bedrijfsvoerings- en beleidscyclus te laten zijn.
*DPIA = Data Protection Impact Assessment: een instrument om de verwerking van persoonsgegevens te beschrijven, de noodzaak en evenredigheid ervan te beoordelen en de daaraan verbonden risico's voor de rechten en vrijheden van natuurlijke personen te helpen beheren door deze risico's in te schatten en maatregelen te bepalen om ze aan te pakken