Informatieveiligheid en privacy
Burgers en bedrijven verwachten een betrouwbare overheid die zorgvuldig met informatie omgaat. Wij spelen hier als gemeente een belangrijke rol in. Het gaat om beschikbaarheid, integriteit en vertrouwelijkheid van informatie, in de meest brede zin van het woord. Het waarborgen van de betrouwbaarheid van informatie zorgt voor een goede kwaliteit en continuïteit van de bedrijfsvoerings- en dienstverleningsprocessen.
Hoe staan we ervoor?
Gemeente Medemblik startte met de verbetering van de processen rondom informatieveiligheid, zodat we groeien naar het gewenste beveiligingsniveau. In 2018 besloten we een aantal belangrijke processen te verbeteren. Zoals logische en fysieke toegangsbeveiliging.
De borging van een gewenst beveiligingsniveau staat en valt met het creëren van voldoende bewustzijn bij medewerkers. Wij voerden het afgelopen jaar bewustwordingsacties uit, onder andere door phishing-testen. Dit continueren we in 2019.
ENSIA (Eenduidige Normatiek Single Information Audit)
We legden het afgelopen jaar de ENSIA verantwoording af en leverde dit tijdig in. Door middel van verschillende sessies met betrokken medewerkers hebben we de ENSIA zelfevaluatievragenlijsten ingevuld en verbeteracties geformuleerd. Wij leggen, op basis van ENSIA, met een collegeverklaring verantwoording af aan de raad over de geselecteerde informatiebeveiligingsnormen inzake SUWInet. Een externe IT-auditor heeft inmiddels tijdens een pre-audit verklaard dat de interne beheersingsmaatregelen in opzet en bestaan voldoen aan de geselecteerde normen inzake SUWInet. De daadwerkelijke audit zal in het eerste kwartaal van 2019 plaatsvinden.
Algemene Verordening Gegevensbescherming (AVG)
De AVG stelt eisen aan de omgang met en het verwerken van persoonsgegevens. Binnen gemeente Medemblik wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk gebruikt voor het goed uitvoeren van de gemeentelijke (wettelijke) taken. In afwachting van nog vast te stellen beleid, zijn de benodigde werkzaamheden die voortvloeien uit de AVG vooralsnog centraal ondergebracht bij het taakveld Juridische Zaken.
In 2018 zetten we stappen om te voldoen aan de AVG, zoals:
- Het aanstellen van een functionaris gegevensbescherming (FG). Gemeente Medemblik is op basis van de AVG verplicht om een FG aan te stellen. De FG is de onafhankelijke toezichthouder binnen de gemeente Medemblik op het gebied van privacy- en informatiebeveiliging.
- Het borgen van de formele verplichtingen uit de AVG;
- Register van verwerkingsactiviteiten: Gemeente Medemblik heeft 65 processen opgenomen in haar register van verwerkingsactiviteiten.
- Register van datalekken. In 2018 hebben er zich 12 data-incidenten voorgedaan, waarvan er 5 zijn gemeld aan de Autoriteit Persoonsgegevens (AP). Bij het afhandelen van de datalekken is in alle gevallen het advies van de FG en/of informatiebeveiliger gevraagd.
- Afspraken externe partijen. Gemeente Medemblik inventariseert doorlopend met welke partijen zij gegevens uitwisselt.
- Rechten van betrokkenen. In 2018 heeft gemeente Medemblik het voor betrokkene mogelijk gemaakt om via DigiD haar privacyrechten in te kunnen roepen. Hiervan hebben drie personen gebruik gemaakt.
- Het organiseren van bewustwordingsacties. Gedurende 2018 zijn er verschillende bewustwordingsacties georganiseerd.
- Het opstellen van een nieuwe privacyverklaring op de website van gemeente Medemblik.
- Het uitvoeren van privacy onderzoeken.
We werken binnen de regio Westfriesland steeds meer samen op het gebied van privacy. In 2018 werkten we onder andere samen in het kader van kennisdeling en advisering van gemeenschappelijke regelingen over nieuwe privacy eisen.
Hierbij heeft het programma Harmonisatie Informatielandschap Westfriesland een afwijkende status. Vanuit de Westfriese gemeenten wordt gemeente Medemblik door de FG vertegenwoordigd in het Regionaal Privacy Team (RPT). Het RPT ondersteunt de harmonisatieprojecten bij het implementeren van privacy en informatiebeveiliging.