Sinds de coronaperiode is hybride vergaderen en werken buiten de gemeentelijke locaties gemeengoed geworden. Dit vraagt om extra aandacht voor een goede informatiebeveiliging en zorgvuldig gebruik van (privacygevoelige) gegevens. In 2022 is daarom verder gewerkt aan blijvend bewustzijn bij medewerkers met betrekking tot het veilig werken met persoonsgegevens van inwoners.
Onze Chief Information Security Officer (CISO) en Privacy Officer (PO) adviseren over een veilige en zorgvuldige omgang met persoonsgegevens. Daarnaast houdt onze aangestelde Functionaris voor de Gegevensbescherming (FG) intern onafhankelijk toezicht op deze juiste omgang en de naleving van de Algemene Verordening Gegevensbescherming (AVG). Aan de hand van het vastgestelde informatiebeveiligingsbeleid en het privacybeleid wordt er voortdurend gewerkt aan het verminderen van risico’s op het gebied van informatiebeveiliging en privacy. Het uitvoeren van risicoanalyses voor de informatiesystemen en processen is ook in 2022 doorgezet en stelt ons in staat om op dit gebied beheersmaatregelen te treffen. Wat hebben we in 2022 gedaan?
- We hebben voortdurend het informatiebeveiligingsbeleid uitgevoerd. Dit beleid is gebaseerd op de BIO (Baseline Informatiebeveiliging Overheid). Voorbeelden van wat we gedaan hebben zijn onder andere het uitvoeren en verder ontwikkelen van risicoanalyses, toegangsbeveiliging en effectief omgaan met beveiligingsincidenten;
- De ENSIA-audit 2022 is uitgevoerd. Dit is een audit op de gegevensbescherming volgens de BIO & AVG;
- Als werkgever van BOA’s moeten we als gemeente ook voldoen aan de Wet politiegegevens (Wpg). De Wpg verplicht om jaarlijks een interne controle en iedere vier jaar een externe controle uit te voeren. Deze controles worden ‘audits’ genoemd. In 2022 zijn de eerste audits uitgevoerd en het rapport van de externe audit is op tijd aangeleverd bij de Autoriteit Persoonsgegevens (AP). De AP heeft geconstateerd dat er over het algemeen zorgvuldig wordt gehandeld, maar dat niet op alle onderdelen wordt voldaan aan de Wpg. Om dit te verbeteren maken we in 2023 een plan;
- In het verwerkingsregister worden de gegevensverwerkingen vastgelegd, inclusief eventueel daarbij betrokken (externe) partijen. Er is gekozen voor een nieuwe vorm van het verwerkingsregister. Daarbij sluiten we aan op een nieuwe applicatie die ook gebruikt wordt voor het informatiebeheer. Zo kunnen we werken vanuit dezelfde gegevens en processen. De invoering is gestart in 2022 en zal worden afgerond in 2023. Tijdens de invoering wordt ook het hele verwerkingsregister geactualiseerd;
- Heel 2022 zijn er verwerkersovereenkomsten afgesloten en zijn er risicoanalyses (DPIA’s) uitgevoerd;
- Extra aandacht is er geweest voor de bedrijfscontinuïteit in de processen en bij de inkoop en onderhoud van ICT-systemen.