Privacyfunctionaris moet zorgen gemeenten wegnemen
Gemeenten moeten alle zeilen bijzetten om te voldoen aan de op handen zijnde Europese privacyverordening, die vermoedelijk in 2018 in werking treedt. In het huidige nummer van Binnenlands Bestuur geven experts van diverse gemeenten aan dat een eigen privacy-functionaris een goede manier kan zijn om problemen te voorkomen.
Gemeenten moeten alle zeilen bijzetten om te voldoen aan de op handen zijnde Europese privacyverordening, die vermoedelijk in 2018 in werking treedt. In het huidige nummer van Binnenlands Bestuur geven experts van diverse gemeenten aan dat een eigen privacy-functionaris een goede manier kan zijn om problemen te voorkomen.
Voorbereidingen op nieuwe privacy-verordening
Veel gemeenten moeten, in het kader van een nieuwe verordening, nog flinke maatregelen nemen om te kunnen voldoen aan nieuwe, strengere Europese privacyreglementen voor publieke organisaties. Over die voorbereidingen vertellen de Kempengemeenten en gemeente Zaanstad in Binnenlands Bestuur. Hoewel het niet verplicht is, wordt een privacyfunctionaris aanstellen of inhuren als goede optie gezien, zo vertelt juridisch businesscontroller Liesbeth Beekhuis bij gemeente Zaanstad over de voorbereidingen op de komende verordening. De functionaris dient als centraal orgaan en aanspreekpunt binnen de organisatie. 'Een ‘eigen’ functionaris heeft mijn voorkeur en lijkt mij op langere termijn voordeliger dan een externe functionaris inhuren. Bovendien houd je met een eigen functionaris de kennis in huis. Er moet iemand zijn die ‘boven de verschillende afdelingen’ privacyproblemen constateert. Iemand die een helikopterview hanteert en met zijn bevindingen aan de slag kan gaan.'
Privacyfunctionaris delen met meerdere kleine gemeenten
Een privacyfunctionaris kan veel incidenten voorkomen, maar is een eigen ‘privacyofficer’ voor kleinere gemeenten financieel wel haalbaar? In eerste instantie niet voor de Brabantse Kempengemeenten Bergeijk, Bladel, Eersel, Oirschot en Reusel-De Mierden, maar met vereende financiële middelen wordt het ineens realistisch. De verschillende onderdelen zoals de sociale dienst en burgerzaken presteren op privacygebied goed, zo vertellen de projectgroepleden van de samenwerkende gemeenten. Wat er nu vooral meer nodig is, is samenhang tussen de regels voor de onderdelen. ‘Eén aanspreekpunt, die het kan monitoren en onderhouden is daarbij handig. Het gezamenlijk aanstellen van één privacyfunctionaris is zoals gezegd een goede optie. Deze is verantwoordelijk voor de gezamenlijke gemeenten, maar moet wel persoonlijke aandacht kunnen hebben voor één gemeente wanneer er zich daar problemen voordoen', aldus de projectgroepleden.
Bewustwording
Behalve het aanstellen van een algemeen aanspreekpunt ligt bij de Kempengemeenten, en ook in Zaanstad, de focus op bewustwording. 'Of dat makkelijker bereikt kan worden bij een grote gemeente? Ja en nee’, denken de beleidsmakers . ‘Het is voor ons moeilijker omdat veel medewerkers meerdere taken hebben en soms op meerdere afdelingen of zelfs bij meerdere gemeenten werken. Medewerkers hebben zodoende vaak toegang tot meerdere informatiesystemen. Veel zaken zijn niet meer toegankelijk voor ‘onbevoegden’, maar die onbevoegden kunnen ook je directe collega’s zijn. Dat is in een kleine gemeente even wennen.’ Aan de andere kant is bewustwording sneller bereikt doordat veel collega’s elkaar goed kennen. ‘De financiële middelen reiken in een kleine gemeente minder ver, maar omdat er meer gemeenten samenwerken is er ook veel verschillende expertise en kennis.'
Suwinet
Ook in grote gemeente Zaanstad is bewustwording het terrein waar nog veel te winnen valt. ‘Daarom zijn we in oktober begonnen met een gemeentelijke bewustwordingscampagne. Zaanstad hanteert al jaren een clean desk-policy en omdat we flexwerken houdt iedereen zich hier ook aan.’ Bij het gebruik van Suwinet zijn er al stappen ondernomen, zo legt Beekhuis uit. ‘Er wordt steekproefsgewijs gecheckt wie wanneer bepaalde gegevens heeft ingezien. Wanneer iemand Marco Borsato, zijn nieuwe buren of het vriendje van zijn dochter heeft opgevraagd terwijl deze mensen niet tot zijn werkterrein behoren, dan heeft dat consequenties; van een flinke berisping tot en ontslag. Dat soort toestanden mogen absoluut niet voorkomen.'
Een misleidende titel!
Privacy en security zijn LIJN verantwoordelijkheden.
Zoals verwoord in de BIG:
De randvoorwaarden voor deze Tactische Baseline zijn:
1. Informatiebeveiliging is en blijft een verantwoordelijkheid van het lijnmanagement.
2. Het primaire uitgangspunt voor informatiebeveiliging is en blijft risicomanagement.
3. De klassieke informatiebeveiligingsaanpak waarbij inperking van mogelijkheden de boventoon voert maakt plaats voor veilig faciliteren.
4. Methoden voor rubricering en continue evaluatie ervan zijn hanteerbaar om onder en over-rubricering te voorkomen (deze Tactische Baseline geeft geen aanpak voor rubriceren van informatie).
5. De focus van informatiebeveiliging verschuift van netwerkbeveiliging naar gegevensbeveiliging.
6. Bewust en verantwoord gedrag van mensen is essentieel voor een goede informatiebeveiliging.
7. Deze Tactische Baseline wordt gemeentebreed afgesproken en overheidsbrede kaders en maatregelen worden overheidsbreed afgesproken, waarbij de gemeentebrede kaders en maatregelen geënt worden op de overheidsbrede kaders.
In uitzonderingsgevallen wordt – in overleg – afgeweken.
8. Kennis en expertise zijn essentieel voor een toekomst vaste informatiebeveiliging en moeten geborgd worden.
9. Informatiebeveiliging vereist een integrale aanpak, zowel binnen de gemeenten als voor (overheidsbrede) gemeenschappelijke voorzieningen.
10. Deze Tactische Baseline is gebaseerd op de ISO 27001:2005 en ISO 27002:2007.
11. Deze Tactische Baseline kan gefaseerd worden ingevoerd.
En als men de principes goed wil begrijpen is het aan te raden de VIR 2007 als uitgangspunt te nemen.
Het gaat om bedrijfsvoering (PDCA), eigenaarschap, security & privacy by design en in control zijn (en blijven), voldoen aan de wetten Wbp en Meldplicht Datalekken.....
Dat bereik je niet door een functionaris dit te laten regelen en de ZORGEN te laten wegnemen. OOk niet door awareness, maar wel door verantwoordelijkheid te beleggen en op aan te spreken en af te rekenen!.
De wetgever doet dit laatste zeker. Zoek maar op bij Meldplicht Datalekken wie de verantwoordelijke is!!
Succes!