Informatie en gegevensbescherming
Informatievoorziening
Het afgelopen jaar is stevig geïnvesteerd in het verbeteren van processen. Van 12 hoofdprocessen met een groot klantbereik en /of risico is een beschrijving gemaakt en zijn naast verbeteringen ook de key controls vastgesteld. Naast control elementen wordt bij procesoptimalisatie vooral gekeken welke onderdelen slimmer of meer digitaal kunnen. Uitgangspunt is gemak voor de klant.
In het kader van het permanent verbeteren zijn procesbeheerders en procescoaches benoemd; zij ondersteunen de proceseigenaren bij het actueel maken en houden van het proces.
Verder zijn we begonnen met een vorm van permanente kwaliteitsmeting en het bouwen van dashboards om de kwaliteit te monitoren.
De wettelijke verplichte audits (zie hierna) zijn uitgevoerd en op basis daarvan is de vooruitgang in de kwaliteit van de bedrijfsvoering zichtbaar.
Wij hebben de landelijke uitgangspunten van Samen Organiseren onderschreven en ons aangesloten bij de landelijke aanbesteding telefonie in het kader van de ontwikkeling om te komen tot een generieke digitale infrastructuur.
Deze ontwikkelingen vloeien voort uit, dan wel zijn in lijn met, het door uw raad afgelopen jaar vastgestelde Informatiebeleidsplan 2018-2022.
Privacy
In mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden en zijn de werkzaamheden op dit gebied gestart. In 2018 zijn de volgende werkzaamheden opgepakt op het gebied van privacy:
- Alle beleidsstukken zijn opgemaakt.
- De rollen op het gebied van privacy zijn belegd en er is een functionaris gegevensbescherming en een privacy-officer benoemd.
- Er zijn 3 PIA’s (Privacy Impact Assessments) in het sociaal domein uitgevoerd.
- Het register van verwerkingen is opgesteld.
- Er is een start gemaakt met aanvullen en actualiseren van verwerkersovereenkomsten.
- Er zijn Awareness trajecten uitgevoerd.
- Er zijn trainingen op het gebied van privacy opgezet, gehouden en gevolgd.
- Er is een aanzet gemaakt om te werken met aanspreekpunten privacy binnen de werkateliers.
Naast deze activiteiten is er veel tijd gaan zitten in het oppakken van de vele praktische vragen vanuit de primaire processen, zijn er ‘vermeende’ datalekken opgepakt en informatieverzoeken afgehandeld.
Ook vanuit de griffie zijn de werkzaamheden opgepakt. In een verwerkingsregister is vastgelegd hoe de griffie omgaat met persoonlijke gegevens en zijn met externe partijen zoals iBabs (papierloos vergaderen) en Company Webcast (livestream vergaderingen) in 2018 verwerkersovereenkomsten gesloten. Daarnaast is er vanuit de griffie continue aandacht voor privacy. Op de website, in weekbladen en tijdens vergaderingen wordt aangegeven dat vergaderingen live worden uitgezonden. Ook voor brieven gericht aan de gemeenteraad is de AVG van toepassing. Brieven met privacygevoelige gegevens worden zonder persoonlijke gegevens op de lijst van ingekomen stukken geplaatst. Deze brieven worden niet getoond op de gemeentelijke website. In ontvangstberichten die door de griffie worden verstuurd wordt deze werkwijze vermeld.
Kengetallen privacy: | |
Privacy activiteiten 2018, meldingen | mei t/m dec. |
Rectificatie verzoeken | 0 |
Vergetelheid verzoeken | 1 |
Verzoek tot verwerkingsbeperking | 0 |
Inzageverzoeken | 1 |
Overdracht van gegevens verzoeken | 0 |
Inbreuk op privacy (datalek) (*) | 4 |
Ongegrond | 3 |
Totaal | 9 |
(*) Bij de meldingen datalekken is na onderzoek geconstateerd dat het lekken betrof met een laag risico op de inbreuk van de rechten en vrijheden van betrokkene. In 2 gevallen is uit voorzorg een melding aan de Autoriteit Persoonsgegevens (AP) gedaan. Bij de overige 2 voorvallen was er een dermate laag risico zonder aantoonbare gevolgen waardoor melding bij de AP achterwege kon blijven.
Informatieveiligheid
Informatieveiligheid draagt bij in het streven naar betere en vooral betrouwbare dienstverlening. De gemeente Meierijstad heeft in 2018 op dit gebied de volgende activiteiten uitgevoerd:
- Implementatie van de voornaamste beveiligingsmaatregelen van de Baseline Informatiebeveiliging Gegevensbescherming (BIG).
- Het incidentenproces met betrekking tot informatieveiligheid is geoptimaliseerd.
- Het bewustwording traject voor medewerkers rondom informatieveiligheid is gecontinueerd.
- Het Information Security Management Systeem (ISMS) is ingericht.
- De volgende zelfevaluaties hebben plaatsgevonden:
- basisregistratie grootschalige topografie (BGT),
- basisregistratie adressen en gebouwen (BAG),
- basisregistratie ondergrond (BRO)
- implementatie beveiligingsmaatregelen BIG,
- gebruik Suwinet,
- DigiD aansluitingen.
In 2018 zijn de hierboven genoemde zelfevaluaties op de verschillende gebieden uitgevoerd via de Eenduidige Normatiek Single Information Audit (ENSIA). Volgens de richtlijnen van deze audit zullen de uitkomsten van deze evaluaties via een college verklaring met Assurance rapport apart aan de Raad teruggekoppeld worden. Deze verantwoording zal voor mei 2019 plaatsvinden.
Voor de BRO geldt dat de zelfevaluatie in 2018 niet verplicht was en daarmee nog niet aangeeft wat onze score is. De zelfevaluatie BRO wordt wel verplicht vanaf 2019.
Op grond van de Wet Basisregistratie Personen (Wet BRP) en artikel 94 van de Paspoortuitvoeringsregeling Nederland 2001 zijn gemeenten verplicht om de inrichting, werking en beveiliging van de basisregistratie personen (BRP) en paspoorten en Nederlandse identiteitskaarten (PNIK), jaarlijks te evalueren. De desbetreffende evaluaties zijn in 2018 uitgevoerd en als voldoende beoordeeld. Zoals verplicht zijn de uittreksels van de resultaten van 2018 voor 1 maart 2019 naar RvIG en de Autoriteit Persoonsgegevens gestuurd.