Posts Under: Nieuws

Privacy registers overheid slecht toegankelijk

Privacy registers overheid slecht toegankelijk

Posted on by in Nieuws with no comments

Veel overheidsinstanties hebben hun privacy register van verwerkingsactiviteiten niet op orde, zo blijkt uit een onderzoek van de Open State Foundation. Deze stichting werkt aan digitale transparantie door publieke informatie beschikbaar te krijgen als open data en deze toegankelijk te maken voor hergebruik.

De stichting onderzocht de beschikbaarheid en kwaliteit van verwerkingsregisters van alle Nederlandse ministeries, provincies en gemeenten. Van de 379 overheden ontving de stichting 246 registers. Bijna een kwart (89) daarvan stond gewoon online en de rest bemachtigde de organisatie na informatieverzoeken. De overige weigerden het verzoek of gaven aan het register nog niet te kunnen delen omdat ze er nog aan werkten.

Een privacy register vermeldt welke persoonsgegevens waarom worden verwerkt, met wie deze data worden gedeeld, wie ervoor verantwoordelijk is, hoe lang de gegevens worden bewaard en hoe de beveiliging ervan is geregeld. De AVG verplicht elke organisatie zo’n overzicht bij te houden en deze beschikbaar te stellen aan de betrokkenen.

Grote verschillen
De privacy registers blijken per overheid sterk te verschillen. En dat terwijl bijvoorbeeld gemeenten over het algemeen dezelfde taken hebben en daardoor veelal dezelfde persoonsgegevens om dezelfde redenen verwerken.

Grote overheidsorganisaties melden gemiddeld meer verwerkingen dan kleine organisaties. Vaak betekent een groot aantal verwerkingen ook een kleiner detailniveau van het register. Hoe kleiner het detailniveau, hoe lastiger het is om het register actueel te houden, waarschuwt de stichting

Overheden baseren hun register momenteel in slechts 16% van de gevallen op een modelregister, zoals dat van de Vereniging van Nederlandse Gemeenten (VNG). 63% van de ontvangen registers blijkt incompleet. Er ontbreken een of meerdere wettelijk verplichte kolommen. Daarnaast staat in 83% van de registers informatie die niet verplicht is. Ze worden bovendien in uiteenlopende bestandsformaten gepubliceerd.

Standaard
De Open State Foundation pleit voor een gestandaardiseerd, machine-verwerkbaar en open verwerkingsregister. ‘Dit maakt het zowel voor overheden als voor de samenleving een bruikbaar register’, zegt Tom Kunzler, adjunct-directeur van de Open State Foundation. Volgens hem is een openbaar, herbruikbaar en actueel register belangrijk voor een samenleving die wil weten welke persoonsgegevens overheden verwerken en beheren.

bron: computable.nl

Rechtmatigheidsverantwoording bij gemeenten. Een nieuwe uitdaging voor concerncontrollers

Rechtmatigheidsverantwoording bij gemeenten. Een nieuwe uitdaging voor concerncontrollers

Posted on by in Nieuws with no comments

door drs Gerrit Goud RE RA

Gemeenten worden naar alle waarschijnlijkheid vanaf het boekjaar 2021 zelf verantwoordelijk voor het afgeven van een rechtmatigheidsverklaring. De rechtmatigheidsverklaring wordt onderdeel van de jaarstukken waarop accountantscontrole over de getrouwe weergave van toepassing is. Met deze wijziging zal de discussie over de financiële rechtmatigheid tussen het college en de raad weer oplaaien. De raad krijgt weer de mogelijkheid om weer echt financieel (mee) te sturen.

De rechtmatigheidsverklaring is een instrument waarmee een betere aansluiting op het democratisch proces wordt bevorderd. Want tot op heden vindt deze discussie voornamelijk plaats tussen het college en de huisaccountant. De accountant is degene die deze verklaring opstelt wat afbreuk doet aan de rol van de raad. Deze onvolkomenheid wordt te zijner tijd in de wet herstelt maar heeft wel grote gevolgen als het gaat over de organisatie van de interne beheersing bij gemeenten. Afleggen van verantwoording gaat immers altijd gepaard met controleerbaarheid. Je kunt wel iets verklaren maar je zult daarbij moeten aantonen dat wat je verklaart een getrouwe weergave is en daar zit doorgaans de pijn. Hoe ga je dit namelijk effectief en efficiënt organiseren en wie zijn daarvoor nodig?

Dat vereist onder meer het opnemen van interne controle in de werkprocessen en verbijzonderde interne controle (VIC) op de toetsing van de effectiviteit van de ingezette controlemaatregelen. Hierop is bij diverse gemeenten in de afgelopen jaren (flink) bezuinigd en dat breekt gemeenten nu op. Dat is al zichtbaar in een tekort aan capaciteit en een gebrek aan expertise bij veel gemeenten. Ook leidinggevenden zullen hun verantwoordelijkheid moeten nemen als het gaat over de interne beheersing van hun werkprocessen en dan komt een in control statement al gauw in het vizier. In die zin zijn er veel belanghebbenden die ieder vanuit hun rol een bijdrage moeten leveren aan het interne beheersingsproces.

Het “three lines of defence” model (3LOD) van de commissie BADO, ondersteunt deze rolverdeling waarbij onderlinge samenwerking en afstemming deel van uitmaken. Het Key2Control GRC-platform biedt als integraal informatiemanagement-systeem voor de interne beheersing ook ondersteuning voor deze “three lines of defence”. Ons GRC-platform faciliteert niet alleen de interne beheersing van privacy, informatiebeveiliging en informatievoorziening, maar ook van alle processen die direct te maken hebben met de financiële rechtmatigheid. En dat biedt voordelen in termen van effectiviteit, efficiency, integratie en kwaliteitsverbetering.

Steeds meer gemeenten  oriënteren zich op de vraag welke gevolgen de rechtmatigheidsverklaring heeft op de organisatie en welke voorbereidingen nodig zijn om op tijd de vereiste modernisering van de interne beheersing door te kunnen voeren. Die bal ligt voornamelijk bij de concerncontroller en dat past uiteraard in zijn rol om vooruit te kijken. De uitwerking daarentegen hangt voor een groot deel af van het ambitieniveau van het college van B&W en de directie.

Key2Control heeft vanuit haar visie op het aantonen van rechtmatigheid een aanpak ontwikkeld voor het moderniseren van het beheersingsproces bij gemeenten. Deze aanpak omvat de inzet van ons GRC-platform met daarin opgenomen deugdelijke normenkaders die zijn opgesteld vanuit de praktijk. De normenkaders gericht op de rechtmatigheid van processen van WMO, jeugdhulp, re-integratie, bijstand, subsidiebeheer, grondexploitaties, verbonden partijen, inkoop en aanbesteding, tax control btw/bcf, betalingen en crediteuren, personeel en salarissen zijn al beschikbaar. Vanuit de continue dialoog met onze klanten zal het aanbod hiervan alleen maar toenemen. En dat biedt mogelijkheden voor gemeenten om snel inzicht te krijgen in de status van bedrijfsprocessen en op basis daarvan risico’s in beeld te brengen en daarop de inzet van de Verbijzonderde Interne Controle (VIC) af te stemmen.

Wilt u meer weten over onze aanpak? Ik ben ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

De BIO is niet langer het feestje van de CISO en de FG

De BIO is niet langer het feestje van de CISO en de FG

Posted on by in Nieuws with no comments

Informatiebeveiliging en privacy staan hoog op de bestuurlijke agenda. Althans dat roepen we met z’n allen maar blijkt in de praktijk toch iets weerbarstiger. Dat bleek vorige week weer eens tijdens onze klantendag in Utrecht waar we met CISO’s, Privacy Officers en Functionarissen Gegevensbescherming in gesprek gingen.

Schakel of Spil?

De rode draad tijdens het middagprogramma was toch wel hoe je in control bent en blijft vanuit je rol als CISO, PO of FG. Dat begint met voldoende besef van urgentie voor en steun van het bestuur bij de implementatie van informatieveiligheid. Vervolgens voldoende afstemming en draagvlak van het management krijgen. Daarna kan pas acceptatie van en implementatie door de organisatie worden bewerkstelligd. Dat hoeft niet per se een top-down volgorde te zijn, belangrijk is dat ze alle drie nodig zijn om informatieveiligheid te organiseren én te borgen. De BIO zorgt ervoor dat risicomanagement als integrale verantwoordelijkheid wordt opgelegd en je dus op meerdere niveaus in de organisatie een geaccepteerd gesprekspartner moet zijn. Dankzij de BIO hebben de CISO en de FG nu de wind mee zou je denken. Niets is minder waar. Beleid, budget en bemensing de welbekende tijd, kwaliteit en geldaspecten moeten wel ingevuld worden. En dat levert vaak een flinke strijd op waardoor de noodzakelijke organisatorische veranderingen weliswaar schoorvoetend worden doorgevoerd maar meestal niet voldoende mandaat meekrijgen. En helaas bij veel organisaties blijft het nog steeds adhoc en incident gedreven managen van risico’s. Om van een schakel in het geheel echt dé spil te worden zullen de CISO, de PO en de FG meer samenwerken en een partner moeten zoeken.

Omgevingswet?

De Omgevingswet vanaf 2021 zal ketensamenwerking tussen overheden intensiveren en zorgt ook  voor vervaging van organisatiegrenzen. Dat heeft invloed op verantwoordelijkheden ten aanzien van informatiebeveiliging, informatiebescherming en informatievoorziening. Inderdaad ook informatievoorziening! Tot nu toe spraken CISO en FG met elkaar over informatiebeveiliging en informatiebescherming. Ketengerichte informatievoorziening is de basis van de Omgevingswet en wordt vormgegeven in het Digitaal Stelsel Omgevingswet (DSO). In het DSO is informatie-uitwisseling randvoorwaardelijk vormgegeven op basis van zaakgericht werken. En dus is de kwaliteit van informatiebeheer opeens ook een integrale verantwoordelijkheid en onderdeel van het organiseren van risicomanagement. En informatiebeheer staat immers ook hoog op de bestuurlijke agenda en krijgt de aandacht die het verdient, of toch (ook) niet? De CISO en FG hebben baat bij een partner vanuit informatiebeheer. Samen kunnen ze verbindend optreden om urgentiebesef te versterken, het mandaat af te dwingen en het draagvlak te organiseren.

Informatieveiligheidsdriehoek

Key2Control hanteert vanuit haar visie op informatieveiligheid een integrale aanpak om informatiebeveiliging, informatiebescherming en informatiebeheer te organiseren. Door gebruik te maken van het Key2Control GRC-platform kunnen overheidsorganisaties zich continu én met succes snel aanpassen aan nieuwe ontwikkelingen zoals de Omgevingswet. Door informatieveiligheid te organiseren binnen het Key2Control GRC-platform zijn kwaliteitsbeheerprocessen geborgd en zijn voortgang en resultaat altijd en overal inzichtelijk. Hierdoor kan gevraagd en ongevraagd direct verantwoording worden afgelegd. Wilt u meer weten over onze aanpak? Ik ben ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.

Bart Suers Directeur Publieke Sector bij Key2Control

Bart Suers Directeur Publieke Sector bij Key2Control

Posted on by in Nieuws with no comments

Bij Key2Control gaat Bart zich met name bezighouden met het ondersteunen van publieke organisaties met betrekking tot belangrijke non-financiële beheersprocessen zoals informatiebeveiliging, privacy, informatiebeheer en -management, rechtmatigheid, verbijzonderde interne controle en integriteit. Daarnaast zal hij vorm en inhoud gaan geven aan de verdere groei en professionalisering van de Key2Control organisatie.

Arie Hartog, Algemeen Directeur van Key2Control, is uitermate verheugd met de komst van Bart.

“Bart is een gedreven professional met meer dan 15 jaar ervaring in de overheidssector, met name bij gemeenten. Bij Key2Control gaat hij een sleutelfunctie vervullen in de verdere groei van onze onderneming”.

Key2Control levert met haar GRC software platform een belangrijk instrument voor het ondersteunen van alle relevante interne beheersprocessen bij organisaties. De suite “informatieveiligheid gemeenten” ondersteunt gemeenten bij belangrijke processen als informatiebeveiliging (ISMS op basis van de BIO), privacy (DPMS op basis van VNG criteriaset en de baseline CIP) en informatiebeheer (archivering op basis van KIDO).

Baseline informatieveiligheid Overheid (BIO) nu operationeel in ISMS Key2Control

Baseline informatieveiligheid Overheid (BIO) nu operationeel in ISMS Key2Control

Posted on by in Nieuws with no comments

De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor alle overheden. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle overheidslagen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. De BIO helpt management en proceseigenaren bij het nemen van hun verantwoordelijkheden ten aanzien van informatiebeveiliging.

De BIO wordt formeel pas van kracht in 2020. Door het nu reeds opnemen van de BIO in het Key2Control ISMS biedt Key2Control overheids organisaties de mogelijkheid om al dit jaar inzicht te krijgen in de stand van zaken. Men kan nu reeds een GAP analyse uitvoeren en zich effectief voorbereiden op 2020. Uiteraard blijft gedurende het jaar 2019 de BIG beschikbaar als instrument voor het borgen van het kwaliteitsproces (PDCA)

#ISMS #Key2Control #BIO #informatiebeveiliging

Key2Control ondertekent Manifest “Grip op Secure Software Development”​ van het CIP

Key2Control ondertekent Manifest “Grip op Secure Software Development”​ van het CIP

Posted on by in Nieuws with no comments

Het Centrum Informatiebeveiliging en Privacybescherming heeft in samenwerking tussen overheidsorganisaties en marktorganisaties het proces en normenkader “Grip op secure software development” (SSD) ontwikkeld.

Key2Control is kennispartner van het CIP en maakt nu deel uit van de groep van SSD-Manifest partijen van het CIP.

Wij onderschrijven het belang van de volgende uitgangspunten:

  • Het hanteren van het normenkader “Grip op SSD” als referentiekader bij onze softwareontwikkeling
  • Wij delen praktische toepassingsproblemen met de SSD practitioners community
  • Wij bevorderen, waar mogelijk, de implementatie van “Grip op SSD” bij overheidsorganisaties en stellen ons op als ambassadeur van de methode

#securesoftwaredevelopment #ssd #manifest #cip #key2control #ISMS #privacy

10 bestuurlijke principes voor informatiebeveiliging bij gemeenten

10 bestuurlijke principes voor informatiebeveiliging bij gemeenten

Posted on by in Nieuws with no comments

Dit jaar is de intrede van de Baseline Informatiebeveiliging Overheid, ofwel de BIO, die vanaf 2020 van kracht gaat.  Veel meer dan bij de BIG helpt de BIO het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging en risicomanagement. Daarnaast zijn er ‘10 bestuurlijke principes voor informatiebeveiliging’ vastgesteld om het bestuur in hun rol te ondersteunen bij de implementatie van de BIO.

De tien bestuurlijke principes

Om bestuurders te helpen in het nemen van hun verantwoordelijkheid op het gebied van informatiebeveiliging, heeft de Vereniging voor Nederlandse Gemeenten (VNG) ‘De 10 bestuurlijke principes voor informatiebeveiliging’ ontwikkelt. De principes dienen als aanvulling op de nieuwe baseline, en gaat over waarden die daar bij horen. Het is belangrijk dat deze waarden aansluiten op de waarden van de eigen gemeente. Ze zijn randvoorwaardelijk voor een goede borging van informatiebeveiliging. Renco Schoenaker van IB&P zet de principes graag op een rij en maakt ze concreet en tastbaar.

Bestuurders bevorderen een (informatie)veilige cultuur

Bij een informatieveilige omgeving hoort ook een veilige (meld)cultuur. Zo is het belangrijk dat collega’s niet bang zijn om incidenten te melden. Tevens wil je bevorderen dat iedereen risico’s signaleert en deze ook meldt en elkaar aanspreekt op onveilig gedrag. Stimuleer als wethouders en raadsleden elkaar om melding te maken van incidenten of datalekken. Daarbij is de bijvangst van een incident om er iets van te leren, en je hierdoor zaken alleen maar kunt verbeteren of de gevolgen van een incident kunt beperken. Wees je als bestuurder bewust van je voorbeeldfunctie en draag dat ook uit naar de rest van de organisatie. Spoor lijnmanagement in de ambtelijke organisatie aan om hun verantwoordelijkheid als het gaat om risicomanagement te pakken.

Informatiebeveiliging is van iedereen

Naast de inzet van een technisch veilige omgeving zijn het de collega’s en hun handelen die de omgeving écht veilig (of onveilig) maken. Het veilig omgaan met informatie is de verantwoordelijkheid van alle collega’s. Met als verantwoordelijkheid van de werkgever om hier een stimulerende en toetsende rol in te spelen, bijvoorbeeld door het uitrollen van een bewustwordingscampagne. Belangrijk daarbij is dat een campagne herkenbaar moet zijn en in lijn met de business risico’s, ofwel ‘dichtbij’ is voor collega’s. Situaties moeten vergelijkbaar zijn met wat mensen in hun dagelijks werk tegenkomen op de werkvloer maar ook privé. Dit betekent dus ook specifiek maatwerk per afdeling of team. Maar met alleen een campagne ben je er niet. Bewustwording is namelijk meer dan alleen maar het ‘zenden’ van informatie. Je moet zorgen voor een blijvende en meetbare gedragsverandering, ook bij het bestuur. Hoe je dit succesvol doet, lees je in onze eerdere blog hierover. Zorg dat alle inhoudelijk betrokken functionarissen met elkaar samenwerken en dat er communicatie capaciteit beschikbaar is.

Informatiebeveiliging is risicomanagement

Als gemeente ben je afhankelijk van de beschikbaarheid van informatie en de continuïteit van de informatievoorziening voor je dienstverlening naar burgers en bedrijven. Informatiebeveiliging hoort dus thuis in de lijn want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Maak lijnmanagers verantwoordelijk voor risicomanagement en maar heldere afspraken over wat er van hen verwacht wordt. Zorg bijvoorbeeld dat risico’s geagendeerd worden en standaard onderdeel zijn van bestuurlijke documenten en dat lijnmanagers hierover rapporteren. Daarnaast dienst risicobewustzijn ook standaard onderdeel te zijn van samenwerkingen en uitbestedingen. Hoe je lijnmanagers in de juiste rol plaats lees je in de handreiking ‘Risicomanagement door lijnmanagers’ van de IBD.

Risicomanagement is onderdeel van de besluitvorming

Het is uiteraard belangrijk om risico’s en maatregelen te monitoren en te toetsen, zodat de maatregelen, indien gewenst per afdeling, verantwoordelijkheidsgebied of onderwerp, hierop kunnen worden bijgesteld. Maak risicomanagement daarom onderdeel van besluitvorming en laat lijnmanagement hierover rapporteren. Zorg daarnaast voor agendering op de bestuurlijke agenda. Op die manier kunnen de juiste vragen gesteld worden en kan er bijgestuurd worden (al dan niet op een passend (hoger) abstractieniveau). Bestuurders zijn verantwoordelijk voor kaderstelling (vaststellen). Tevens kan besluitvorming ook inhouden dat risico’s toch bewust, al dan niet tijdelijk, gelopen worden. Ook dan ben je ‘in control’. Zo is het bijvoorbeeld minder schadelijk als het stadsarchief tijdelijk niet beschikbaar is dan wanneer het GBA eruit ligt.

Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking

Als gemeente werk je met veel (keten)partners samen. Hierbij geldt ‘de ketting is zo sterk als de zwakste schakel’, juist als het gaat om informatiebeveiliging. Elke organisatie heeft immers in meer of mindere mate te maken met digitale dreigingen. Wanneer je met verschillende organisaties samenwerkt, vraagt dit dus niet alleen om een inschatting van de eigen risico’s, maar ook van die van andere. Als organisatie in een keten ben je afhankelijk van elkaar en daarbij is het belangrijk dat je ook in kaart hebt wat de risico’s van ketenpartners zijn. Zorg dat je de risico’s die een gevaar vormen voor de informatievoorziening van de bedrijfsvoering van de gemeente en de risico’s die voortkomen uit ketensamenwerking goed in kaart brengt. Ook bij diensten die je uitbesteedt, dienen de risico’s in kaart te worden gebracht. Ken verantwoordelijkheden toe en tref de juiste maatregelen. Dit is dus ook van toepassing op alle bestuurlijke samenwerkingen. Je kunt hiervoor gezamenlijk maatregelen treffen. In de handreiking ‘Start een Ketensamenwerking’ van het NCSC vind je richtlijnen hoe dit succesvol te doen.

Informatiebeveiliging is een proces

Informatiebeveiliging betekent niet eenmalig een checklist doorlopen (implementatie), alle vinkjes zetten en klaar. Het is een continu proces waar je als gemeente aan moet blijven werken. Elke dag brengt nieuwe uitdagingen, projecten, processen et cetera. Het vraagt om structurele borging en moet onderdeel worden van (bestaande) processen. Maak hierbij gebruik van een gedocumenteerd ‘Information Security Management System’ (ISMS). ISMS gaat uit van de Plan Do Act Check cyclus (PDCA-cyclus), een continu en interactief proces. Daarnaast moeten zaken gemonitord worden en moet je kunnen aantonen dat je informatiebeveiliging op orde is. Dit gebeurt onder andere middels ENSIA. Houd dus rekening met een veranderende omgeving en zorg dat risicomanagement structureel op de (bestuurlijke) agenda staat. Zo kun je reageren op veranderingen en daarop tijdig bijsturen.

Informatiebeveiliging kost geld

Risicomanagement vraagt niet om snelle acties maar om constante aandacht. En hiervoor moeten middelen beschikbaar worden gesteld. Je hebt als gemeente de morele verplichting om zorgvuldig en veilig met gegevens om te gaan. Een incident kan leiden tot (grote) materiële en immateriële schade voor je gemeente. Denk aan datalekken die grote gevolgen voor het imago en de bedrijfsvoering van je gemeente hebben, tevens legt het veel (politieke) druk op je gemeente wat weer kan leiden tot reputatieschade. Stel voldoende middelen beschikbaar zodat er maatregelen getroffen kunnen worden bij risico’s die een gevaar zijn voor de continuïteit van de bedrijfsvoering. Ja, informatiebeveiliging kost geld.

Onzekerheid dient te worden ingecalculeerd

De input voor risicomanagement is gebaseerd op wat er in het verleden is gebeurd (ervaringen) en op actuele informatie. Daarnaast dien je rekening te houden met wat je in de toekomst kunt verwachten. Dit is uiteraard lastiger in te schatten, houdt daarom rekening met eventuele beperkingen en onzekerheden die nu nog niet met zekerheid zijn vast te stellen en afhankelijk zijn van toekomstige ontwikkelingen. Op het moment dat er besluiten genomen moeten worden, dient er rekening gehouden te worden met deze risico’s. Dit vergt goede en actuele informatie over de risico’s die de gemeente loopt. Zorg dat er voldoende tijd, geld, uren en mensen ter beschikking zijn, die bijdragen aan het gestalte (kunnen) geven van risicomanagement.

Verbetering komt voort uit leren en ervaring

Het is niet de vraag of je als gemeente slachtoffer wordt van een incident, maar wanneer. Hoe goed je informatiebeveiliging ook is, incidenten zullen altijd voorkomen. Voorkomen ga je het dus niet. Het is daarom belangrijker om na te denken hoe je er mee omgaat en wat je ervan kunt leren. Zorg dat je veerkrachtig bent als organisatie (resilient) en rekening houdt met kansen en risico’s van nieuwe ontwikkelingen. Transparant zijn over incidenten helpt, leer ervan en realiseer en accepteer dat risico’s niet geheel zijn uit te sluiten. Reflecteer op risico’s en betrek ook de medewerkers bij het delen van hun ervaringen als het gaat om risico’s die processen binnen de informatievoorziening bedreigen. Zo zorg je dat de gemeente kan leren van incidenten en tevens leer je zo te ontdekken wat wel en wat niet werkt. Dit helpt bij het nemen van toekomstige besluiten.

Het bestuur controleert en evalueert

Tot slot, is het belangrijk om te controleren wat de status is van de implementatie van het informatiebeveiligingsbeleid en om te kijken of risicomanagement ook daadwerkelijk is ingebed binnen de organisatie. Dit kan door lijnmanagement hierover te laten rapporteren. Op die manier krijg je als bestuurder goed inzicht in waar de organisatie staat en komen verbeterpunten aan het licht. Laat daarnaast de gemeente op effectiviteit en efficiency toetsen, door een (externe) auditor. Zo krijg je een goed beeld van hoe het beleid in de praktijk uitwerkt en of je op schema loopt. Ook kunnen er zaken aan het licht komen, zoals toename van datalekken, Laat je goed informeren over risico’s en weeg belangen goed af, neem hierin als bestuurder verantwoordelijkheid om besluiten en maatregelen te (laten) nemen. Of neem een voorbeeld aan de gemeente Beemster, die in het nieuwe informatiebeveiligingsbeleid van de gemeente zelfs actief verwijzen naar de hier genoemde 10 bestuurlijke principes.

Geen focus op toezicht bij functionaris databescherming

Geen focus op toezicht bij functionaris databescherming

Posted on by in Nieuws with no comments

Uit onderzoek van het Centrum Informatiebeveiliging en Privacybescherming (CIP) blijkt dat het merendeel van de Nederlandse functionarissen gegevensbescherming (FG’s) zich vooral bezighoudt met advies en begeleiding. Ze geven mindere mate invulling aan hun toezichthoudende verantwoordelijkheid.

Het onderzoek, een digitale enquête, vond eind augustus plaats onder ruim 215 FG’s waarbij werd gevraagd naar hun werk en functioneren. Onder hen werkt 82% bij een overheid gerelateerde-organisatie. Qua achtergrond is 93% hoogopgeleid (hbo/wo-niveau), waarvan ruim de helft een juridische opleiding heeft. Ook heeft 78 % al ruim tien jaar werkervaring.

De meeste FG’s rapporteren, in de rol van senior medewerker, rechtstreeks aan een bestuur of algemeen directeur. Hierbij ontvangen ze voldoende ondersteuning vanuit bestuurders, maar 94% van de FG’s geeft aan niet te beschikken over structureel budget. De functie wordt veelal op deeltijdbasis uitgevoerd.

AVG
Vanuit de AVG worden de functionarissen geacht ‘professioneel, deskundig en onafhankelijk’ te zijn. De onafhankelijke positie lijkt volgens het onderzoek goed te lukken. Aan de deskundigheid wordt vanuit de AVG geen specifieke eisen gesteld, iets dat geldt voor zowel de beroepsregistratie als voor de beschikbare opleidingen. De professionaliteit kan breed worden ingevuld. Veel FG’s hebben daarom één of meer medewerkers waarmee ze nauw samenwerken. In het verlengde hiervan blijkt er binnen de beroepsgroep grote behoefte te bestaan aan onderling contact, intervisie en sparren.

Externe ondersteuning zoeken de ge-enquêteerden vooral bij het CIP en de Informatiebeveiligingsdienst (IBD). De ondersteuning vanuit de Autoriteit Persoonsgegevens (AP) wordt belangrijke gevonden, maar blijkt voor verbetering vatbaar: 45% vindt de website van de AP te weinig informatief en slechts 17% is van mening dat vragen adequaat worden afgehandeld.

Bron: https://www.computable.nl/artikel/nieuws/management/6525876/250449/functionaris-gegevensbescherming-focust-op-advies.htm

Autoriteit Persoonsgegevens legt UWV een last onder dwangsom op!

Autoriteit Persoonsgegevens legt UWV een last onder dwangsom op!

Posted on by in Nieuws with no comments

Op 30 oktober maakte de Autoriteit Persoonsgegevens (AP) bekend, dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom krijgt van 150.000 euro per maand met een maximum van 900.000, voor het onvoldoende beveiligen van gezondheidsgegevens.

Uiterlijk 31 oktober 2019 dient het UWV het beveiligingsniveau van zijn portaal op orde te hebben. Indien dit wordt verzaakt, moet het UWV deze dwangsom betalen.

Bron: https://www.privacy-web.nl/nieuws/ap-dwingt-uwv-met-sanctie-gegevens-beter-te-beveiligen