Posts Under: Nieuws

Baseline informatieveiligheid Overheid (BIO) nu operationeel in ISMS Key2Control

Baseline informatieveiligheid Overheid (BIO) nu operationeel in ISMS Key2Control

Posted on by in Nieuws with no comments

De Baseline Informatiebeveiliging Overheid (BIO) is een normenkader voor alle overheden. De BIO beoogt de beveiliging van informatie(systemen) bij alle bestuurslagen en bestuursorganen van de overheid te bevorderen, zodat alle overheidslagen erop kunnen vertrouwen dat onderling uitgewisselde gegevens, in lijn met wet- en regelgeving, passend beveiligd zijn. De BIO helpt management en proceseigenaren bij het nemen van hun verantwoordelijkheden ten aanzien van informatiebeveiliging.

De BIO wordt formeel pas van kracht in 2020. Door het nu reeds opnemen van de BIO in het Key2Control ISMS biedt Key2Control overheids organisaties de mogelijkheid om al dit jaar inzicht te krijgen in de stand van zaken. Men kan nu reeds een GAP analyse uitvoeren en zich effectief voorbereiden op 2020. Uiteraard blijft gedurende het jaar 2019 de BIG beschikbaar als instrument voor het borgen van het kwaliteitsproces (PDCA)

#ISMS #Key2Control #BIO #informatiebeveiliging

Key2Control ondertekent Manifest “Grip op Secure Software Development”​ van het CIP

Key2Control ondertekent Manifest “Grip op Secure Software Development”​ van het CIP

Posted on by in Nieuws with no comments

Het Centrum Informatiebeveiliging en Privacybescherming heeft in samenwerking tussen overheidsorganisaties en marktorganisaties het proces en normenkader “Grip op secure software development” (SSD) ontwikkeld.

Key2Control is kennispartner van het CIP en maakt nu deel uit van de groep van SSD-Manifest partijen van het CIP.

Wij onderschrijven het belang van de volgende uitgangspunten:

  • Het hanteren van het normenkader “Grip op SSD” als referentiekader bij onze softwareontwikkeling
  • Wij delen praktische toepassingsproblemen met de SSD practitioners community
  • Wij bevorderen, waar mogelijk, de implementatie van “Grip op SSD” bij overheidsorganisaties en stellen ons op als ambassadeur van de methode

#securesoftwaredevelopment #ssd #manifest #cip #key2control #ISMS #privacy

10 bestuurlijke principes voor informatiebeveiliging bij gemeenten

10 bestuurlijke principes voor informatiebeveiliging bij gemeenten

Posted on by in Nieuws with no comments

Dit jaar is de intrede van de Baseline Informatiebeveiliging Overheid, ofwel de BIO, die vanaf 2020 van kracht gaat.  Veel meer dan bij de BIG helpt de BIO het lijnmanagement bij het nemen van haar verantwoordelijkheid ten aanzien van informatiebeveiliging en risicomanagement. Daarnaast zijn er ‘10 bestuurlijke principes voor informatiebeveiliging’ vastgesteld om het bestuur in hun rol te ondersteunen bij de implementatie van de BIO.

De tien bestuurlijke principes

Om bestuurders te helpen in het nemen van hun verantwoordelijkheid op het gebied van informatiebeveiliging, heeft de Vereniging voor Nederlandse Gemeenten (VNG) ‘De 10 bestuurlijke principes voor informatiebeveiliging’ ontwikkelt. De principes dienen als aanvulling op de nieuwe baseline, en gaat over waarden die daar bij horen. Het is belangrijk dat deze waarden aansluiten op de waarden van de eigen gemeente. Ze zijn randvoorwaardelijk voor een goede borging van informatiebeveiliging. Renco Schoenaker van IB&P zet de principes graag op een rij en maakt ze concreet en tastbaar.

Bestuurders bevorderen een (informatie)veilige cultuur

Bij een informatieveilige omgeving hoort ook een veilige (meld)cultuur. Zo is het belangrijk dat collega’s niet bang zijn om incidenten te melden. Tevens wil je bevorderen dat iedereen risico’s signaleert en deze ook meldt en elkaar aanspreekt op onveilig gedrag. Stimuleer als wethouders en raadsleden elkaar om melding te maken van incidenten of datalekken. Daarbij is de bijvangst van een incident om er iets van te leren, en je hierdoor zaken alleen maar kunt verbeteren of de gevolgen van een incident kunt beperken. Wees je als bestuurder bewust van je voorbeeldfunctie en draag dat ook uit naar de rest van de organisatie. Spoor lijnmanagement in de ambtelijke organisatie aan om hun verantwoordelijkheid als het gaat om risicomanagement te pakken.

Informatiebeveiliging is van iedereen

Naast de inzet van een technisch veilige omgeving zijn het de collega’s en hun handelen die de omgeving écht veilig (of onveilig) maken. Het veilig omgaan met informatie is de verantwoordelijkheid van alle collega’s. Met als verantwoordelijkheid van de werkgever om hier een stimulerende en toetsende rol in te spelen, bijvoorbeeld door het uitrollen van een bewustwordingscampagne. Belangrijk daarbij is dat een campagne herkenbaar moet zijn en in lijn met de business risico’s, ofwel ‘dichtbij’ is voor collega’s. Situaties moeten vergelijkbaar zijn met wat mensen in hun dagelijks werk tegenkomen op de werkvloer maar ook privé. Dit betekent dus ook specifiek maatwerk per afdeling of team. Maar met alleen een campagne ben je er niet. Bewustwording is namelijk meer dan alleen maar het ‘zenden’ van informatie. Je moet zorgen voor een blijvende en meetbare gedragsverandering, ook bij het bestuur. Hoe je dit succesvol doet, lees je in onze eerdere blog hierover. Zorg dat alle inhoudelijk betrokken functionarissen met elkaar samenwerken en dat er communicatie capaciteit beschikbaar is.

Informatiebeveiliging is risicomanagement

Als gemeente ben je afhankelijk van de beschikbaarheid van informatie en de continuïteit van de informatievoorziening voor je dienstverlening naar burgers en bedrijven. Informatiebeveiliging hoort dus thuis in de lijn want de verantwoordelijkheden houden direct relatie met de bedrijfsvoering. Maak lijnmanagers verantwoordelijk voor risicomanagement en maar heldere afspraken over wat er van hen verwacht wordt. Zorg bijvoorbeeld dat risico’s geagendeerd worden en standaard onderdeel zijn van bestuurlijke documenten en dat lijnmanagers hierover rapporteren. Daarnaast dienst risicobewustzijn ook standaard onderdeel te zijn van samenwerkingen en uitbestedingen. Hoe je lijnmanagers in de juiste rol plaats lees je in de handreiking ‘Risicomanagement door lijnmanagers’ van de IBD.

Risicomanagement is onderdeel van de besluitvorming

Het is uiteraard belangrijk om risico’s en maatregelen te monitoren en te toetsen, zodat de maatregelen, indien gewenst per afdeling, verantwoordelijkheidsgebied of onderwerp, hierop kunnen worden bijgesteld. Maak risicomanagement daarom onderdeel van besluitvorming en laat lijnmanagement hierover rapporteren. Zorg daarnaast voor agendering op de bestuurlijke agenda. Op die manier kunnen de juiste vragen gesteld worden en kan er bijgestuurd worden (al dan niet op een passend (hoger) abstractieniveau). Bestuurders zijn verantwoordelijk voor kaderstelling (vaststellen). Tevens kan besluitvorming ook inhouden dat risico’s toch bewust, al dan niet tijdelijk, gelopen worden. Ook dan ben je ‘in control’. Zo is het bijvoorbeeld minder schadelijk als het stadsarchief tijdelijk niet beschikbaar is dan wanneer het GBA eruit ligt.

Informatiebeveiliging behoeft ook aandacht in (keten)samenwerking

Als gemeente werk je met veel (keten)partners samen. Hierbij geldt ‘de ketting is zo sterk als de zwakste schakel’, juist als het gaat om informatiebeveiliging. Elke organisatie heeft immers in meer of mindere mate te maken met digitale dreigingen. Wanneer je met verschillende organisaties samenwerkt, vraagt dit dus niet alleen om een inschatting van de eigen risico’s, maar ook van die van andere. Als organisatie in een keten ben je afhankelijk van elkaar en daarbij is het belangrijk dat je ook in kaart hebt wat de risico’s van ketenpartners zijn. Zorg dat je de risico’s die een gevaar vormen voor de informatievoorziening van de bedrijfsvoering van de gemeente en de risico’s die voortkomen uit ketensamenwerking goed in kaart brengt. Ook bij diensten die je uitbesteedt, dienen de risico’s in kaart te worden gebracht. Ken verantwoordelijkheden toe en tref de juiste maatregelen. Dit is dus ook van toepassing op alle bestuurlijke samenwerkingen. Je kunt hiervoor gezamenlijk maatregelen treffen. In de handreiking ‘Start een Ketensamenwerking’ van het NCSC vind je richtlijnen hoe dit succesvol te doen.

Informatiebeveiliging is een proces

Informatiebeveiliging betekent niet eenmalig een checklist doorlopen (implementatie), alle vinkjes zetten en klaar. Het is een continu proces waar je als gemeente aan moet blijven werken. Elke dag brengt nieuwe uitdagingen, projecten, processen et cetera. Het vraagt om structurele borging en moet onderdeel worden van (bestaande) processen. Maak hierbij gebruik van een gedocumenteerd ‘Information Security Management System’ (ISMS). ISMS gaat uit van de Plan Do Act Check cyclus (PDCA-cyclus), een continu en interactief proces. Daarnaast moeten zaken gemonitord worden en moet je kunnen aantonen dat je informatiebeveiliging op orde is. Dit gebeurt onder andere middels ENSIA. Houd dus rekening met een veranderende omgeving en zorg dat risicomanagement structureel op de (bestuurlijke) agenda staat. Zo kun je reageren op veranderingen en daarop tijdig bijsturen.

Informatiebeveiliging kost geld

Risicomanagement vraagt niet om snelle acties maar om constante aandacht. En hiervoor moeten middelen beschikbaar worden gesteld. Je hebt als gemeente de morele verplichting om zorgvuldig en veilig met gegevens om te gaan. Een incident kan leiden tot (grote) materiële en immateriële schade voor je gemeente. Denk aan datalekken die grote gevolgen voor het imago en de bedrijfsvoering van je gemeente hebben, tevens legt het veel (politieke) druk op je gemeente wat weer kan leiden tot reputatieschade. Stel voldoende middelen beschikbaar zodat er maatregelen getroffen kunnen worden bij risico’s die een gevaar zijn voor de continuïteit van de bedrijfsvoering. Ja, informatiebeveiliging kost geld.

Onzekerheid dient te worden ingecalculeerd

De input voor risicomanagement is gebaseerd op wat er in het verleden is gebeurd (ervaringen) en op actuele informatie. Daarnaast dien je rekening te houden met wat je in de toekomst kunt verwachten. Dit is uiteraard lastiger in te schatten, houdt daarom rekening met eventuele beperkingen en onzekerheden die nu nog niet met zekerheid zijn vast te stellen en afhankelijk zijn van toekomstige ontwikkelingen. Op het moment dat er besluiten genomen moeten worden, dient er rekening gehouden te worden met deze risico’s. Dit vergt goede en actuele informatie over de risico’s die de gemeente loopt. Zorg dat er voldoende tijd, geld, uren en mensen ter beschikking zijn, die bijdragen aan het gestalte (kunnen) geven van risicomanagement.

Verbetering komt voort uit leren en ervaring

Het is niet de vraag of je als gemeente slachtoffer wordt van een incident, maar wanneer. Hoe goed je informatiebeveiliging ook is, incidenten zullen altijd voorkomen. Voorkomen ga je het dus niet. Het is daarom belangrijker om na te denken hoe je er mee omgaat en wat je ervan kunt leren. Zorg dat je veerkrachtig bent als organisatie (resilient) en rekening houdt met kansen en risico’s van nieuwe ontwikkelingen. Transparant zijn over incidenten helpt, leer ervan en realiseer en accepteer dat risico’s niet geheel zijn uit te sluiten. Reflecteer op risico’s en betrek ook de medewerkers bij het delen van hun ervaringen als het gaat om risico’s die processen binnen de informatievoorziening bedreigen. Zo zorg je dat de gemeente kan leren van incidenten en tevens leer je zo te ontdekken wat wel en wat niet werkt. Dit helpt bij het nemen van toekomstige besluiten.

Het bestuur controleert en evalueert

Tot slot, is het belangrijk om te controleren wat de status is van de implementatie van het informatiebeveiligingsbeleid en om te kijken of risicomanagement ook daadwerkelijk is ingebed binnen de organisatie. Dit kan door lijnmanagement hierover te laten rapporteren. Op die manier krijg je als bestuurder goed inzicht in waar de organisatie staat en komen verbeterpunten aan het licht. Laat daarnaast de gemeente op effectiviteit en efficiency toetsen, door een (externe) auditor. Zo krijg je een goed beeld van hoe het beleid in de praktijk uitwerkt en of je op schema loopt. Ook kunnen er zaken aan het licht komen, zoals toename van datalekken, Laat je goed informeren over risico’s en weeg belangen goed af, neem hierin als bestuurder verantwoordelijkheid om besluiten en maatregelen te (laten) nemen. Of neem een voorbeeld aan de gemeente Beemster, die in het nieuwe informatiebeveiligingsbeleid van de gemeente zelfs actief verwijzen naar de hier genoemde 10 bestuurlijke principes.

Geen focus op toezicht bij functionaris databescherming

Geen focus op toezicht bij functionaris databescherming

Posted on by in Nieuws with no comments

Uit onderzoek van het Centrum Informatiebeveiliging en Privacybescherming (CIP) blijkt dat het merendeel van de Nederlandse functionarissen gegevensbescherming (FG’s) zich vooral bezighoudt met advies en begeleiding. Ze geven mindere mate invulling aan hun toezichthoudende verantwoordelijkheid.

Het onderzoek, een digitale enquête, vond eind augustus plaats onder ruim 215 FG’s waarbij werd gevraagd naar hun werk en functioneren. Onder hen werkt 82% bij een overheid gerelateerde-organisatie. Qua achtergrond is 93% hoogopgeleid (hbo/wo-niveau), waarvan ruim de helft een juridische opleiding heeft. Ook heeft 78 % al ruim tien jaar werkervaring.

De meeste FG’s rapporteren, in de rol van senior medewerker, rechtstreeks aan een bestuur of algemeen directeur. Hierbij ontvangen ze voldoende ondersteuning vanuit bestuurders, maar 94% van de FG’s geeft aan niet te beschikken over structureel budget. De functie wordt veelal op deeltijdbasis uitgevoerd.

AVG
Vanuit de AVG worden de functionarissen geacht ‘professioneel, deskundig en onafhankelijk’ te zijn. De onafhankelijke positie lijkt volgens het onderzoek goed te lukken. Aan de deskundigheid wordt vanuit de AVG geen specifieke eisen gesteld, iets dat geldt voor zowel de beroepsregistratie als voor de beschikbare opleidingen. De professionaliteit kan breed worden ingevuld. Veel FG’s hebben daarom één of meer medewerkers waarmee ze nauw samenwerken. In het verlengde hiervan blijkt er binnen de beroepsgroep grote behoefte te bestaan aan onderling contact, intervisie en sparren.

Externe ondersteuning zoeken de ge-enquêteerden vooral bij het CIP en de Informatiebeveiligingsdienst (IBD). De ondersteuning vanuit de Autoriteit Persoonsgegevens (AP) wordt belangrijke gevonden, maar blijkt voor verbetering vatbaar: 45% vindt de website van de AP te weinig informatief en slechts 17% is van mening dat vragen adequaat worden afgehandeld.

Bron: https://www.computable.nl/artikel/nieuws/management/6525876/250449/functionaris-gegevensbescherming-focust-op-advies.htm

Autoriteit Persoonsgegevens legt UWV een last onder dwangsom op!

Autoriteit Persoonsgegevens legt UWV een last onder dwangsom op!

Posted on by in Nieuws with no comments

Op 30 oktober maakte de Autoriteit Persoonsgegevens (AP) bekend, dat het Uitvoeringsinstituut Werknemersverzekeringen (UWV) een last onder dwangsom krijgt van 150.000 euro per maand met een maximum van 900.000, voor het onvoldoende beveiligen van gezondheidsgegevens.

Uiterlijk 31 oktober 2019 dient het UWV het beveiligingsniveau van zijn portaal op orde te hebben. Indien dit wordt verzaakt, moet het UWV deze dwangsom betalen.

Bron: https://www.privacy-web.nl/nieuws/ap-dwingt-uwv-met-sanctie-gegevens-beter-te-beveiligen

Controles op naleving AVG

Controles op naleving AVG

Posted on by in Nieuws with no comments

Sinds 25 mei 2018 geldt de AVG (Algemene Verordening Gegevensbescherming), deze wet verplicht bedrijven maar ook individuen om correct met persoonsgegevens om te gaan.

De AP (Autoriteit Persoonsgegevens) is de Nederlandse gegevensbeschermingsautoriteit die is aangesteld om toezicht te houden op het verwerken van persoonsgegevens. Onlangs is de AP begonnen met controles op de AVG naleving. De eerste pijlen werden gericht op overheidsorganisaties, maar sinds juli worden ook de private sectoren gecontroleerd. Hieronder wordt ingegaan op de aspecten waarop de AP zich primair lijkt te richten.

Functionaris voor de Gegevensbescherming
Overheidsinstanties en publieke organisaties waren verplicht om voor 25 mei jl. een FG (Functionaris voor de Gegevensbescherming ) aan te stellen, ongeacht het type gegevens dat ze verwerken. Deze functionaris ziet er intern op toe dat de regels uit de AVG worden nageleefd en fungeert als aanspreekpunt voor toezichthouder. De AP controleerde 400 overheidsorganisaties op het aanstellen van een FG. Uit de controle bleek dat minder dan 4% ‘mogelijk’ geen FG heeft aangesteld. Deze organisaties zijn schriftelijk verzocht om een eventueel aangestelde FG alsnog aan te melden voor een bepaalde datum. Blijft een aanmelding uit, dan kan de AP overgaan tot het opleggen van een sanctie.

Register van Verwerkingsactiviteiten
In dit register staat beschreven welke persoonsgegevens worden opgeslagen voor welke doeleinden en wie de verwerkingsverantwoordelijke is. In de private sector is de AP in Juli begonnen aan een willekeurige steekproef onder dertig grote organisaties, waarbij ze controleren of deze organisaties een register van verwerkingsactiviteiten bijhouden.

Het bijhouden van een dergelijk register is verplicht voor organisaties met meer dan 250 medewerkers. De uitkomsten van deze controles zijn nog niet gekend.

Klachten
Sinds 25 mei jl. bestaat voor iedereen het recht om een klacht in te dienen bij de AP over het gebruik van zijn/haar persoonsgegevens. Het blijkt dat de AP in een tijdsbestek van een dikke maand ruim 600 klachten ontving over de verwerking van hun persoonsgegevens. Uit een analyse van de eerste 400 klachten blijkt dat:

  • 77% gaat over het niet (volledig) gehoor geven aan een verzoek om verwijdering.
  • 18% gaat over de verstrekking van gegevens aan derden.
  • 5% gaat over inzageverzoeken.

Bijna 90% van de klachten gaat over bedrijven, de rest over overheidsinstanties. De AP heeft alle klachten in behandeling en zal twee keer per jaar rapporteren over de wijze waarop de klachten zijn afgehandeld.

 

Bron: Privacy Web

Problemen bij project voor verbeteren informatieveiligheid

Problemen bij project voor verbeteren informatieveiligheid

Posted on by in Nieuws with no comments

ENSIA is een gezamenlijk project van de VNG, gemeenten en verschillende ministeries. Het project streeft naar een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid.

ENSIA wordt sinds 1 juli 2017 door verschillende Nederlands gemeenten (WAAR/DOOR WIE) gebruikt om efficiënter te werken. Zes bestaande verantwoordingsprocedures – voor DigiD, de Basisregistratie Personen, de PUN, de BAG, de BGT en Suwinet – werden gebundeld. Gemeenten vullen jaarlijks een zelfevaluatielijst in om zo in één keer verantwoording af te leggen over het gebruik van zes systemen.

Accountantsbureau BDO, dat bij meerdere gemeenten actief is, schreef een rapport naar aanleiding van de recente ervaringen. Hieruit blijkt dat het bewustzijn van én de organisatie rondom informatieveiligheid bij gemeenten fors is toegenomen. Maar dat de verwachte efficiëntieverbetering nog niet is gehaald.

Dit komt doordat het belang van informatieveiligheid nog moet doordringen tot alle werknemers. Medewerkers mijden vaak nog de eigen verantwoordelijkheid. Zoals een medewerker die even wegloopt van zijn pc zonder deze te vergrendelen. Een cultuuromslag is dus nodig om de meerwaarde van ENSIA in te zien.

Daarnaast zijn procedures binnen gemeenten vaak nog versnipperd, waardoor het verzamelen van bewijsstukken voor een audit veel werk en tijd kost.

Volgens BDO zijn het geen onoverkomelijke problemen. In het rapport staan enkele suggesties om problemen te verhelpen:

  • draag het thema breder uit in de organisatie, zodat iedereen zich met het verbeteren van informatieveiligheid bezighoudt;
  • zorg voor eenduidig beleid en eenduidige procedures; en gebruik ENSIA niet alleen om aan verplichtingen te voldoen, maar zie het als een instrument tot verbetering.

Lees het volledige artikel.

Kabinet presenteert nieuwe Nederlandse Cybersecurity Agenda

Kabinet presenteert nieuwe Nederlandse Cybersecurity Agenda

Posted on by in Nieuws with no comments

Het kabinet heeft de nieuwe Nederlandse Cybersecurity Agenda gepresenteerd die moet helpen bij het versterken van de digitale veiligheid. De agenda bestaat uit zeven ambities die zijn uitgewerkt in doelstellingen en maatregelen en samen door overheid en bedrijfsleven zullen worden uitgevoerd.

Volgens het kabinet neemt de dreiging van beroepscriminelen en statelijke actoren toe en zijn gebruikte aanvallen steeds geavanceerder en complexer. Nederlandse overheidsinstellingen en in Nederland gevestigde bedrijven zijn structureel doelwit van digitale spionage door statelijke actoren, zo laat de agenda weten. Zo zijn bijvoorbeeld multinationals en onderzoeksinstellingen in de energie-, hightech-, en chemische sector het slachto?er geworden van digitale spionage. Bij deze digitale inbraken zijn terabytes aan vertrouwelijke gegevens gestolen die een substantiële economische waarde vertegenwoordigen.

De Cybersecurity Agenda moet ervoor zorgen dat Nederland in staat is om op een veilige wijze de economische en maatschappelijke kansen van digitalisering te verzilveren en de nationale veiligheid in het digitale domein te beschermen. Dit moet worden gerealiseerd via de zeven ambities. Eén van de ambities stelt dat Nederland voorop zal lopen in het bevorderen van digitaal veilige hard- en software. Een andere laat weten dat Nederland zijn digitale slagkracht op orde moet krijgen.

Naast het versterken van cybersecurity wordt er ook ingezet op het aanpakken van cybercriminelen en het vergroten van bewustzijn onder gebruikers. “Door fors te investeren in de digitale veiligheid van Nederland, houden we ook cybercriminelen buiten de deur. Het Openbaar Ministerie en de Politie krijgen meer capaciteit om cybercriminelen op te pakken en te vervolgen. Tegelijkertijd mag ook verwacht worden dat burgers zelf meer doen om hun digitale deur op slot te zetten. Daarom wordt geïnvesteerd in voorlichting zodat mensen bekend zijn met de grootste risico’s en belangrijkste maatregelen.”

Image

 

Bron: Security.nl – 21 april 2018

Functionaliteitsvergelijking iNavigator en Key2Control

Functionaliteitsvergelijking iNavigator en Key2Control

Posted on by in Nieuws with no comments

Voor een gemeente in Noord-Nederland is door Peter Tak van Privacy Concepts een korte vergelijking gedaan van de verwerkingsregisters van Key2control en iNavigator. Hierbij is met name gekeken naar het voldoen aan de wettelijke verplichtingen vanuit de AVG en de efficiëntie bij het vullen en onderhouden van het register.

De tekst van het vergelijkend onderzoek vindt u hier. Een overzicht van de onderzochte functionaliteiten kunt hier u vinden.

Conclusie

Beide registers kunnen voldoen aan de minimale wettelijke eisen die de AVG stelt.

Key2control

Het register van Key2control is een gespecialiseerd verwerkingsregister. Het kent aparte velden  voor alle wettelijk verplichte taken en voor een groot aantal optionele zaken die te maken hebben met het registreren van gegevensverwerkingen. Daarop kunt u ook allerlei selecties maken.

Hiermee zijn alle voor een gegevensverwerking relevante zaken vanuit één systeem inzichtelijk.

Daarnaast biedt het de mogelijkheid om zelf het niveau van detaillering te bepalen doordat u zelf de standaardwaarden voor categorieën gegevens kunt aanpassen. Door de wizard-gebaseerde invoer is duidelijk welke informatie vereist is. Met de ingebouwde controle op de wettelijk verplichte informatie en het verlopen van verwerkingsovereenkomsten is in één oogopslag te zien waar u nog niet voldoet aan de registratieverplichtingen. Door de uitgebreide rapportages kunt u veel eenvoudiger voldoen aan inzageverzoeken. Burgers kunnen vanaf april 2018 zelf zien welke verwerkingen u doorvoert in het openbare deel van het register.

iNavigator

Het register van iNavigator is integraal onderdeel van het DSP model met gemeentelijke procesbeschrijvingen en is hier binnen in feite een eenvoudig formulier. Veel informatie moet u in algemene velden opnemen waardoor deze niet makkelijk terug te vinden is en u er geen selecties op kunt maken. U zult een duidelijk proces en externe checklist moeten gebruiken om ervoor te zorgen dat alle verplichte informatie ook geregistreerd wordt. Ook verwerkings- en verstrekkings- overeenkomsten zult u buiten het systeem moeten registreren. Voor een volledig overzicht van een gegevensverwerking zult u dus informatie uit verschillende systemen moeten combineren.

Daarnaast zullen degenen die belast zijn met het bijhouden van het register ook de autorisatie moeten hebben om de beschrijvingen van de processen in het DSP model aan te passen en dienen de informatiearchitecten die het DSP model beheren, er rekening mee te houden dat wijzigingen die zij hierin doen, direct doorwerken in het verwerkingsregister. Het is in dit geval essentieel dat er duidelijke afspraken worden gemaakt en dat er onderlinge afstemming tussen de privacy officer en de informatiearchitect plaatsvindt bij wijzigingen in het model DSP.