Informatiebeveiliging en Privacy, Algemene Verordening Gegevensbescherming (AVG) en de Functionaris Gegevensbescherming
Zowel de Chief Information Security Officer (CISO) en de Privacy Officer (PO) zijn eind 2018 uit dienst gegaan. Ook de uren van de Functionaris Gegevensbescherming (FG) zijn verlaagd van 12 uur per week naar 60 uur per jaar. Dit had gevolgen voor de ontwikkelingen op het gebied van informatiebeveiliging en privacy, deze kwamen zo goed als stil te liggen.
Ondanks deze ontwikkelingen is wel uitvoering gegeven aan zowel de horizontale- als verticale verantwoording over informatiebeveiliging via de Eenduidige Normatiek Single Information Audit (ENSIA).
Vanaf 1 juli 2019 is er een nieuwe CISO/PO begonnen die de reeds in gang gezette werkzaamheden heeft opgepakt en informatiebeveiliging en privacy verder ontwikkelt.
Wat is er in 2019 bereikt?
Er zijn een Privacy Beleidskader en een Informatiebeveiligingsbeleid opgesteld. Beiden zijn door het college vastgesteld. Om de stand van zaken wat betreft de implementatie van de Algemene Verordening Gegevensbescherming (AVG) in kaart te brengen hebben de FG en PO eind juli een nulmeting uitgevoerd. Aan de hand hiervan is een implementatieplan ‘Privacy in Control’ inclusief planning opgesteld. In juli 2020 zal opnieuw een nulmeting uitgevoerd worden.
Op de website van de gemeente is een privacyverklaring geplaatst waarin de gemeente aangeeft hoe er met gegevens van betrokkenen wordt omgegaan en wat hun rechten zijn wat betreft privacy.
Bewustwording voor informatiebeveiliging en privacy
Er is dit jaar veel aandacht besteed aan verschillende onderdelen van informatiebeveiliging en privacy, met name aan bewustwording.
Het niveau van bewustwording over informatiebeveiliging en privacy van de medewerkers is op verschillende manieren onderzocht. Er is onderzoek verricht door een 'mystery guest'. Deze persoon heeft de mogelijkheden tot ongeautoriseerde fysieke- en digitale toegang tot de gemeentelijke omgeving onderzocht. Daarnaast is er een neppe phishing e-mail verstuurd om het klikgedrag van de medewerkers in kaart te brengen. De resultaten zijn in een verplichte 'awareness' sessie besproken met alle medewerkers.
Daarnaast is een poster opgesteld, de ’10 gouden regels’ waarin richtlijnen worden gegeven hoe veilig om te gaan met (vertrouwelijke) informatie. Dit document is op een ludieke wijze onder de aandacht van de medewerkers gebracht en is terug te vinden op de intranetpagina Informatiebeveiliging/privacy.
Naast een algemene bewustwordingssessie voor alle medewerkers is er voor de teammanagers een bijeenkomst georganiseerd over de rol en verantwoordelijkheden van de teammanagers.
