Informatiebeveiliging
Digitaal werken en met elkaar communiceren is niet meer weg te denken uit de huidige maatschappij en zal zich in de toekomst verder blijven ontwikkelen. Voor de gemeente betekent dit dat een goede beveiliging en controleerbaar gebruik van privacygevoelige gegevens noodzakelijk is. Op welke wijze de informatiebeveiliging moet worden ingericht is vastgelegd in diverse wetgeving; hierna wordt deze kort omschreven.
- Baseline informatiebeveiliging Nederlandse gemeenten (BIG): De BIG, die voortkomt uit een resolutie die in 2013 door de VNG is aangenomen, bevat een groot aantal richtlijnen en voorschriften die bij naleving zorgen voor een acceptabel niveau van informatiebeveiliging binnen de gemeente.
- Algemene Verordening Gegevensbescherming (AVG): Op Europees niveau is in 2016 de AVG in werking getreden. Deze nieuwe wetgeving moet zorgen voor harmonisatie van de huidige privacyregelgeving in Europa en verbetering van de privacy(bescherming) van burgers. Gemeenten hebben een grote verantwoordelijkheid waar het gaat om de omgang met persoonsgegevens en moeten uiterlijk 25 mei 2018 voldoen aan de regels van de AVG.
- Wet Datalekken: Alle bedrijven en overheden die persoonsgegevens verwerken op grond van de Wet bescherming persoonsgegevens (Wbp) zijn vanaf 1 januari 2016 verplicht om een ernstig datalek direct te melden aan de Autoriteit Persoonsgegevens. Onder een datalek valt het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking. De Autoriteit Persoonsgegevens kan organisaties forse boetes opleggen als zij een datalek ten onrechte niet melden.
De afgelopen periode hebben we ons een beeld gevormd van noodzakelijke stappen die in het kader van de BIG en de AVG gezet moeten worden. Op diverse onderdelen scoort Heusden momenteel nog onvoldoende. Denk hierbij aan bewustwording, inbedding van het informatiebeleid in de PDCA-cyclus en het voeren van actief beleid op privacy. Het verbetertraject dat wordt ingezet om de informatiebeveiliging en gegevensbescherming op een adequaat niveau te krijgen, start nog in 2017 en zal zo’n 2 tot 3 jaar in beslag nemen.