Gemeentebestuurder: word eigenaar van informatieveiligheid!

https://vng.nl/onderwerpenindex/dienstverlening-en-informatiebeleid...

Terugblik kennisplatform ‘Big data & Ethiek’

Zodra de AVG geldt, heeft u als organisatie een documentatieplicht

26-09-2017 | ict / data, privacy | 0 Reacties

Kamerbrief over nieuw model gegevensbeschermingseffectbeoordeling rijksdienst

Wat zijn de risico’s bij overtreding van de AVG? Deel 1: boetes

https://ictrecht.nl/2017/09/25/wat-zijn-de-risicos-bij-overtreding-...

Betoog Frans Backhuijs: 'Voel je eigenaar van informatieveiligheid'

Nummer 15, 6 oktober 2017

frans_backhuijs_-_bij_betoog.jpg

In ruim twee jaar tijd bezochten Frans Backhuijs, Maarten Ruys (oud-gemeentesecretaris van Groningen) en Wim Blok (hoofd Veiligheid in Leiden) 123 gemeenten. Van Aa tot Hunze en van Amsterdam tot Maastricht hebben ze geprobeerd het thema informatieveiligheid op de bestuursagenda te krijgen. Vorige week presenteerden zij hun eindrapportage Durven leren. ‘Alles draait om data.’

Doel van onze bezoeken aan de gemeenten was bestuurders en de Chief Information Security Officers (CISO) samen om de tafel te krijgen. Om met de commissie het gesprek te voeren, het bewustwordingsproces over het belang van informatieveiligheid op gang te brengen en het besef te laten groeien dat gemeenten een schat aan privacy- en concurrentiegevoelige gegevens van inwoners en ondernemers onder hun hoede hebben. Die bewustwording en dat besef moeten leiden tot bestuurlijk eigenaarschap en de bereidheid tot het nemen van concrete maatregelen.

Bij die concrete maatregelen moet gedacht worden aan technische maatregelen. En informatiebeveiliging is voor een belangrijk deel ook de resultante van het juiste gedrag. Het gaat om de juiste combinatie van techniek en gedrag. De verantwoordelijkheid van gemeenten voor informatieveiligheid geldt over de hele linie, van inhuurkracht tot raadslid, voor leveranciers en samenwerkingsverbanden. Het vergt een enorme inspanning van gemeenten om samen met de Informatiebeveiligingsdienst voor gemeenten (IBD) en koepels (zoals de Vereniging van Gemeentesecretarissen, het Nederlands Genootschap van Burgemeesters en de Wethoudersvereniging) te werken aan blijvend bestuurlijk eigenaarschap van informatieveiligheid. Een continu proces van durven leren, niet alleen van incidenten, maar ook van elkaar, de wetenschap en de techniek.

https://vng.nl/betoog-frans-backhuijs-voel-je-eigenaar-van-informat...

100% respons bij eerste verantwoordingsronde informatieveiligheid

26 september 2017

Alle gemeenten hebben de zelfevaluatie informatieveiligheid van de Rijksdienst voor Identiteitsgegevens (RvIG) voor 1 oktober afgerond. De eerste stap in het nieuwe verantwoordingsproces ENSIA is gezet.

Gemeenten hebben hiervoor afgelopen weken de vragen over informatieveiligheid voor de Basisregistratie Persoonsgegevens en de Paspoort Uitvoeringsregeling beantwoord. De RvIG dankt alle gemeenten voor het tijdig invullen van de zelfevaluatie vragen via de ENSIA.nl De RiVG is nu bezig om de managementrapportages voor gemeenten gereed te zetten.

Dat alle gemeenten hun planning op orde hebben is een goed teken voor de resterende zelfevaluatieperiode waarbij gemeenten checken of hun informatiebeveiliging op orde is. Deze duurt nog tot 31 december 2017.

Volgend jaar deadline eind december

De verantwoordingsprocessen over de informatiebeveiliging van gemeenten zijn dit jaar voor het eerst samengevoegd. De wetgeving over de verantwoording van BRP/PUN kon echter nog niet worden aangepast. Vandaar dat dit jaar eenmalig een vervroegde deadline is gehanteerd. Vanaf 2018 valt de deadline ook op 31 december, zodat het verantwoordingsproces over BRP/PUN, gelijkloopt met de overige verantwoordingsprocessen die onder ENSIA vallen.

Meer informatie

Op de ENSIA pagina's vindt u meer informatie.

Algemene Verordening Gegevensbescherming bij VenJ

Aanpak en best practices

Binnen de overheid is iedere organisatie - zoals ministeries en gemeenten - zelf verantwoordelijk voor het tijdig voldoen aan de AVG. Deze pagina laat zien hoe het ministerie van Veiligheid en Justitie (VenJ) daar invulling aan geeft, door documenten over de aanpak en best practices te delen. Producten die het netwerk van Privacy Officers binnen VenJ samen ontwikkelt. De documenten zijn bedoeld ter inspiratie voor professionals die zich bezig houden met privacy en de implementatie van de AGV. Binnen en buiten VenJ.

https://www.rijksoverheid.nl/ministeries/ministerie-van-veiligheid-...

Bijeenkomst Privacy en Openbaarheid

Van de overheid wordt verlangd dat deze zo transparant mogelijk functioneert. Het is zelfs een grondwettelijk recht om overheidsinformatie op te kunnen vragen. De roep om nog meer transparantie is van alle dag. Maar ook de bescherming van de privacy wordt met meer regelmaat afgedwongen. Een continu spanningsveld dus waar de overheidsjurist zich mee geconfronteerd ziet. Dat spanningsveld is al merkbaar onder de huidige wetgeving, zoals de Wet openbaarheid van bestuur en de Wet bescherming persoonsgegevens. Naderende regelgeving zoals de Algemene verordening gegevensverwerking (AVG) en (mogelijk) de Wet open overheid zullen dat spanningsveld alleen maar vergroten.

In deze ontbijtbijeenkomst wordt specifiek voor overheidsjuristen ingegaan op dit spanningsveld. De belangrijkste aspecten van de Wob, de Wbp en straks de Wet open overheid en de AVG komen aan bod. Vooral de samenhang c.q. samenloop wordt besproken omdat hierbij het spanningsveld duidelijk merkbaar wordt. Na afloop is voor de aanwezigen een exemplaar van het themanummer van de Gemeentestem over privacy en informatie-uitwisseling door gemeenten beschikbaar. Een van de sprekers tijdens de bijeenkomst, Cornelis van der Sluis, heeft een bijdrage geleverd aan dit themanummer.

De ontbijtbijeenkomst is specifiek bedoeld voor overheidsjuristen. Het inhoudelijke programma van de bijeenkomst volgt op korte termijn. Enthousiast geworden, kunt u zich al wel aanmelden

https://www.tenholternoordam.nl/evenement/bijeenkomst-privacy-en-op...

Begrijpelijk: de oprichting van een groep voor privacy en informatieveiligheid. Maar wat zijn de overwegingen om deze twee onderwerpen in één groep te behandelen? Ze liggen wel enigszins in elkaars verlengde, maar anderzijds zijn er toch ook duidelijke verschillen, of zie ik dat verkeerd? 

Interessant, 'Privacy & Security'.

Heeft iemand al gezien dat het 'slotje' ontbreekt in de adresbalk?

Hmmmm?

Oktober: de maand van de privacy

Deze maand is het zover. Oktober is de maand van de privacy. Een initiatief van Kennisnet om aandacht te vragen voor het privacy-vraagstuk. Er wordt o.a. een conferentie georganiseerd en scholen kunnen hun kennis van het privacy-vraagstuk testen. Dit alles met als doel ervoor te zorgen dat iedereen straks (mei 2018) voldoet aan de Algemene Verordening Gegevensbescherming (AVG).

De Algemene Verordening Gegevensbescherming

De Algemene Verordening Gegevensbescherming is opgesteld door de Europese Unie. Het doel is om privacy van burgers op Europees niveau te regelen. Dit vanwege de toenemende uitwisseling van gegevens op internaitionaal niveau. Ook gegeven het feit dat Europeanen steeds meer Europeaan worden in die zin dat zij nog wel eens in een ander land gaan wonen en dan moeten weten waar ze aan toe zijn.

De AVG zorgt er voor dat er binnen organisaties die met persoonsgegevens werken allerlei maatregelen getroffen moeten zijn om eervoor te zorgen dat die gegevens goed beveiligd zijn. Bij organisaties die niet aan de regels voldoen en getroffen worden door een datalek kunnen geconfronteerd worden met huizenhoge boetes. Wie hier meer over wil weten verwijs ik naar mijn blog over dit onderwerp in augustus van dit jaar.

Integraal informatiebeveiligingsplan nodig

De afgelopen tijd hebben veel scholen en stichtingen energie gestoken in het afsluiten van bewerkersovereenkomsten met hun leveranciers en dienstverleners. De meesten hebben inmiddels ook een procedure opgesteld voor de afhandeling van datalekken. Echter, om aan de wetgeving te voldoen is veel meer nodig.

Iedere onderwijsinstelling moet in principe een integraal informatiebeveiligingsplan opstellen om – wat zo mooi heet – zowel de integriteit, vertrouwelijkheid alsook de beschikbaarheid van (persoons)gegevens veilig te stellen. Handig hulpmiddel hierbij is bijvoorbeeld de Code voor Informatiebeveiliging. In de gezondheidszorg en bij gemeenten heeft men informatiebeveiliging op veel plaatsen al ingericht op basis van deze “good practice”. In het onderwijs ben ik nog maar weinig instellingen tegen gekomen die zich op basis van deze NEN-norm hebben laten certificeren. Hetgeen een boete kan voorkomen op het moment dat je met een datalek geconfronteerd wordt.

Het opstellen van een integraal informatiebeveiligingsplan op basis van de Code voor Informatiebeveiliging is geen sinecure. Laat staan dat je in mei 2018 alle maatregelen hebt doorgevoerd om aan de Code te voldoen. Maar je moet een keer beginnen. De maand van de privacy is dan misschien een goed moment. Zie ook privacyconvenant onderwijs.

https://www.ev.nl/2017/10/05/oktober-de-maand-van-de-privacy/

Handreiking Suwinet-normenkader 2017 nu beschikbaar

100% respons bij eerste verantwoordingsronde ENSIA

Nieuws 5 oktober 2017

Sinds de livegang van ENSIA per 1 juli van dit jaar, is er door het implementatieteam van KING, de RvIG, ICTU en het projectteam van BZK hard toegewerkt naar de eerste verantwoordingsronde voor de stelsels BRP en PUN. Dankzij de goede samenwerking is op 1 oktober een eerste mijlpaal behaald met het invullen en inleveren van de vragenlijsten door alle 388 gemeenten. Dus een respons van 100%!

Alle 6 de stelsels nu beschikbaar in ENSIA

Op 2 oktober is een belangrijke vervolgstap gezet in de implementatie van ENSIA met het beschikbaar stellen van de vragenlijsten voor de stelsels BAG en BGT. Daarmee ondersteunt ENSIA nu alle 6 de stelsels die zijn voorzien in de huidige opzet van het verantwoordingsstelsel.

Eén slimme verantwoording voor informatieveiligheid

Dankzij ENSIA werken alle gemeenten sinds 1 juli met één verantwoordingstool voor informatieveiligheid. Met ENSIA heeft het gemeentebestuur meer inzicht in de stand van zaken van de informatieveiligheid, kan het beter sturen op informatieveiligheid en kan het er verantwoording over afleggen aan de gemeenteraad.
Voorheen waren er aparte audits en verantwoording voor de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet). Met ENSIA legt een gemeente in één keer slim verantwoording af over informatieveiligheid. De verantwoording sluit aan bij de gemeentelijke P&C-cyclus en is in lijn met de Baseline Informatieveiligheid Nederlandse Gemeenten (BIG). ENSIA is een initiatief van de VNG en de ministeries van BZK, I&M en SZW.

https://www.digitaleoverheid.nl/nieuws/100-respons-eerste-verantwoo...

De AVG is van toepassing op persoonsgegevens die nu al in de archiefbewaarplaatsen zijn opgenomen in analoge dossiers. Er zijn wel beperkingen op de openbaarheid doorgevoerd op dossiers maar meer van inhoudelijke aard van het dossier, niet of er persoonsgegevens in voorkomen en of die voor betrokkenen nadelig kunnen zijn. Ik vermoed dat veel archiefinstellingen soortgelijk werken. De AVG heeft een tegenstelling in het beschikbaar stellen van (persoons)gegevens in relatie tot de Archiefwet. Het beschikbaar stellen van analoge en digitale persoonsgegevens heeft een bepaald risico voor de verantwoordelijke verwerker, de beheerder en voor betrokkenen. Als archiefinstelling moet je daar afwegingen in maken met het gevaar dat per instelling verschillende interpretaties gemaakt worden. Volgens mij een onwenselijke situatie voor alle actoren en betrokkenen. Moet hier niet een centrale opzet voor gemaakt worden? VNG/KING of het Nationaal Archief zou hier regie in kunnen nemen.