Aan de slag met privacy bij de gemeente Amersfoort

Bron: Platform Overheid

Een datalek zette in april 2016 de gemeente Amersfoort op scherp. Sindsdien investeert de gemeente flink in het op orde krijgen van haar privacybeleid. Systemen worden aangepast, organisatorische maatregelen genomen en er wordt gewerkt aan het privacy- en informatieveiligheidsbewustzijn van medewerkers.

Onze gemeente zit in de kopgroep als het gaat om het volgen van de Baseline Informatiebeveiliging Gemeenten (BIG), alle vinkjes staan op groen. We wisten ook al dat we voorbereidingen moesten treffen voor de AVG, de privacyverordening die in mei 2018 van kracht wordt. Onze protocollen waren in april 2016 echter nog niet op orde, toen we te maken kregen met een ernstig datalek: een medewerker had per ongeluk een mail voor intern gebruik doorgestuurd naar een externe, met een bestand met privacygevoelige gegevens van cliënten van wijkteams. Zo zie je maar: je kunt op papier van alles hebben geregeld, maar het gaat er uiteindelijk om hoe het werkt in de praktijk. Dat medewerkers goed opletten, weten wat ze wel en niet mogen doen en snel reageren als er toch iets mis gaat.

Eenduidig inzicht in informatieveiligheid
Dit artikel is deel twee van een serie over informatieveiligheid en privacy bij gemeenten, waarin gemeentesecretarissen hun ervaringen delen (voor deel 1, klik hier). Het is geschreven in het kader van ENSIA. ENSIA (Eenduidige Normatiek Single Information Audit) is een nieuwe verantwoordingsmethodiek voor informatieveiligheid. ENSIA geeft de gemeenteraad eenduidig inzicht in informatieveiligheid. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier beter op sturen. Met ENSIA kan ook verantwoording worden afgelegd aan nationale toezichthouders over het gebruik van zes registratiesystemen, onder meer DigiD, PUN en Suwinet. De methodiek wordt in juli 2017 voor alle gemeenten ingevoerd.

Meer informatie over de invoering van ENSIA bij gemeenten, klik hier.

Uitdagend
Vorig jaar april waren we nog niet goed voorbereid op dit soort incidenten. Het werd te laat opgeschaald, de gemeenteraad nam het de wethouder kwalijk dat men niet snel was ingelicht. Uiteindelijk is er gelukkig niets gebeurd met de gelekte gegevens, die zijn bij de ontvanger vernietigd.
We hebben een extern onderzoek laten doen naar het incident. Daar kwamen allerlei aanbevelingen uit, die we opnamen in de aanpak die we zelf al aan het maken waren. We hebben een omvangrijk plan van aanpak gemaakt voor de implementatie van de AVG. We hebben een functionaris gegevensbescherming aangesteld en nemen alle maatregelen die nodig zijn voor de implementatie van de AVG. Zoals dataclassificatie: in kaart brengen welke persoonsgegevens we in welke systemen hebben, wie daarbij kunnen, met welke partijen we deze gegevens delen, etcetera. Met de nieuwe taken in het sociaal domein beschikken gemeenten over veel meer gevoelige gegevens dan voorheen, dat maakt de problematiek uitdagend en ook urgent.

Systemen aanpassen
We passen waar nodig onze systemen aan, om privacy beter te waarborgen. We merkten bijvoorbeeld dat we vaak het BSN gebruiken als authentiek gegeven, voor optimale dienstverlening aan onze inwoners. Een aantal van onze systemen is gebouwd rondom het BSN, maar dat betekent ook dat het BSN automatisch op een formulier komt te staan. Terwijl je dat vanuit oogpunt van privacy niet wilt. In een aantal gevallen hebben we nu onze systemen aangepast, zodat het nummer niet meer automatisch op formulieren komt.

‘Je kunt het op papier nog zo goed hebben geregeld, het gaat er om hoe het werkt in de praktijk’

Overigens zie je dat bijvoorbeeld de Belastingdienst het BSN gebruikt in het BTW-nummer en dat is openbaar. Daar kunnen wij als gemeenten niets aan veranderen, maar eigenlijk is dat wel vreemd. Wij doen als gemeente ons best om de privacy te waarborgen, maar sommige zaken kunnen beter overheidsbreed aangepakt worden.

Commissie datalekken
In onze systemen en organisatie hebben we inmiddels een been bijgetrokken als het gaat om privacy. Bewustwording is de derde pijler van onze aanpak, voor zowel privacy als informatieveiligheid. Die is lastig, want houding en gedrag zijn hardnekkig. Dat mensen zorgvuldig omgaan met hun wachtwoorden, dat ze privacygevoelige mail altijd versleuteld versturen, ook als ze haast hebben. Dat zijn dingen die je echt tussen de oren moet krijgen.
Het datalek creëerde zeker bewustwording, in die zin helpt een incident. We hebben een commissie datalekken ingevoerd, die staat onder leiding van de concerncontroller, waar elk datalek gemeld moet worden. Dat werkt heel goed bij ons. Gelukkig zijn mensen niet kopschuw geworden, maar zijn ze juist gaan kijken wat er wel en niet goed ging in hun processen. Er zijn inmiddels circa 26 datalekken gemeld door deze aanpak, daar hebben we het nieuws zelfs mee gehaald. Ik denk overigens dat we in dat aantal niet uitzonderlijk zijn, maar ze zijn bij ons zichtbaar geworden omdat we er zo bewust mee bezig zijn. De gemelde datalekken waren erg divers: van een verloren telefoon en post die was achtergehouden tot een ransomware-aanval.

Sleutelfiguren
We hebben privacy in de organisatie verankerd door op elke afdeling een ‘sleutelfiguur privacygevoelige gegevens’ te benoemen. Die is ervoor verantwoordelijk dat de afdeling een privacyplan heeft. En is ook de contactpersoon voor onze functionaris gegevensbescherming en onze privacy-officer. Dat zijn bij ons twee verschillende rollen: de functionaris gegevensbescherming controleert en adviseert, de privacy-officer is verantwoordelijk voor de uitvoering van ons plan van aanpak. Omdat we een grote gemeente zijn, kunnen we deze rollen apart beleggen. Er zijn verschillende manieren om dit te organiseren, kleinere gemeenten zullen dit anders doen.

‘Sommige zaken kunnen beter overheidsbreed aangepakt worden’

We ervaren een spanningsveld tussen privacy en dienstverlening. Dat wordt erg duidelijk in het sociaal domein. Wij zijn door schade en schande heel terughoudend geworden: onze wijkteams krijgen de nadrukkelijke instructie dat ze niet zomaar gegevens mogen delen. Ze mogen er nooit van uitgaan dat de cliënt daarmee instemt, ze moeten altijd toestemming vragen. Daardoor kunnen ze misschien niet altijd de beste dienstverlening verlenen, omdat ze bepaalde gegevens missen.
Als gemeentesecretaris ben je echt de linking pin tussen organisatie en college als het gaat om privacy en ook informatiebeveiliging. Ik kan urgentie in de organisatie brengen, ervoor zorgen dat dit project met spoed opgepakt wordt. En als er een incident is, dan ben je een soort crisismanager. Wij hebben in onze begroting van dit jaar meer budget gereserveerd voor de invoering van ons plan van aanpak voor de AVG. Zoiets als dit kost veel tijd en extra formatie, het betekent een verzwaring van je werk. Het is belangrijk dat gemeenten zich dat realiseren: je kunt dit niet draaien zonder de middelen.

Delen
Ik wil andere gemeenten aanraden om van de invoering van de AVG een urgent project te maken, dat bestaat uit onder meer het aannemen van een functionaris gegevensbescherming, het doorlichten van je systemen en het opzetten van een bewustwordingscampagne. Als je nu nog niet bezig bent, dan ben je voor de invoering in mei 2018 eigenlijk al te laat. Wij hebben een uitgebreid plan van aanpak gemaakt, dat delen we graag. Wat niet betekent dat je dan klaar bent: je moet er vol mee aan de slag! Zoals ik al stelde: je kunt je protocollen nog zo goed op orde hebben, het gaat erom hoe het werkt in de praktijk. Dat hebben wij aan den lijve ervaren.

Weergaven: 58

Opmerking

Je moet lid zijn van BREED - over de grenzen van informatie om reacties te kunnen toevoegen!

Wordt lid van BREED - over de grenzen van informatie

© 2017   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden