Voortaan moeten we inzichtelijk maken wat we mogen opvragen en delen, en hoe we als organisatie persoonsgegevens verwerken. Maar dat is een misvatting. ENSIA gaat over de verantwoording naar het Rijk om te laten zien hoe ver u bent. Maar de AVG omvat veel méér.
Privacybeleid
Persoonsgegevens zijn kostbaar. En kwetsbaar. Elke gemeente dient daarom een privacy- en informatieveiligheidsbeleid te hebben. U moet dit beleid goed implementeren, zodat alle afdelingen en alle medewerkers ernaar handelen. Nieuw is, dat u uw beleid ook aantoonbaar moet kunnen maken. U moet kunnen aantonen dat u uw privacy- en informatieveiligheidsbeleid goed heeft geregeld. En ook monitoren of dit beleid werkt in de praktijk. De AVG gaat dus veel verder dan u gewend was.
Ontwikkel een zorgvuldig en afgewogen privacybeleid
Enerzijds hebben burgers recht op privacy. Anderzijds heeft u als gemeente gegevens van burgers nodig om de hulpvraag integraal te benaderen. U wilt uw beleid effectief uitvoeren en de samenwerking tussen organisaties inrichten: ‘1 gezin, 1 plan, 1 regisseur’. Dit vraagt om zorgvuldig en afgewogen beleid. Hoe zorgt u dat de rechten van de cliënt gewaarborgd zijn en blijven? Ontwikkel een werkwijze waarvan gemeente én burger beter worden. Maak dit niet onnodig ingewikkeld.
Wat nu concreet niet meer mag:
- tijdens een intakegesprek allerlei gegevens opvragen die niet van belang zijn;
- excelbestanden met klantoverzichten met NAW of BSN onbeveiligd mailen. Deze gegevens zijn heel gevoelig. Dit is een potentieel datalek als iemand dit overzicht in handen krijgt;
- informatie opnemen over de aard en oorzaak in een verzuimdossier. Vraag er ook niet naar. Als iemand hierover vrijwillig vertelt, mag u dit niet vastleggen in het dossier als er geen noodzaak is. Dit vraagt misschien om een andere verzuimbenadering. Namelijk: kijken naar wat iemand wél kan in plaats van kijken naar wat iemand niet kan;
- medische verklaring opvragen. De inhoud is privacygevoelig. U kunt wel vragen óf er een medische verklaring is afgegeven en dat vastleggen
Tip: een overzicht per sector
Hoe houdt u toch een werkbare situatie? Tip: maak per sector een overzicht van wat u nog wel mag registreren. Kijk ook kritisch naar de diverse rollen. In de governance legt u vast wie toegang heeft tot welke gegevens. Daarna volgt de moeilijkste stap: iedereen meekrijgen.
Wat mogen medewerkers wel en niet?
Iedere medewerker die werkt met persoonsgegevens heeft ermee te maken. Een medewerker kan niet meer zomaar een printopdracht geven met het risico dat de print de hele dag bij de printer ligt. Hij moet persoonlijk de printopdracht bij de printer bevestigen. Ook het werken met derden verandert. Persoonsgegevens aanbieden voor een mailing kan niet zomaar meer via de mail. Dit moet beveiligd gebeuren, met wachtwoorden en/of platforms zoals SharePoint. Dit ter vervanging van de mailbox. Ook deze kleine acties zijn relevant; per 1 januari 2016 geldt immers de Wet meldplicht datalekken (Wmd).
Alle partijen worden er beter van
Afdelingen mogen alleen beschikken over gegevens die ze ook echt nodig hebben. E-mails belanden uitsluitend bij de personen die ze daadwerkelijk moeten krijgen. Om toegang te krijgen tot bepaalde persoonsgegevens, zijn extra handelingen nodig. Dat laatste is voor sommige medewerkers even wennen, maar zorgvuldig omspringen met persoonsgegevens is positief. Het gaat immers ook om uw eigen gegevens. En alle partijen worden daar beter van.
Beleid over informatiebeveiliging
De invoering van de AVG heeft ook gevolgen voor uw beleid over informatiebeveiliging. Het stopt dus niet bij het inregelen van het privacybeleid en privacybewustzijn. Want hoe veilig zijn de applicaties waarin u de gegevens opslaat? Heeft u de ICT-beveiligingsrichtlijnen toegepast? Hoe heeft u het beheer van al deze applicaties ingericht? Wie is geautoriseerd? Wie heeft toegang tot welke gegevens? En wat doet u in geval van een datalek?
Organisatorische, procedurele en technische maatregelen
Het aanpassen van dit beleid vraagt om organisatorische, procedurele en technische maatregelen, met de AVG in de hand. En op basis van de regelgeving rondom onder meer DigiD, Suwinet en BRP. De doelstellingen van het beleid over informatiebeveiliging? Het waarborgen van de continuïteit van de informatie en de informatievoorziening, én het beperken van de eventuele gevolgen van beveiligingsincidenten tot een acceptabel, vooraf bepaald niveau.
Kruisbestuiving tussen privacynormen en dataprotectie
Voor cyber security bestaan veiligheidsnormen. Voor privacy zijn ook normen. Veiligheid is dus een ‘kruisbestuiving’ tussen de privacy- en de veiligheidsnormen. De mate waarin het privacybewustzijn een issue is en de dataprotectie van privacygevoelige gegevens is geborgd in de administratieve systemen, bepaalt hoe ‘groen’ uw dashboard eruitziet. Allereerst toetst u de opzet en het bestaan van het informatieveiligheidsbeleid en het privacybeleid. Daarna bekijkt u of dit in de praktijk werkt. Neem de tijd en doe het fasegewijs:
Fase 1: Opzet
Toets de opzet en het bestaan van de informatieveiligheidsnormen van al uw software. En check daarna de werking in de praktijk.
Fase 2: Bestaan
Nadat het privacybeleid is ingericht, toetst u of de softwaregebruikers de privacynormen hanteren.
Fase 3: Werking
Breng de toetsing van de opzet en het bestaan van informatieveiligheid en de privacynormen bij elkaar en controleer of de ‘kruisbestuiving’ werkt.
Beveiliging is geen garantie
Heeft u de informatiebeveiliging goed ingeregeld? Dat is nog geen garantie dat het stoplicht op groen blijft staan. Vergelijk het met de beveiliging van uw pc: een geavanceerd beveiligingsprogramma garandeert niet dat u geen phishingmail aanklikt. Bovendien veranderen er technieken, waardoor de beveiliging misschien niet meer up-to-date is. Vinden er mutaties plaats in het personeelsbestand van uw organisatie? Of veranderen er taken? Dan verandert ook het gebruik van de software. Een voorbeeld van dat laatste: na de decentralisaties bleven gemeenten de aanvragen registeren in bestaande software. In de Wmo en de Jeugdzorg werd vaak geen cliëntnummer gebruikt, maar een BSN-nummer. Echter, een BSN-nummer is direct terug te herleiden tot een persoon en is dus heel privacygevoelig. Dat stelt dus hogere eisen aan informatieveiligheid.
Hoe gaat u om met ENSIA?
Het is dus van belang dat uw gemeentelijke organisatie AVG-proof bent. Dit doet u door slimme maatregelen te treffen: technische, organisatorische en procedurele. Een hele uitdaging, gezien de enorme hoeveelheid normen die u moet implementeren en aantoonbaar moet maken. Om u te helpen ontwikkelde de overheid ENSIA: Eenduidige Normatiek Single Information Audit. Als gemeente bent u verplicht u hiermee te verantwoorden richting de overheid. Maar ENSIA dekt niet alle normen regels af: de AVG omvat meer dan de ENSIA-vragen. Om de privacy- en informatiebeveiliging volledig ‘in control’ te krijgen, moet u dus aan de slag met de AVG.
Wat kan Stimulansz voor u betekenen?
Hoe waarborgt u de veiligheid van gegevens in uw gemeente optimaal? Stimulansz ondersteunt u bij het vormgeven van uw privacy- & informatiebeleid. Onder meer met een praktische uitvoering van uw beleid. Hoe informeert u al uw medewerkers? Heeft u al een (verplichte) awareness-bijeenkomst gepland? En heeft u erover nagedacht hoe u dit onderwerp regelmatig aandacht geeft en op de agenda van een overleg levendig houdt?
De privacy-specialisten die Stimulansz inzet hebben een jarenlange ervaring met privacy en informatieveiligheid. Zij helpen u graag verder. Als kwartiermaker AVG; in een bewustwordingssessie voor het College van B&W; in AVG-Bewustzijnssessies voor medewerkers en bij het ontwikkelen van lokaal AVG-proof privacybeleid en de vertaling daarvan naar de bedrijfsprocessen.
Kwartiermaker AVG
Onze privacy-specialisten kunnen in de rol van kwartiermaker AVG uw gemeentelijke organisatie in een aantal maanden op weg helpen om AVG-proof te worden. Nadat zij het voorbereidende werk hebben gedaan, is het de bedoeling dat zij zich snel overbodig maken. Dit door hun kennis en kunde over te dragen aan de Functionaris Gegevensbescherming (FG) van uw gemeente.
AVG Bewustwordingssessie College van B&W
Is uw bestuur zich nog niet helemaal bewust van de impact, het belang en de bestuurlijke risico’s van het niet tijdig voldoen aan de AVG? Dan kunnen wij ook een bewustwordingssessie organiseren voor het college van B en W, eventueel in combinatie met het MT. Voldoende bestuurlijke prioriteit en draagvlak is cruciaal voor een succesvolle implementatie van de AVG in de gemeentelijke organisatie.
AVG-Bewustzijnssessies voor medewerkers
Hoe zorgt u ervoor dat uw medewerkers op de hoogte zijn van het beleid? En nog belangrijker: hoe krijgt u het voor elkaar dat medewerkers het belang ervan inzien en ernaar handelen? Stimulansz heeft veel ervaring met het organiseren en houden van bewustzijnssessies voor medewerkers. Van informeren naar handelen. Belangrijk, want u kunt uw privacy- en informatieveiligheid nog zo goed regelen, uiteindelijk komt het aan op privacybewustzijn. Want de privacyveiligheid is zo betrouwbaar als de zwakste schakel binnen uw organisatie.
Ontwikkeling van lokaal AVG-proof privacybeleid en de vertaling daarvan naar de bedrijfsprocessen
- Een standaard privacybeleid ontwikkelen is niet moeilijk. U downloadt het voorbeeld-beleidsplan van KING en past dit aan de lokale situatie aan. Maar verbetert daarmee de privacybescherming van uw burgers? Daar komt veel meer bij kijken. Wij ondersteunen u bij het ontwikkelen van privacybeleid dat er echt toe doet. En helpen u het beleidsplan te implementeren in uw gemeente. In de implementatiefase wordt het plan vertaald naar concrete acties. Deze worden per afdeling ingepast in de bestaande bedrijfsprocessen. Het resultaat is dat de medewerkers weten wat zij wel en niet kunnen doen met persoonsgegevens. Bovendien is de vastlegging van gegevens in de administratiesystemen veilig geregeld, zodat de kans op datalekken minimaal is.
- Niet alleen het privacybeleidsplan zelf, ook de uitvoering ervan moet AVG-proof zijn. Daartoe moet uw privacybeleid worden vertaald naar concrete normen. Dat doen wij voor u op basis van uw eigen beleidsplan. Deze normen integreert u in de bestaande werkprocessen van de diverse afdelingen die ermee aan de slag gaan. Op basis van die normen kan uiteindelijk de werking van het privacybeleid worden aangetoond, door het nemen van steekproeven. U bent aantoonbaar ‘in control’.
Slimme ISMS-tool voor de totale privacy- en informatieveiligheid
Stimulansz heeft twee slimme tools ontwikkeld: KiC Privacy en KiC Informatieveiligheid. Met dit Information Security Management System (ISMS) brengt u de privacy- en informatieveiligheid van uw totale organisatie op orde en laat u continu zien of u AVG-proof bent of op onderdelen nog maatregelen moet implementeren. In KiC Privacy en KiC Informatieveiligheid komen het privacy- en informatieveiligheidsbeleid samen: van onderzoek tot en met het beheer van documenten en de controle. Uiteindelijk waarborgt u hiermee continu de privacy van uw burgers, medewerkers en andere personen die in uw systeem staan.
