Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing in de EU. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer. In de overgangsperiode zijn al stappen gezet, maar veel organisaties zijn nog niet geheel klaar. Het devies is een praktische, maar gerichte aanpak naar een volgende fase van volwassenheid in opzet, bestaan en werking.
De AVG zorgt onder meer voor versterking en uitbreiding van privacyrechten van burgers. Privacy kan niet los worden gezien van informatieveiligheid. De Baseline Informatiebeveiliging Gemeenten (BIG) is de kern van de verantwoording over informatieveiligheid aan de gemeenteraad, maar de AVG gaat verder dan BIG en ENSIA. Het doel van de verordening is met name een nog betere bescherming van persoonsgegevens. Het recht van de betrokkene wordt in de verordening op hoog niveau beschermd. Dit vraagt om organisatorische, procedurele en technische maatregelen. Het Capability Maturity Model (CMM) is een manier om een beeld te krijgen van de volwassenheid van een organisatie. Op welk niveau zit uw organisatie als het gaat om privacy en informatieveiligheid?
De Functionaris Gegevensbescherming, Security Officer en Privacy Officer hebben ieder hun eigen rol en verantwoordelijkheid als het gaat om privacy en informatieveiligheid. Er is echter een duidelijke samenhang en soms zelfs een overlap in de taken. In sommige gemeenten wordt de functie van FG en CISO nu zelfs nog gecombineerd. Maar er is uiteindelijk een gemeenschappelijke wens en doel.
Vanuit uw expertise heeft u wel een beeld van welke richting uw organisatie op moet. De praktijk is soms echter weerbarstig. Bijvoorbeeld als het gaat om het verkrijgen van mensen en middelen. Of bij het formuleren van beleid of passende maatregelen. Of in het daadwerkelijk sturen en meekrijgen van de organisatie. Stimulansz kan u op deze terreinen ondersteunen, zodat u in een korte tijd een aantal grote stappen zet.
Het besef dat de AVG van toepassing is, zal de komende tijd door de media en campagnes van de AP nog duidelijker worden. Maar heeft u hiermee als FG, CISO of PO intern ook al de urgentie, de mensen en het budget om datgene te doen dat nodig is? Een bewustwordingssessie met het College of MT kan helpen.
Gemeenten kennen hun eigen dienstverlening en kunnen als geen ander inschatten waar zij de meeste risico’s lopen! Stimulansz vindt daarom ook dat gemeenten hierin onafhankelijk en zelfsturend moeten worden.
Stimulansz ondersteunt u bij het vormgeven van uw privacy en informatiebeleid.
Met alleen beleid bent u er niet. Privacy en informatieveiligheid is een proces, dat doorlopend om uw aandacht vraagt. Hoe houdt u zicht op alle vervolgstappen die de organisatie moet zetten? Hoe zorgt u dat afdelingen doen wat ze moeten doen? En hoe controleert u dat? Lees verder.