Grip op informatie


Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie en welke mogelijkheden dat oplevert voor de gemeente in termen van transparantie, democratie, efficiency en kwaliteit van dienstverlening. In deze blog licht ik enkele kernpunten en conclusies uit op het gebied van informatiebeveiliging en privacy die in het magazine op dit vlak naar voren komen.

De wereldwijde digitalisering gaat razendsnel en transformeert onze maatschappij in een rap tempo. Als gemeente sta je hier met beide benen middenin. Niet voor niets investeren gemeenten al jaren in digitalisering van de publieksdienstverlening en omarmen zij de mogelijkheden die digitalisering biedt. De digitalisering biedt gemeenten immers enorme kansen. Het op orde hebben van de informatiehuishouding is voor gemeenten namelijk niet alleen een wettelijke verplichting, maar ook een voorwaarde voor openheid en transparantie. Daarnaast draagt het bij aan efficiency, de kwaliteit van dienstverlening en biedt het mogelijkheden voor innovatie en datagedreven werken. Maar er zitten ook risico’s aan verbonden. Want hoe kun je data openbaar maken en tegelijkertijd de privacy van gegevens blijven garanderen? En hoe beveilig je al die gevoelige (digitale) informatie?

Project ‘Grip op informatie’

Het antwoord hierop is dat je als gemeente grip moet hebben én houden op de data, informatiesystemen en archieven die je beheert. Je moet weten welke systemen en data je in huis hebt, hoe die worden gebruikt en beveiligd en welke informatie wel of niet openbaar moet/mag zijn. Om gemeenten te helpen bij het verstevigen van deze basis heeft de VNG het project ‘Grip op informatie’ opgezet. Vanuit dit project werkt de VNG samen met gemeenten aan concrete oplossingen op drie thema’s: informatiehuishouding op orde, actief openbaar maken en duurzame toegankelijkheid van overheidsinformatie.

In het magazine ‘Grip op informatie’ doen acht gemeenten (s’Hertogenbosch, Veere, Utrecht, Delft, Bergen, Teylingen, Montferland en Amsterdam) een boekje open over wat zij tot nu toe op dit gebied aan resultaat hebben geboekt en welke mogelijkheden het heeft opgeleverd. In deze blog licht ik een aantal kernpunten en conclusies op het gebied van informatiebeveiliging en privacy uit.

De driehoek: informatiebeveiliging, privacy en informatiebeheer

Als papierloze gemeente werkt gemeente ’s-Hertogenbosch probleemloos thuis sinds de verspreiding van het coronavirus in maart 2020. Zoals we allemaal inmiddels weten brengt het online thuiswerken veel uitdagingen en risico’s met zich mee voor organisaties, vooral op het vlak van informatieveiligheid en privacy. De gemeente ‘s-Hertogenbosch bleek daar echter goed tegen opgewassen omdat zij al langere tijd digitaal (samen)werken. Jan Hoskam, wethouder Financiën en economische zaken en portefeuillehouder ICT in ’s-Hertogenbosch: “We zijn van digitaal werken naar beter digitaal werken gegaan. Online samenwerken vraagt om een soepele toegang tot informatie. Zo moeten autorisaties precies kloppen, zodat medewerkers geen toegang hebben tot zaken die niet voor hen bedoeld zijn.” De gemeente is hier al mee aan de slag gegaan tijdens de decentralisaties 5 jaar geleden. Inmiddels zijn de autorisaties nog beter en volgens de AVG ingericht. Het advies dat van Hoskam andere gemeenten wil meegeven is: “Zorg voor een goede samenwerking intern. Elke grote reis begint met de eerste stap. Samenwerken is daarbij essentieel. Privacy, informatiebeveiliging en informatiebeheer. Werk in die driehoek samen, ga in gesprek en zet gezamenlijk de eerste stappen. Als bestuurder kun je hierin ook het initiatief nemen”.

Openbare stukken en privacy

In Zeeland zijn ze als gemeenten gewend om zaken gezamenlijk op te pakken. Op deze manier kunnen ze van elkaar leren en hoeft niet elke gemeente het wiel opnieuw uit te vinden (=win-winsituatie). De openbare stukken van alle dertien Zeeuwse gemeenten zijn straks dan ook op één plek terug te vinden: het eDepot van het Zeeuws Archief. Rob van der Zwaag, burgemeester van Veere (de gemeente die de kar trekt): “We zijn vanaf het begin gaan nadenken over hoe we dossierstukken slim kunnen archiveren. Zo hebben we beoordeeld of alle dossiers aanwezig en compleet zijn, welke informatie we per dossier moeten bewaren en welke gegevens we juist verplicht moeten vernietigen. Belangrijk hierbij is ook om te zorgen dat privacygevoelige informatie (zoals persoonsgegevens) niet openbaar worden. Voor bestaande dossiers betekende dit dus flink wat uitzoekwerk.” Om dit goed onder de loep te nemen heeft gemeente Veere een interne audit laten doen. Tijdens deze audit werd ook bekeken of vertrouwelijke informatie op tijd uit de systemen verwijderd wordt. Tip: je kunt hier goede software voor aanschaffen om dit te ondersteunen. Ook gemeente Amsterdam maakt gebruik van software die eenvoudig dubbelingen uit dossiers haalt of die privacygevoelige informatie automatisch anoniem maakt.

Als je gaat investeren in automatisering is het dus belangrijk om in je achterhoofd te houden dat je (als het gaat om het archiveren en verwijderen van informatie) naast de AVG ook aan wet- en regelgeving voor het bewaren van gegevens, zoals de Archiefwet, moet voldoen. Zorg er dus voor dat bepaalde informatie na zoveel jaar automatisch vernietigd wordt, zodat ze niet in een eDepot belanden. Dit moet je al inrichten aan het begin van het werkproces, denk bijvoorbeeld aan verplichte invulvelden waarmee een document als ‘vertrouwelijk’ kan worden gelabeld of het standaardiseren van dossieronderdelen. Dit kan veel tijd schelen.

Open data en bewustwording

Door hier al in het werkproces mee bezig te zijn heeft dit bij gemeente Veere tevens geleid tot meer bewustwording bij medewerkers over zorgvuldig omgaan met informatie en de vindbaarheid ervan. Als jij namelijk weet dat een zakelijk WhatsApp gesprek openbaar kan worden, denk jij vooraf al beter na over wat je communiceert via dit kanaal. Dit beaamt ook gemeente Utrecht, die als ambitie heeft ‘een open en transparante gemeente te zijn’. Hun informatie is niet van de gemeente, maar van de stad. Uiteraard zitten er ook risico’s aan al die open data en heb je rekening te houden met de privacywetgeving. Daarom maakt de gemeente niet zomaar alles openbaar maar bekijken ze elke vraag ook door de bril van de Uthiek, wat staat voor Utrechtse Ethiek. Dit wordt gedaan door het afdelingshoofd, de Functionaris Gegevensbescherming (FG) en de Informatiecommissaris van de gemeente. Zij zien ook als voordeel van open data dat dit een groot effect heeft op de interne organisatie en dat het zorgt voor bewustwording onder medewerkers. Zo denken collega’s beter na over alles wat ze doen, alles kan namelijk openbaar worden.

Transparantie en verantwoordelijkheid

Tot slot, wil ik nog een verhaal uitlichten van Jan Hamming, burgemeester van Zaanstad, die in een column ingaat op transparantie en het afleggen van verantwoording als gemeente. Als gemeente moet je immers op elk moment en over elk onderwerp in staat zijn om verantwoording af te leggen. Verantwoordelijkheid voor zorgvuldig informatiebeheer hoort daar ook bij. Zo moet je als gemeente uiterst zorgvuldig omgaan met de informatie en data die je tot je beschikking hebt. Als gemeente ben je hoeder van veel privacygevoelige informatie van inwoners en ondernemers. Dit geeft gemeenten de zwaarwegende plicht om hun informatiehuishouding op orde te hebben, op korte en lange termijn. Je moet informatie dusdanig opslaan dat je weet waarvoor deze data gebruikt is/wordt én of deze geschikt is voor openbare publicatie. In de huidige digitale wereld is verandering de enige constante. De technologie van vandaag is morgen verouderd, Kortom, dit vraagt om continue aandacht en maakt transparantie en grip op informatie ingewikkeld. Het is niet alleen een technische uitdaging maar ook een organisatorische uitdaging. Je kunt het je als gemeente niet veroorloven informatie willekeurig op te slaan. Ga dus bewust met data om! En ja dit vraagt iets van elke overheidsorganisatie, elke bestuurder en elke individuele medewerker, aldus Jan Hamming.

Dus kort samengevat de volgende conclusies/aandachtspunten

Wanneer je de verhalen van de bovenstaande gemeenten leest kun je de volgende aandachtspunten onthouden:

  • Zorg voor de juiste autorisaties. Medewerkers hebben alleen toegang nodig tot informatiesystemen en/of gegevens die nodig zijn voor het uitvoeren van hun functie. Wil je meer weten over hoe je dit proces kunt inrichten? Lees dan mijn eerdere blog ‘Tien stappenplan voor het opstellen van een autorisatiematrix’.
  • Zorg voor een goede samenwerking tussen de disciplines informatiebeheer, privacy en informatiebeveiliging. Het op een juiste wijze verzamelen, bewaren, beheren én beveiligen van gegevens is cruciaal.
  • Zorg voor een goede archivering. En houd je hierbij aan de geldende wet- en regelgeving. zoals de archiefwet en de AGV.
  • Door zaken te borgen in bestaande werkprocessen neem je medewerkers al mee en zorgt dit voor bewustwording over hoe je zorgvuldig om moet gaan met informatie.
  • Je moet als gemeente transparant kunnen zijn en verantwoordelijkheid kunnen afleggen als het gaat om je informatiehuishouding. Dit dient te allen tijde op orde te zijn.
  • Het is een uitdaging op het vlak van techniek en de mens. Ook hier geldt weer dat het een technische en organisatorisch uitdaging is waarbij bewust en veilig omgaan met data pas echt in haar kracht staat als alertheid de achterliggende techniek ondersteunt.

Meer informatie?

Ben je benieuwd naar alle verhalen, lees dan hier de hele uitgave ‘Grip op informatie’.

Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente verder te komen op dit vlak, neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Is jouw gegevensverwerking rechtmatig?

Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar hoe weet je of jouw gegevensverwerking recht…

Het NIST CyberSecurity Framework als kans?

Binnen informatiebeveiliging praten we vaak over normen, managementsystemen en frameworks. Zo heb je het NIST Cyber Security Framework, maar hoe verhoudt dat zich tot het ISMS en de BIO? Lees het in onze blog.

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?