Grip op informatie


Onlangs publiceerde de Vereniging van Nederlandse Gemeenten (VNG) het magazine ‘Grip op informatie’, waarin acht gemeenten een boekje opendoen over hoe zij omgaan met informatie en welke mogelijkheden dat oplevert voor de gemeente in termen van transparantie, democratie, efficiency en kwaliteit van dienstverlening. In deze blog licht ik enkele kernpunten en conclusies uit op het gebied van informatiebeveiliging en privacy die in het magazine op dit vlak naar voren komen.

De wereldwijde digitalisering gaat razendsnel en transformeert onze maatschappij in een rap tempo. Als gemeente sta je hier met beide benen middenin. Niet voor niets investeren gemeenten al jaren in digitalisering van de publieksdienstverlening en omarmen zij de mogelijkheden die digitalisering biedt. De digitalisering biedt gemeenten immers enorme kansen. Het op orde hebben van de informatiehuishouding is voor gemeenten namelijk niet alleen een wettelijke verplichting, maar ook een voorwaarde voor openheid en transparantie. Daarnaast draagt het bij aan efficiency, de kwaliteit van dienstverlening en biedt het mogelijkheden voor innovatie en datagedreven werken. Maar er zitten ook risico’s aan verbonden. Want hoe kun je data openbaar maken en tegelijkertijd de privacy van gegevens blijven garanderen? En hoe beveilig je al die gevoelige (digitale) informatie?

Project ‘Grip op informatie’

Het antwoord hierop is dat je als gemeente grip moet hebben én houden op de data, informatiesystemen en archieven die je beheert. Je moet weten welke systemen en data je in huis hebt, hoe die worden gebruikt en beveiligd en welke informatie wel of niet openbaar moet/mag zijn. Om gemeenten te helpen bij het verstevigen van deze basis heeft de VNG het project ‘Grip op informatie’ opgezet. Vanuit dit project werkt de VNG samen met gemeenten aan concrete oplossingen op drie thema’s: informatiehuishouding op orde, actief openbaar maken en duurzame toegankelijkheid van overheidsinformatie.

In het magazine ‘Grip op informatie’ doen acht gemeenten (s’Hertogenbosch, Veere, Utrecht, Delft, Bergen, Teylingen, Montferland en Amsterdam) een boekje open over wat zij tot nu toe op dit gebied aan resultaat hebben geboekt en welke mogelijkheden het heeft opgeleverd. In deze blog licht ik een aantal kernpunten en conclusies op het gebied van informatiebeveiliging en privacy uit.

De driehoek: informatiebeveiliging, privacy en informatiebeheer

Als papierloze gemeente werkt gemeente ’s-Hertogenbosch probleemloos thuis sinds de verspreiding van het coronavirus in maart 2020. Zoals we allemaal inmiddels weten brengt het online thuiswerken veel uitdagingen en risico’s met zich mee voor organisaties, vooral op het vlak van informatieveiligheid en privacy. De gemeente ‘s-Hertogenbosch bleek daar echter goed tegen opgewassen omdat zij al langere tijd digitaal (samen)werken. Jan Hoskam, wethouder Financiën en economische zaken en portefeuillehouder ICT in ’s-Hertogenbosch: “We zijn van digitaal werken naar beter digitaal werken gegaan. Online samenwerken vraagt om een soepele toegang tot informatie. Zo moeten autorisaties precies kloppen, zodat medewerkers geen toegang hebben tot zaken die niet voor hen bedoeld zijn.” De gemeente is hier al mee aan de slag gegaan tijdens de decentralisaties 5 jaar geleden. Inmiddels zijn de autorisaties nog beter en volgens de AVG ingericht. Het advies dat van Hoskam andere gemeenten wil meegeven is: “Zorg voor een goede samenwerking intern. Elke grote reis begint met de eerste stap. Samenwerken is daarbij essentieel. Privacy, informatiebeveiliging en informatiebeheer. Werk in die driehoek samen, ga in gesprek en zet gezamenlijk de eerste stappen. Als bestuurder kun je hierin ook het initiatief nemen”.

Openbare stukken en privacy

In Zeeland zijn ze als gemeenten gewend om zaken gezamenlijk op te pakken. Op deze manier kunnen ze van elkaar leren en hoeft niet elke gemeente het wiel opnieuw uit te vinden (=win-winsituatie). De openbare stukken van alle dertien Zeeuwse gemeenten zijn straks dan ook op één plek terug te vinden: het eDepot van het Zeeuws Archief. Rob van der Zwaag, burgemeester van Veere (de gemeente die de kar trekt): “We zijn vanaf het begin gaan nadenken over hoe we dossierstukken slim kunnen archiveren. Zo hebben we beoordeeld of alle dossiers aanwezig en compleet zijn, welke informatie we per dossier moeten bewaren en welke gegevens we juist verplicht moeten vernietigen. Belangrijk hierbij is ook om te zorgen dat privacygevoelige informatie (zoals persoonsgegevens) niet openbaar worden. Voor bestaande dossiers betekende dit dus flink wat uitzoekwerk.” Om dit goed onder de loep te nemen heeft gemeente Veere een interne audit laten doen. Tijdens deze audit werd ook bekeken of vertrouwelijke informatie op tijd uit de systemen verwijderd wordt. Tip: je kunt hier goede software voor aanschaffen om dit te ondersteunen. Ook gemeente Amsterdam maakt gebruik van software die eenvoudig dubbelingen uit dossiers haalt of die privacygevoelige informatie automatisch anoniem maakt.

Als je gaat investeren in automatisering is het dus belangrijk om in je achterhoofd te houden dat je (als het gaat om het archiveren en verwijderen van informatie) naast de AVG ook aan wet- en regelgeving voor het bewaren van gegevens, zoals de Archiefwet, moet voldoen. Zorg er dus voor dat bepaalde informatie na zoveel jaar automatisch vernietigd wordt, zodat ze niet in een eDepot belanden. Dit moet je al inrichten aan het begin van het werkproces, denk bijvoorbeeld aan verplichte invulvelden waarmee een document als ‘vertrouwelijk’ kan worden gelabeld of het standaardiseren van dossieronderdelen. Dit kan veel tijd schelen.

Open data en bewustwording

Door hier al in het werkproces mee bezig te zijn heeft dit bij gemeente Veere tevens geleid tot meer bewustwording bij medewerkers over zorgvuldig omgaan met informatie en de vindbaarheid ervan. Als jij namelijk weet dat een zakelijk WhatsApp gesprek openbaar kan worden, denk jij vooraf al beter na over wat je communiceert via dit kanaal. Dit beaamt ook gemeente Utrecht, die als ambitie heeft ‘een open en transparante gemeente te zijn’. Hun informatie is niet van de gemeente, maar van de stad. Uiteraard zitten er ook risico’s aan al die open data en heb je rekening te houden met de privacywetgeving. Daarom maakt de gemeente niet zomaar alles openbaar maar bekijken ze elke vraag ook door de bril van de Uthiek, wat staat voor Utrechtse Ethiek. Dit wordt gedaan door het afdelingshoofd, de Functionaris Gegevensbescherming (FG) en de Informatiecommissaris van de gemeente. Zij zien ook als voordeel van open data dat dit een groot effect heeft op de interne organisatie en dat het zorgt voor bewustwording onder medewerkers. Zo denken collega’s beter na over alles wat ze doen, alles kan namelijk openbaar worden.

Transparantie en verantwoordelijkheid

Tot slot, wil ik nog een verhaal uitlichten van Jan Hamming, burgemeester van Zaanstad, die in een column ingaat op transparantie en het afleggen van verantwoording als gemeente. Als gemeente moet je immers op elk moment en over elk onderwerp in staat zijn om verantwoording af te leggen. Verantwoordelijkheid voor zorgvuldig informatiebeheer hoort daar ook bij. Zo moet je als gemeente uiterst zorgvuldig omgaan met de informatie en data die je tot je beschikking hebt. Als gemeente ben je hoeder van veel privacygevoelige informatie van inwoners en ondernemers. Dit geeft gemeenten de zwaarwegende plicht om hun informatiehuishouding op orde te hebben, op korte en lange termijn. Je moet informatie dusdanig opslaan dat je weet waarvoor deze data gebruikt is/wordt én of deze geschikt is voor openbare publicatie. In de huidige digitale wereld is verandering de enige constante. De technologie van vandaag is morgen verouderd, Kortom, dit vraagt om continue aandacht en maakt transparantie en grip op informatie ingewikkeld. Het is niet alleen een technische uitdaging maar ook een organisatorische uitdaging. Je kunt het je als gemeente niet veroorloven informatie willekeurig op te slaan. Ga dus bewust met data om! En ja dit vraagt iets van elke overheidsorganisatie, elke bestuurder en elke individuele medewerker, aldus Jan Hamming.

Dus kort samengevat de volgende conclusies/aandachtspunten

Wanneer je de verhalen van de bovenstaande gemeenten leest kun je de volgende aandachtspunten onthouden:

  • Zorg voor de juiste autorisaties. Medewerkers hebben alleen toegang nodig tot informatiesystemen en/of gegevens die nodig zijn voor het uitvoeren van hun functie. Wil je meer weten over hoe je dit proces kunt inrichten? Lees dan mijn eerdere blog ‘Tien stappenplan voor het opstellen van een autorisatiematrix’.
  • Zorg voor een goede samenwerking tussen de disciplines informatiebeheer, privacy en informatiebeveiliging. Het op een juiste wijze verzamelen, bewaren, beheren én beveiligen van gegevens is cruciaal.
  • Zorg voor een goede archivering. En houd je hierbij aan de geldende wet- en regelgeving. zoals de archiefwet en de AGV.
  • Door zaken te borgen in bestaande werkprocessen neem je medewerkers al mee en zorgt dit voor bewustwording over hoe je zorgvuldig om moet gaan met informatie.
  • Je moet als gemeente transparant kunnen zijn en verantwoordelijkheid kunnen afleggen als het gaat om je informatiehuishouding. Dit dient te allen tijde op orde te zijn.
  • Het is een uitdaging op het vlak van techniek en de mens. Ook hier geldt weer dat het een technische en organisatorisch uitdaging is waarbij bewust en veilig omgaan met data pas echt in haar kracht staat als alertheid de achterliggende techniek ondersteunt.

Meer informatie?

Ben je benieuwd naar alle verhalen, lees dan hier de hele uitgave ‘Grip op informatie’.

Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente verder te komen op dit vlak, neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.

Security by Design concreet gemaakt

Met de komst van de AVG in 2018, is er ook veel aandacht voor de begrippen ‘Privacy by Design’ en ‘Security by Design’. Maar wat wordt hier nu eigenlijk mee bedoeld en waarom is het zo belangrijk? In deze blog wil ik graag specifiek ingaan op Secu…

Mobile Device Management: MDM, MAM en Windows 10

Vanuit de BIO is het helder dat je een vorm van beheer dient te voeren op apparaten, waaronder mobiele apparaten als telefoons, tablets en laptops. Welke mogelijkheden heb je daar eigenlijk tot je beschikking voor iOS, Android en Windows 10?

De BIO en het toepassen van encryptie; wat moet je weten?

Encryptie is een serieus onderdeel geworden binnen veel organisaties. Niet voor niets worden er in BIO eisen benoemd als het gaat om encryptie. Welke eisen zijn dit en wat moet je hier als CISO over weten?

De ingrediënten van een jaarverslag

In gemeenteland komt het jaarverslag er weer aan. Schrijf jij als CISO of FG al een separaat jaarverslag over informatiebeveiliging of privacy? Zeker doen!