Wat kunnen we leren van gemeente Amersfoort?


Eind mei is het eindrapport van de Rekenkamer Amersfoort verschenen. De rekenkamer heeft o.a. onderzoek gedaan naar de bescherming van persoonsgegevens. Want hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden, aan wie de gemeente diensten uitbesteedt, dat? En wat kunnen andere gemeenten leren van Amersfoort?

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren bijvoorbeeld of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging en privacy. Zo kan de rekenkamercommissie besluiten om onderzoek te doen naar de gemeentelijke informatievoorziening en of deze wel voldoende veilig en betrouwbaar is, en informatie van burgers in veilige handen is. Zie bijvoorbeeld het onlangs door IB&P uitgevoerde rekenkameronderzoek naar informatiebeveiliging bij de gemeenten Wassenaar, Voorschoten, Oegstgeest en Leidschendam-Voorburg. Welke zaken de rekenkamercommissie onderzoekt en welke aanpak ze hierbij hanteert kun je lezen in onze eerdere blog ‘Informatiebeveiliging bezien vanuit de rekenkamercommisie’. In dit geval heeft de rekenkamer Amersfoort onderzoek gedaan naar de bescherming van persoonsgegevens. Dit heeft zij gedaan aan de hand van de volgende drie onderzoeksvragen:

  1. Hoe wordt de privacy van de Amersfoortse inwoners beschermd?
  2. Hoe wordt de privacy van inwoners beschermd door derden aan wie de gemeente de uitvoering van beleid heeft uitbesteed, of met wie anderszins persoonsgegevens worden gedeeld?
  3. Wordt er adequaat gebruik gemaakt van de AVG?

Wat blijkt?

De gemeente Amersfoort doet het goed. Het privacybeleid van de gemeente voldoet in hoofdlijnen aan de Algemene Verordening Gegevensbescherming (AVG) en is de afgelopen jaren sterk verbeterd. Zo is het beleid bekend onder medewerkers en wordt hier in de praktijk ook naar gehandeld. De verschillende eisen en principes van de AVG zijn goed uitgewerkt in beleid en werkprocessen die door medewerkers worden nageleefd. Dit is onderzocht door middel van diverse interviews en workshops onder verschillende medewerkers van de gemeente, met als doel inzicht te verkrijgen in de cultuur van de organisatie en hoe er in de dagelijkse praktijk met privacydilemma’s wordt omgegaan. Ook worden de afspraken die worden gemaakt met samenwerkingspartners goed nageleefd. Tot slot, wordt de raad op de hoogte gehouden en actief betrokken bij de uitgangspunten uit het beleid. Bij ernstige datalekken worden zij geïnformeerd.

Welke lessen kunnen andere gemeente hieruit trekken?

Niet alleen bij de gemeente Amersfoort, maar binnen de gehele overheid, is goede bescherming van persoonsgegevens nodig. De snelle digitalisering van onze dienstverlening zorgt voor nieuwe uitdagingen op het gebied van informatiebeveiliging en privacy. De afgelopen jaren hebben gemeenten dan ook hard gewerkt om de AVG te implementeren. Uiteraard is er geen garantie dat je als gemeente geen slachtoffer wordt van incidenten op privacyvlak, zoals datalekken. Gemeente Amersfoort weet dat als geen ander… want de afgelopen jaren ging het op dat vlak een paar keer goed mis. Het grootste datalek vond plaats in 2016, toen een e-mail met persoons- en zorggegevens van 1900 Amersfoorters verkeerd geadresseerd werd. En ook in 2018 was het goed raak: een ambtenaar verzond honderd bijstandsgerechtigden met op de achterzijde (bank)gegevens van anderen geprint. Kortom, zo veel als mogelijk voorkomen blijft altijd beter dan genezen. Daarom onderstaand een aantal punten die we kunnen leren van gemeente Amersfoort:

Binnen gemeente Amersfoort is veel aandacht geweest voor de invloed van de cultuur in de organisatie voor de omgang met persoonsgegevens. De gemeente werkt volgens de rekenkamer actief aan een prettig werkklimaat waar medewerkers mogelijke fouten durven toe te geven. Immers, bij een informatieveilige omgeving hoort ook een veilige meldcultuur. Zo is het belangrijk dat collega’s niet bang zijn om incidenten, zoals datalekken, te melden. Tevens wil je bevorderen dat iedereen risico’s signaleert en deze ook meldt en elkaar aanspreekt op onveilig gedrag.

  • Zorg voor ambassadeurs

Amersfoort heeft sleutelpersonen aangesteld als het gaat om privacy. Dit zijn medewerkers die een eerste aanspreekpunt zijn voor collega’s. Zij begrijpen de belangrijkste aspecten van privacy en dragen dit ook uit. Zo is het voor collega’s makkelijk om binnen elke afdeling iemand te vinden waarbij ze terecht kunnen met vragen over privacy. Ook kunnen zij medewerkers wijzen op beleid en richtlijnen. Wil je hier meer over weten, lees dan ook eens ons boek ‘Gemeenten. Bewustzijn. Privacy.’, waarin we hier uitgebreid over schrijven.

  • Zorg voor experts

Dit zijn professionals binnen de organisatie die lastige, technische of juridische vragen kunnen beantwoorden, zoals de Functionaris Gegevensbescherming, CISO en Privacy Officer. Binnen gemeente Amersfoort kunnen collega’s bij onduidelijkheden over hoe met iets moet worden omgegaan, ook advies vragen bij de afdeling Juridische Dienstverlening en Advies (JDA) en IT Dienstverlening en Advies (ITDA).

  • Zorg voor bewustwording en informeer nieuwe medewerkers over het privacy- en informatiebeveiligingsbeleid

Bijvoorbeeld door het doorlopen van een (verplichte) leermodule over privacy bij indiensttreding. Bespreek het goed omgaan met persoonsgegevens ook in functionerings- en/of beoordelingsgesprekken wanneer dit relevant is en haak aan op landelijke initiatieven. Zo geeft gemeente Amersfoort extra aandacht aan privacy op de ‘Europese dag van de privacy’ en wordt de jaarlijkse ‘Week van de Veiligheid’ in oktober gebruikt voor informatieveiligheid.

  • Betrek en houd de raad op de hoogte omtrent privacy

Dit kan doormiddel van raadsinformatiebrieven en presentaties. Binnen gemeente Amersfoort is de raad actief betrokken bij de uitgangspunten van het privacybeleid en wordt de raad direct geïnformeerd bij ernstige datalekken. Hierdoor zijn raadsleden bewust en actief bezig met het onderwerp privacy. Datalekken geven wat hen betreft met name aanleiding om breder na te denken over hoe de bewustwording rondom privacy blijvend kan worden versterkt.

  • Maak duidelijke afspraken met derden

Om te zorgen dat derden zich aan dezelfde eisen op het gebied van privacy en informatiebeveiliging houden als de eisen waar de gemeente Amersfoort zichzelf aan houdt, moet je duidelijke afspraken maken met elkaar. Door gemeente Amersfoort worden daarom met derden consistente afspraken gemaakt in de vorm van (verwerkers)overeenkomsten of convenanten. Om te monitoren of partijen zich ook aan de gemaakte afspraken houden, wordt momenteel een (nieuw) systeem ontwikkeld.

Kortom; gebruik dergelijke rekenkamerrapporten als leerschool voor je eigen gemeente. Zo kunnen we gezamenlijk de bescherming van persoonsgegevens binnen de gehele overheid verbeteren.

Meer informatie?

Benieuwd naar het gehele onderzoeksrapport en/of samenvatting? Deze documenten zijn te vinden op www.amersfoort.nl/rekenkamer (uitklappen onder ‘Bescherming persoonsgegevens’ voor alle stukken).

En heb je hulp nodig binnen jouw gemeente om verder te komen op dit vlak? Laat ons dit dan vooral even weten en neem contact met ons op.

Renco Schoemaker

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Waar gaat de Wet digitale overheid over?

Vorig jaar is het wetsvoorstel voor de Wet digitale overheid (Wdo) aangenomen door de Tweede Kamer. Maar waar gaat deze wet nu precies over? Wanneer gaat de wet (pas) van kracht en wat betekent dit voor jouw gemeentelijke organisatie?

Beleid voor informatiebeveiliging in bredere context

Een informatiebeveiligingsbeleid zou niet uit de lucht moeten komen vallen, maar een logisch gevolg van andere beleid en relevante, actuele ontwikkelingen. Juist die zetten we voor je op rij in deze blog. Handig, toch?

Digitale weerbaarheid verhogen – de basis op orde

De digitalisering gaat snel. Naast voordelen, brengt dit ook nieuwe kwetsbaarheden en dreigingen met zich mee. De BIO benoemd een aantal processen die je als randvoorwaardelijk zou kunnen bestempelen om je digitale weerbaarheid te verhogen. Welke …

Wat kunnen we leren van gemeente Amersfoort?

Eind mei is het eindrapport van de Rekenkamer Amersfoort naar de bescherming van persoonsgegevens verschenen. Hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden dat? En wat kunnen andere gemeenten leren van Amersfoort?

Privacy: prioriteit of moetje?

Deze week bestond de AVG-privacywet drie jaar. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij, is om de aandacht van bestuurders voor dit on…

Met de BIO bezig blijven: hoe lang?

De implementatie van de Baseline Informatiebeveiliging Overheid (BIO) is geen eenvoudige opgave. Waarom wil het niet zo vlotten? Dat staat centraal in deze blog.