Skip to main content

Wat kunnen we leren van gemeente Amersfoort?

| IB&P | ,

Eind mei is het eindrapport van de Rekenkamer Amersfoort verschenen. De rekenkamer heeft o.a. onderzoek gedaan naar de bescherming van persoonsgegevens. Want hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden, aan wie de gemeente diensten uitbesteedt, dat? En wat kunnen andere gemeenten leren van Amersfoort?

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren bijvoorbeeld of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging en privacy. Zo kan de rekenkamercommissie besluiten om onderzoek te doen naar de gemeentelijke informatievoorziening en of deze wel voldoende veilig en betrouwbaar is, en informatie van burgers in veilige handen is. Zie bijvoorbeeld het onlangs door IB&P uitgevoerde rekenkameronderzoek naar informatiebeveiliging bij de gemeenten Wassenaar, Voorschoten, Oegstgeest en Leidschendam-Voorburg. Welke zaken de rekenkamercommissie onderzoekt en welke aanpak ze hierbij hanteert kun je lezen in onze eerdere blog ‘Informatiebeveiliging bezien vanuit de rekenkamercommisie’. In dit geval heeft de rekenkamer Amersfoort onderzoek gedaan naar de bescherming van persoonsgegevens. Dit heeft zij gedaan aan de hand van de volgende drie onderzoeksvragen:

  1. Hoe wordt de privacy van de Amersfoortse inwoners beschermd?
  2. Hoe wordt de privacy van inwoners beschermd door derden aan wie de gemeente de uitvoering van beleid heeft uitbesteed, of met wie anderszins persoonsgegevens worden gedeeld?
  3. Wordt er adequaat gebruik gemaakt van de AVG?

Wat blijkt?

De gemeente Amersfoort doet het goed. Het privacybeleid van de gemeente voldoet in hoofdlijnen aan de Algemene Verordening Gegevensbescherming (AVG) en is de afgelopen jaren sterk verbeterd. Zo is het beleid bekend onder medewerkers en wordt hier in de praktijk ook naar gehandeld. De verschillende eisen en principes van de AVG zijn goed uitgewerkt in beleid en werkprocessen die door medewerkers worden nageleefd. Dit is onderzocht door middel van diverse interviews en workshops onder verschillende medewerkers van de gemeente, met als doel inzicht te verkrijgen in de cultuur van de organisatie en hoe er in de dagelijkse praktijk met privacydilemma’s wordt omgegaan. Ook worden de afspraken die worden gemaakt met samenwerkingspartners goed nageleefd. Tot slot, wordt de raad op de hoogte gehouden en actief betrokken bij de uitgangspunten uit het beleid. Bij ernstige datalekken worden zij geïnformeerd.

Welke lessen kunnen andere gemeente hieruit trekken?

Niet alleen bij de gemeente Amersfoort, maar binnen de gehele overheid, is goede bescherming van persoonsgegevens nodig. De snelle digitalisering van onze dienstverlening zorgt voor nieuwe uitdagingen op het gebied van informatiebeveiliging en privacy. De afgelopen jaren hebben gemeenten dan ook hard gewerkt om de AVG te implementeren. Uiteraard is er geen garantie dat je als gemeente geen slachtoffer wordt van incidenten op privacyvlak, zoals datalekken. Gemeente Amersfoort weet dat als geen ander… want de afgelopen jaren ging het op dat vlak een paar keer goed mis. Het grootste datalek vond plaats in 2016, toen een e-mail met persoons- en zorggegevens van 1900 Amersfoorters verkeerd geadresseerd werd. En ook in 2018 was het goed raak: een ambtenaar verzond honderd bijstandsgerechtigden met op de achterzijde (bank)gegevens van anderen geprint. Kortom, zo veel als mogelijk voorkomen blijft altijd beter dan genezen. Daarom onderstaand een aantal punten die we kunnen leren van gemeente Amersfoort:

Binnen gemeente Amersfoort is veel aandacht geweest voor de invloed van de cultuur in de organisatie voor de omgang met persoonsgegevens. De gemeente werkt volgens de rekenkamer actief aan een prettig werkklimaat waar medewerkers mogelijke fouten durven toe te geven. Immers, bij een informatieveilige omgeving hoort ook een veilige meldcultuur. Zo is het belangrijk dat collega’s niet bang zijn om incidenten, zoals datalekken, te melden. Tevens wil je bevorderen dat iedereen risico’s signaleert en deze ook meldt en elkaar aanspreekt op onveilig gedrag.

  • Zorg voor ambassadeurs

Amersfoort heeft sleutelpersonen aangesteld als het gaat om privacy. Dit zijn medewerkers die een eerste aanspreekpunt zijn voor collega’s. Zij begrijpen de belangrijkste aspecten van privacy en dragen dit ook uit. Zo is het voor collega’s makkelijk om binnen elke afdeling iemand te vinden waarbij ze terecht kunnen met vragen over privacy. Ook kunnen zij medewerkers wijzen op beleid en richtlijnen. Wil je hier meer over weten, lees dan ook eens ons boek ‘Gemeenten. Bewustzijn. Privacy.’, waarin we hier uitgebreid over schrijven.

  • Zorg voor experts

Dit zijn professionals binnen de organisatie die lastige, technische of juridische vragen kunnen beantwoorden, zoals de Functionaris Gegevensbescherming, CISO en Privacy Officer. Binnen gemeente Amersfoort kunnen collega’s bij onduidelijkheden over hoe met iets moet worden omgegaan, ook advies vragen bij de afdeling Juridische Dienstverlening en Advies (JDA) en IT Dienstverlening en Advies (ITDA).

  • Zorg voor bewustwording en informeer nieuwe medewerkers over het privacy- en informatiebeveiligingsbeleid

Bijvoorbeeld door het doorlopen van een (verplichte) leermodule over privacy bij indiensttreding. Bespreek het goed omgaan met persoonsgegevens ook in functionerings- en/of beoordelingsgesprekken wanneer dit relevant is en haak aan op landelijke initiatieven. Zo geeft gemeente Amersfoort extra aandacht aan privacy op de ‘Europese dag van de privacy’ en wordt de jaarlijkse ‘Week van de Veiligheid’ in oktober gebruikt voor informatieveiligheid.

  • Betrek en houd de raad op de hoogte omtrent privacy

Dit kan doormiddel van raadsinformatiebrieven en presentaties. Binnen gemeente Amersfoort is de raad actief betrokken bij de uitgangspunten van het privacybeleid en wordt de raad direct geïnformeerd bij ernstige datalekken. Hierdoor zijn raadsleden bewust en actief bezig met het onderwerp privacy. Datalekken geven wat hen betreft met name aanleiding om breder na te denken over hoe de bewustwording rondom privacy blijvend kan worden versterkt.

  • Maak duidelijke afspraken met derden

Om te zorgen dat derden zich aan dezelfde eisen op het gebied van privacy en informatiebeveiliging houden als de eisen waar de gemeente Amersfoort zichzelf aan houdt, moet je duidelijke afspraken maken met elkaar. Door gemeente Amersfoort worden daarom met derden consistente afspraken gemaakt in de vorm van (verwerkers)overeenkomsten of convenanten. Om te monitoren of partijen zich ook aan de gemaakte afspraken houden, wordt momenteel een (nieuw) systeem ontwikkeld.

Kortom; gebruik dergelijke rekenkamerrapporten als leerschool voor je eigen gemeente. Zo kunnen we gezamenlijk de bescherming van persoonsgegevens binnen de gehele overheid verbeteren.

Meer informatie?

Benieuwd naar het gehele onderzoeksrapport en/of samenvatting? Deze documenten zijn te vinden op www.amersfoort.nl/rekenkamer (uitklappen onder ‘Bescherming persoonsgegevens’ voor alle stukken).

En heb je hulp nodig binnen jouw gemeente om verder te komen op dit vlak? Laat ons dit dan vooral even weten en neem contact met ons op.

IB&P
Laatste berichten van IB&P (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…
Verder lezen

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…
Verder lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …
Verder lezen

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…
Verder lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …
Verder lezen

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…
Verder lezen