Skip to main content

De rol van de gemeenteraad bij informatiebeveiliging en privacy


De aandacht voor informatiebeveiliging en privacy neemt met de dag toe. De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden daarbij horen.

Het college van Burgemeesters & Wethouders (B&W) is eindverantwoordelijk voor de uitvoering van het gemeentelijk beleid en moet ervoor zorgen dat de gemeente voldoet aan de wet- en regelgeving op het gebied van informatiebeveiliging en privacy. De gemeenteraad is het hoogste bestuursorgaan in de gemeente en heeft een belangrijke controlerende rol ten opzichte van het college van B&W. De gemeenteraad geeft aan wat er in de gemeente moet gebeuren en houdt toezicht op de uitvoering van het beleid en de genomen maatregelen door het college van B&W. Maar welke taken en verantwoordelijkheden horen daarbij wanneer je specifiek kijkt naar informatiebeveiliging en privacy?

Taken gemeenteraad

De gemeenteraad heeft onder andere de volgende taken en verantwoordelijkheden met betrekking tot informatiebeveiliging en privacy:

  1. Het stellen van kaders t.b.v. het informatiebeveiligings- en privacybeleid
    De gemeenteraad heeft de verantwoordelijkheid om de kaders vast te stellen voor het informatiebeveiligings- en privacybeleid, dat de richtlijnen, doelstellingen en procedures bevat om de privacy van inwoners te waarborgen. Het beleid moet richtlijnen bevatten voor het beschermen van gevoelige informatie en het waarborgen van privacy. Hierbij kunnen beveiligingsmaatregelen zoals het gebruik van sterke wachtwoorden, regelmatige software-updates, versleuteling van gegevens (encryptie) en een bewustwordingstraining voor medewerkers worden opgenomen. Om deze kaders te bepalen kan de gemeenteraad discussies voeren, deskundigen raadplegen en input verzamelen van belanghebbenden, zoals inwoners en experts op het gebied van informatiebeveiliging en privacy. Nadat de gemeenteraad op hoofdlijnen heeft vastgesteld wat er nodig is in de gemeente, gaat het college hiermee aan de slag. Hier eindigt de verantwoordelijkheid van de gemeenteraad nog niet. De raad heeft ook een toetsende/controlerende rol om te waarborgen dat de vastgestelde kaders daadwerkelijk worden opgenomen in het beleid.

  2. Het controleren van de uitvoering van het beleid
    Vervolgens moet de gemeenteraad toezicht houden op de naleving van de beleidsregels en procedures die zijn vastgesteld. Zo moeten ze regelmatig controleren of de genomen maatregelen en procedures effectief zijn en of ze worden nageleefd door de verschillende afdelingen en medewerkers. Dit kan worden gedaan aan de hand van periodieke managementrapportages en door vragen te stellen aan het college tijdens raadsvergaderingen. Ook kan de gemeenteraad gedetailleerde informatie opvragen over specifieke aspecten van het beleid en de uitvoering ervan. In de praktijk wordt ook wel eens een Rekenkameronderzoek uitgevoerd om de raad te informeren.

  3. Het toewijzen van budget
    Om de taken met betrekking tot informatiebeveiliging en privacy goed uit te voeren, is het noodzakelijk dat de organisatie voldoende capaciteit en middelen heeft. Gezien de taak van de raad kaderstellend is, bepalen zij indirect ook het budget wat hiervoor moet worden vrijgemaakt. Op basis van deze kaders maakt het college een begroting die vervolgens door de raad moet worden goedgekeurd. Met dit budget kan de organisatie de benodigde technologieën, opleidingen en audits bekostigen die nodig zijn om de beveiliging van systemen en gegevens te waarborgen. Bijvoorbeeld door de aanschaf van beveiligingssoftware, investeringen in workshops of certificeringen voor medewerkers, en het uitvoeren van penetratietests en audits om kwetsbaarheden in systemen op te sporen en te verhelpen voordat kwaadwillende hackers er misbruik van kunnen maken. Daarnaast moet er voldoende capaciteit beschikbaar zijn om de implementatie van maatregelen ter bescherming van de privacy van inwoners te kunnen realiseren.

  4. Het beoordelen van de risicoanalyses
    De gemeenteraad moet de door het college uitgevoerde risicoanalyses beoordelen. Dit kan de raad doen door de rapporten te bestuderen en vragen te stellen over de geïdentificeerde risico’s en de voorgestelde maatregelen. Ook kan de gemeenteraad experts op het gebied van risicobeheer raadplegen om een objectieve evaluatie te verkrijgen. De gemeenteraad is ook de volksvertegenwoordiger van de burgers binnen de gemeente en het is daarbij van belang dat zij weten hoeveel risico er gelopen wordt met het verwerken van de gegevens over deze burgers.

  5. Het evalueren van de maatregelen
    De gemeenteraad moet de genomen maatregelen evalueren en de effectiviteit ervan beoordelen. Bijvoorbeeld door te vragen naar incidentrapportages, beveiligingsaudits en resultaten van controles. Deze rapportages moeten met name gericht zijn op de risico’s die de gemeente loopt en de maatregelen die hierop genomen kunnen worden. Op basis van deze informatie kan de gemeenteraad namelijk bepalen of aanvullende maatregelen nodig zijn of dat bestaande maatregelen moeten worden bijgesteld. Het is belangrijk dat er niet alleen gerapporteerd wordt over de voortgang, maar dat de gemeenteraad ook kan bijsturen indien nodig. De rapportage richting de raad moet in overleg met de raad worden samengesteld. Waar wil de raad zelf op sturen? En welke sturingsinstrumenten zijn er binnen de gemeente aanwezig?

  6. Het toetsen van de naleving van de wet- en regelgeving
    De gemeenteraad moet de naleving van de wet- en regelgeving op het gebied van informatiebeveiliging en privacy toetsen. Dit kan door regelmatige rapportages te vragen over de genomen maatregelen en de voortgang van de naleving. Hierdoor krijgt de gemeenteraad inzicht in de acties die worden ondernomen en hun effectiviteit. Ook kan de gemeenteraad audits en certificeringen op het gebied van informatiebeveiliging en privacy (zoals de ISO 27002 en de NEN 7510) aanvragen. Dit kunnen interne en externe audits zijn die de naleving van beleid, regelgeving en normen beoordelen. De auditrapporten bieden inzicht in de mate van naleving, identificeren mogelijke tekortkomingen en doen aanbevelingen ter verbetering om er voor te zorgen dat de organisatie voldoet aan de vereiste wet- en regelgeving.

  7. Bevorderen van bewustwording en educatie
    Naast een technisch veilige omgeving is het belangrijk dat alle medewerkers zich bewust zijn van informatiebeveiliging en privacy. Het creëren van bewustzijn bij zowel medewerkers als inwoners is daarom essentieel. De gemeenteraad heeft de verantwoordelijkheid om hierbij een stimulerende en toetsende rol te spelen. Dit kan bijvoorbeeld door het belang van informatiebeveiliging en privacy te benadrukken tijdens bijeenkomsten, trainingen en workshops voor medewerkers en inwoners. Daarnaast kan de gemeenteraad het belang van naleving van beleid en procedures benadrukken en het uitrollen van een bewustwordingscampagne stimuleren.

Tot slot

Het waarborgen van informatiebeveiliging en privacy is vaak een ingewikkeld vraagstuk dat gezamenlijke inspanning vereist. Het is daarom belangrijk dat de gemeenteraad tijdig en adequaat wordt voorzien van de benodigde informatie om hun kaderstellende en controlerende rol te kunnen uitvoeren. Samenwerking met de Chief Information Security Officer (CISO) en Functionaris voor Gegevensbescherming (FG) speelt hierbij een belangrijke rol. Door samen te werken krijgt de raad inzicht in de risico’s op het gebied van informatiebeveiliging en privacy, evenals de voorgestelde maatregelen. Ze moeten voldoende informatie ontvangen en vragen stellen om de effectiviteit van de beveiligings- en privacymaatregelen te begrijpen en te beoordelen. Daarnaast kan de gemeenteraad ook invloed uitoefenen door samen te werken met externe partners, zoals andere overheidsinstanties, deskundigen op het gebied van informatiebeveiliging en privacy, en brancheorganisaties.

Door bovengenoemde taken uit te voeren en kennis en middelen te bundelen, kan de gemeenteraad effectief sturen op het waarborgen van informatiebeveiliging en privacy, en op die manier bijdragen aan een veilige en verantwoorde omgang met gegevens in de gemeente.

Meer informatie of hulp nodig?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan weten en neem contact met ons op.  

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.