Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Vooral gemeenten moeten hier goed op voorbereid zijn, aangezien zij veel persoonsgegevens beheren en moeten voldoen aan de privacyregels. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na te leven, of speel je ook een rol bij het draaiende houden van de dienstverlening in moeilijke tijden? Je leest het in deze blog.

Download hier een pdf van deze blog

Wat is Business Continuïty Management?

Business Continuïty Management (BCM) gaat over het waarborgen van de bedrijfscontinuïteit. Ofwel dat de boel blijft draaien als er onverwachte dingen gebeuren. Denk aan brand, wateroverlast, een (stroom)storing of een beveiligingsincident wat opgeschaald wordt naar een calamiteit*. Al deze dingen kunnen de gemeentelijke dienstverlening flink verstoren, en dat kan weer vervelende gevolgen hebben voor de burger, bedrijfsvoering en de reputatie van de gemeente. In mijn vorige blog heb ik uitgebreid toegelicht wat de rol van de proceseigenaar is bij BCM.

Tijdens een calamiteit kunnen zich ook problemen voordoen op het gebied van privacy, zoals datalekken. Dit kan leiden tot reputatieschade en zelfs financiële verliezen. Dat wil je natuurlijk voorkomen. Daarom is het belangrijk om ervoor te zorgen dat gegevens van zowel medewerkers als burgers te allen tijde beschermd zijn tijdens een calamiteit. En hier komt de rol van de Privacy Officer om de hoek kijken.

*Incident versus calamiteit
Een incident lijkt op een calamiteit. Het verschil tussen een calamiteit en een incident heeft te maken met de ernst en de impact van de gebeurtenis. Een incident kan variëren van klein tot ernstig en heeft niet noodzakelijk grote gevolgen, terwijl een calamiteit over het algemeen verwijst naar een ernstige gebeurtenis met aanzienlijke schade voor de organisatie. Je zou kunnen zeggen dat een incident minder groot is dan een calamiteit. Een incident wordt vaak afgehandeld door de normale incidentprocedure van een organisatie terwijl een calamiteit een meer gecoördineerde en uitgebreide reactie vereist.

Wat zegt de AVG hierover?

De Algemene Verordening Gegevensbescherming (AVG) zorgt ervoor dat bedrijven en organisaties persoonsgegevens zorgvuldig en veilig verwerken. Naast eisen voor de bescherming van persoonsgegevens, zijn er ook eisen met betrekking tot de beschikbaarheid van gegevens. Enkele artikelen uit de AVG die dit benoemen zijn:

• Artikel 5 ‘Beginselen inzake verwerking van persoonsgegevens’: Persoonsgegevens moeten op een veilige manier worden verwerkt. Dit betekent dat ze beschermd moeten worden tegen ongeoorloofde toegang, verlies, diefstal of beschadiging. Dit kan door passende technische of organisatorische maatregelen te nemen om de integriteit en vertrouwelijkheid van gegevens te waarborgen. Dit artikel richt zich vooral op de integriteit en vertrouwelijkheid, maar geeft dus ook aan dat gegevens altijd beschikbaar moeten zijn wanneer dat nodig is.
• Artikel 32 ‘Beveiliging van de verwerking’: Verwerkingsverantwoordelijken en verwerkers moeten passende technische of organisatorische maatregelen nemen om ervoor te zorgen dat gegevens veilig zijn. Dit betekent dat ze moeten nadenken over hoe gegevens beschermd kunnen worden tegen bijvoorbeeld hackers of technische problemen. Ook moeten ze ervoor zorgen dat bij een fysiek of technische calamiteit de beschikbaarheid van en de toegang tot persoonsgegevens altijd mogelijk is.
• Artikel 25 ‘Gegevensbescherming door ontwerp en door standaardinstellingen’: Privacyprincipes moeten vanaf het ontwerpstadium worden toegepast bij processen die persoonsgegevens verwerken. Ook moet het gebruik van gegevens beperkt worden tot het noodzakelijke (dataminimalisatie) en moeten er maatregelen worden genomen om ervoor te zorgen dat gegevens altijd beschikbaar zijn.

Deze artikelen uit de AVG laten zien dat het belangrijk is om maatregelen te nemen om ervoor te zorgen dat persoonsgegevens altijd beschikbaar zijn. Denk bijvoorbeeld aan goede back-ups en veilige herstelprocedures. Het is belangrijk dat deze herstelprocedures privacyvriendelijk zijn en dat eventuele work arounds die worden gebruikt tijdens een calamiteit, de privacy blijven waarborgen.

Binnen BCM komt dit onderdeel terug bij de plannen voor ‘disaster recovery’, ofwel het herstellen van systemen en gegevens na een calamiteit.

De rol van de Privacy Officer bij BCM

BCM heeft een grote impact op de continuïteit van de hele gemeente en heeft als doel om ‘in control’ te zijn over de belangrijkste gemeentelijke processen. Hoewel de eindverantwoordelijkheid voor BCM bij het bestuur of de portefeuillehouder ligt en proceseigenaren operationeel verantwoordelijk zijn, heeft de Privacy Officer ook een belangrijke rol bij BCM. Wanneer de gemeente wordt getroffen door een cyberaanval of natuurramp, kan de dienstverlening flink worden verstoord en kan de privacy in het geding komen. Zo kan een hackaanval die de gemeentelijke systemen onbruikbaar maakt ervoor zorgen dat persoonsgegevens op straat komen te liggen of in verkeerde handen vallen, en natuurrampen kunnen de fysieke locaties waar deze gegevens worden opgeslagen of verwerkt, beschadigen. Op dat moment heeft de Privacy Officer een belangrijke rol. Jouw kennis over hoe deze gegevens beschermd kunnen blijven is dan heel waardevol. Om duidelijk te maken wat deze rol precies inhoudt, heb ik de taken van de Privacy Officer bij het BCM-proces op een rijtje gezet.

Taken van de Privacy Officer

Als Privacy Officer heb je een aantal taken als het gaat om BCM:

1. Het identificeren van privacyrisico’s: Een van de belangrijkste taken is het uitzoeken van waar de risico’s liggen voor persoonsgegevens. Dit kan je doen door Data Protection Impact Assessments (DPIA’s) uit te voeren en te bekijken hoe verschillende situaties van bedrijfscontinuïteit invloed kunnen hebben op de verwerking en bescherming van persoonsgegevens. Wanneer deze risico’s duidelijk in kaart zijn, kan je als Privacy Officer helpen bij het opstellen van regels die ervoor zorgen dat persoonsgegevens goed beschermd blijven tijdens elke fase van een calamiteit.
   
   
2. Het ontwikkelen van plannen voor crisissituaties: Ontwikkel specifieke privacyplannen die duidelijk beschrijven wat te doen als er een datalek of ander privacyincident plaatsvindt tijdens een calamiteit. Denk bijvoorbeeld aan een duidelijk protocol datalekken, wat beschrijft welke stappen genomen moeten worden bij een (potentieel) datalek. Zie ook mijn eerdere blog ‘Wat zijn de verplichtingen rondom het melden van een datalek?’. Let op: tijdens een calamiteit kan het nodig zijn dat je een aanvullende of aangepaste versie van het datalekken protocol moet gebruiken dan tijdens een incident. Dit heeft te maken met de besluiten die worden genomen door het calamiteitenteam dat in een noodsituatie wordt ingericht.
   
   
3. Zorgen voor duidelijke communicatie: Vanuit BCM zal er ook een communicatieplan worden opgesteld gericht op medewerkers en burgers. Het is belangrijk dat je als Privacy Officer op de hoogte bent van de inhoud van dit plan, inclusief wie, wat, en wanneer er gecommuniceerd moet worden naar betrokkenen en toezichthouders, zoals de Autoriteit Persoonsgegevens. Dit gebeurt vaak samen met de afdeling Communicatie. Deze plannen zorgen ervoor dat de gemeente snel kan handelen en reageren naar de buitenwereld of intern naar de medewerkers met als doel iedereen zoveel mogelijk te informeren over de calamiteit op een juiste en eenduidige manier.
   
   
4. Samenwerking met IT- en cybersecurity collega’s: Tijdens een calamiteit zul je in overleg treden met IT-specialisten, leveranciers en Security Officers om de calamiteit zo goed mogelijk te beheersen. De acties die door de verschillende afdelingen worden genomen, moeten ook met het oog op privacy zorgvuldig worden uitgevoerd en gedocumenteerd.
   
   
5. Trainen van medewerkers: Organiseer (of regel) als Privacy Officer trainingen en bewustwordingsprogramma’s voor medewerkers waarin ze leren hoe ze datalekken kunnen herkennen, erop kunnen reageren, en hoe ze met persoonsgegevens moeten omgaan tijdens een incident of calamiteit.
   
   
6. Onderhouden van een verwerkingsregister: Zorg voor een actueel verwerkingsregister waarin wordt bijgehouden hoe persoonsgegevens binnen de organisatie worden opgeslagen, verwerkt, en gedeeld. Dit is belangrijk voor een snelle reactie tijdens een calamiteit, omdat het verwerkingsregister inzicht geeft in welke processen persoonsgegevens verwerken en waar een calamiteit mogelijk invloed op kan hebben. Lees ook eens mijn eerdere blog ‘Het bijhouden van een verwerkingsregister, hoe doe je dat?’.
   
   
7. Deelnemen aan simulatieoefeningen: Oefenen is erg belangrijk. Dit helpt om te zien hoe effectief de maatregelen voor privacybescherming zijn tijdens een calamiteit en waar eventueel zaken moeten worden aangepast of verbeterd.
   
   
8. Adviseren bij responseplannen: Werk als Privacy Officer samen met het BCM-team, bestaande uit verschillende collega’s binnen de organisatie, aan plannen voor gegevensherstel. Het is belangrijk dat bij het maken van deze plannen altijd wordt gedacht aan de bescherming van persoonsgegevens. Dit betekent dat bij elke stap, van het voorbereiden op mogelijke problemen tot het oplossen en weer normaal gaan werken, er gekeken wordt naar de risico’s voor de privacy van gegevens. Als er bijvoorbeeld een cyberaanval plaatsvindt, kan je als Privacy Officer aanbevelingen doen over hoe hierop gereageerd moet worden, maar ook over hoe betrokkenen of de AP ingelicht moeten worden als er persoonsgegevens zijn gelekt.
   
   
9. Monitoren en beoordelen van de BCM-plannen: Zorg dat je betrokken blijft bij het beoordelen en updaten van de BCM-plannen, zodat deze niet alleen blijven voldoen aan wat nodig is voor de bedrijfscontinuïteit maar ook voor het beschermen van persoonsgegevens. Let op: als Privacy Officer ben je niet verantwoordelijk voor de BCM-plannen zelf, dit zijn in principe de proceseigenaren (zie ook mijn vorige blog). Om tot een goede gezamenlijke risico inschatting te komen is het wel belangrijk dat je als Privacy Officer betrokken bent en contact hebt met de proceseigenaren.

Nog een tip: Zorg dat je vanaf de beginfase bij het BCM-proces betrokken bent, zodat privacy gelijk goed wordt meegenomen. Ook kan een Business Impact Analyse (BIA) je mogelijk aanvullende informatie geven gecombineerd met de uitgevoerde DPIA.

Conclusie

Als Privacy Officer speel je een belangrijke rol binnen BCM bij het waarborgen van de continuïteit van de gemeentelijke dienstverlening. Hoewel je als Privacy Officer in eerste instantie de organisatie ondersteunt in het naleven van de privacywetgeving en het beschermen van persoonsgegevens, gaat deze rol verder dan dat tijdens een calamiteit. Door samen te werken met BCM-teams, te helpen bij het identificeren van privacyrisico’s en het ontwikkelen van protocollen voor de bescherming van gevoelige gegevens, draag je bij aan het beschermen van deze informatie tijdens de herstelwerkzaamheden. Samenwerking is hierbij essentieel. Door samen te werken krijgt de organisatie een vollediger beeld van de risico’s en is ze beter voorbereidt op mogelijke calamiteiten.

Meer informatie of hulp nodig?

Heb je na het lezen van de blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons op.