Skip to main content

Applicatiebeheer en de AVG: wat moet je weten?

| Erna Havinga | ,

De AVG is niet alleen een verantwoordelijkheid van de Privacy Officer of de Functionaris Gegevensbescherming (FG). Het vraagt om samenwerking tussen verschillende specialisten, waaronder applicatiebeheerders. Zij beheren namelijk alle applicaties waarin persoonsgegevens worden verwerkt binnen de gemeente. Maar hoe zorg je dat deze applicaties voldoen aan de vereisten van de AVG? Je leest het in deze blog.

Download hier een pdf van deze blog

Wat doet een applicatiebeheerder?

 Als applicatiebeheerder ben je verantwoordelijk voor het beheer en onderhoud van applicaties. Dit kan functioneel of technisch zijn. Functioneel beheer richt zich op de ondersteuning van gebruikers, terwijl technisch beheer meer gaat over de technische kant. Beide rollen krijgen in de uitvoering te maken met de AVG.

In veel gemeenten zie ik dat functioneel beheer niet altijd formeel wordt ingevuld. Vaak krijgen ‘super users’ deze taak erbij, terwijl functioneel beheer eigenlijk een vak apart is. Het vraagt om specifieke kennis en vaardigheden om processen goed in te richten en ervoor te zorgen dat het beleid wordt nageleefd. Daarnaast hebben functioneel beheerders steeds vaker een verbindende rol (regierol) tussen leveranciers en afdelingen, vooral bij SaaS-oplossingen. Als deze rol niet duidelijk is belegd, ontstaan er risico’s en onduidelijkheid. Daarom is het belangrijk om dit goed te organiseren. Het formaliseren van deze rol, met een duidelijk beeld van de taken en verantwoordelijkheden, draagt bij aan een betere borging van informatiebeveiliging en privacy binnen de organisatie.

De AVG in het kort

De Algemene Verordening Gegevensbescherming (AVG) is een Europese wet die regels stelt voor het verwerken van persoonsgegevens door organisaties, waaronder gemeenten. De AVG bevat regels over het verzamelen, gebruiken, opslaan, delen en beveiligen van persoonsgegevens. Gemeenten moeten daarom heldere afspraken en maatregelen treffen rondom de verwerking van persoonsgegevens. Daarnaast geeft de AVG mensen specifieke rechten over hun gegevens, zoals het recht op inzage of om ‘vergeten’ te worden. Belangrijke onderdelen van de AVG zijn: 

De AVG kent zeven basisprincipes waaraan elke verwerking van persoonsgegevens moet voldoen. Wil je hier meer over weten? Lees dan onze blog ‘Wat zijn mijn plichten als verwerkingsverantwoordelijke?’. Daarnaast moet elke gegevensverwerking gebaseerd zijn op een van de zes grondslagen van de AVG. Zonder een geldige grondslag mag je geen persoonsgegevens verwerken. Wat deze zes grondslagen precies inhouden, leggen we uit in onze blog ‘Is jouw gegevensverwerking rechtmatig?’.

Wat betekent de AVG voor applicatiebeheer?

Als applicatiebeheerder speel je een belangrijke rol in de naleving van de AVG. Om een goed beeld te krijgen van de onderdelen van de AVG die van toepassing zijn voor jou, heb ik een overzicht gemaakt van enkele belangrijke punten die per onderdeel aan bod komen:

Het verwerkingsregister
De AVG verplicht gemeenten om een verwerkingsregister bij te houden waarin alle verwerkingen van persoonsgegevens worden vastgelegd. Hoewel de proceseigenaar of lijnmanager hier meestal verantwoordelijk voor is, speel jij als applicatiebeheerder ook een belangrijke rol. Jij weet namelijk welke gegevens in de applicaties worden verwerkt. Vraag daarom de Privacy Officer of Functionaris Gegevensbescherming (FG) waar je dit register kunt vinden en controleer of jouw applicaties goed zijn opgenomen in het register. Werk samen met de proceseigenaar of lijnmanager om eventuele ontbrekende gegevens aan te vullen.

Privacy by Design en Privacy by Default
Bij de ontwikkeling of inrichting van een nieuwe applicatie moet je rekening houden met de principes van ‘Privacy by Design’ en ‘Privacy by Default’. Als applicatiebeheerder ben je niet altijd degene die bepaalt welke privacyinstellingen worden gekozen, maar je hebt wel een belangrijke rol in het signaleren van mogelijke privacyrisico’s, bijvoorbeeld bij instellingen. Bespreek eventuele zorgen met de verantwoordelijke afdeling of proceseigenaar. Je hoeft misschien niet zelf de keuzes te maken, maar jouw input is belangrijk om privacy te borgen.

Beveiligingsmaatregelen
Een belangrijk onderdeel van de AVG is goede beveiliging van persoonsgegevens. Als applicatiebeheerder heb je invloed op de volgende beveiligingsmaatregelen:

Toegangsbeheer: Zorg dat alleen bevoegde medewerkers toegang hebben. Dit betekent dat je als applicatiebeheerder verantwoordelijk bent voor het uitvoeren van het autorisatiebeleid zoals dit is vastgesteld, waarbij rechten worden toegekend op basis van functie of rol. Ook is het belangrijk om rechten te controleren en aan te passen bij functiewijzigingen.

Encryptie: Controleer of gegevens goed versleuteld worden opgeslagen en verzonden. Vaak wordt encryptie door de leverancier van de applicatie ingericht. Vraag de leverancier daarom om documentatie over de toegepaste encryptiemaatregelen. Voer ook technische checks uit, zoals het controleren van certificaten of de aanwezigheid van versleutelde verbindingen.

Daarnaast zijn er andere beveiligingsmaatregelen van belang voor een functioneel beheerder, zoals:

  • Patchbeheer: Zorg dat de applicaties altijd up-to-date zijn met de laatste beveiligingspatches. Vaak ondersteunt de leverancier hierbij door updates beschikbaar te stellen en door te adviseren over de juiste manier om deze patches te implementeren.
  • Logging en monitoring: Hoewel je als functioneel beheerder waarschijnlijk niet zelf verantwoordelijk bent voor de monitoring, is het wel belangrijk dat logging op de activiteiten binnen de applicatie goed is ingericht. Controleer daarom of activiteiten in de applicatie goed worden gelogd. Dit is belangrijk voor het onderzoeken van incidenten. Zorg er ook voor dat de logging voldoende detail biedt om later te kunnen achterhalen wie welke acties heeft uitgevoerd binnen de applicatie.
  • Beveiliging van koppelingen: Als applicaties met andere systemen communiceren, is het belangrijk dat deze koppelingen goed beveiligd zijn. Hoewel je al functioneel beheerder hier niet direct verantwoordelijk voor bent, is het wel van belang om te weten dat deze beveiliging geregeld is, bijvoorbeeld door gebruik te maken van API-beveiliging of versleutelde communicatie. Vaak ondersteunt de leverancier bij het inrichten van deze beveiligingsmaatregelen.
  • Back-up en herstel: Controleer samen met de leverancier of er een goed beleid is voor het maken en herstellen van back-ups. Dit is belangrijk voor het waarborgen van de continuïteit en veiligheid van de gegevens.
  • Beveiligingsinstellingen van applicaties: Zorg ervoor dat de configuratie van applicaties voldoet aan de beveiligingseisen, zoals het uitschakelen van standaardaccounts en het instellen van sterke wachtwoordvereisten (volgens het informatiebeveiligingsbeleid van je organisatie).

Datalekken voorkomen en melden
Als applicatiebeheerder kun je te maken krijgen met een datalek, zoals onbevoegde toegang of verlies van data. Dit kan grote gevolgen hebben, dus is het belangrijk dat je weet wat te doen. Zorg dat jedatalekken herkent en meld datalekken direct bij het meldpunt in jouw organisatie, zoals de Privacy Officer en de CISO bij een beveiligingsincident waar een datalek is ontstaan. Bij ernstige datalekken moet de Autoriteit Persoonsgegevens (AP) binnen 72 uur worden geïnformeerd. Zorg tot slot dat minder ernstige datalekken intern vastgelegd worden.

Training en bewustwording
Je hebt als applicatiebeheerder ook een voorbeeldfunctie. Geef uitleg aan je collega’s over het veilig gebruik van applicaties en het zorgvuldig omgaan met persoonsgegevens. Organiseer bijvoorbeeld samen met de Privacy Officer en Information Security Officer trainingen en bewustwordingssessies. Door jouw kennis te delen, help je mee aan een veilige werkomgeving en voorkom je incidenten.

Met bovenstaande aanpak kun je als applicatiebeheerder een actieve bijdrage leveren aan de naleving van de AVG binnen jouw gemeente.

Meer leren over de AVG?

Ik hoop je met deze blog meer inzicht te hebben gegeven in de onderdelen van de AVG die van toepassing zijn voor jou als applicatiebeheerder. Wil je meer weten over wat de AVG betekent voor applicatiebeheer? IB&P biedt een in-house cursus van twee dagen aan waarin de BIO en AVG worden behandeld. Wil je hier meer over weten of een cursus aanvragen? Klik dan hier.

Meer informatie of hulp nodig?

Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? IB&P helpt je graag. Kijk op deze pagina om te zien wat IB&P voor jou kan betekenen of neem direct contact met ons om te zien wat IB&P voor jou kan betekenen. Wij helpen je graag verder bij het waarborgen van privacy binnen jouw applicaties.

Erna Havinga
Laatste berichten van Erna Havinga (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?
Verder lezen

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.
Verder lezen

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…
Verder lezen

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?
Verder lezen

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…
Verder lezen

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…
Verder lezen