Informatiebeveiliging is essentieel voor de dienstverlening van de gemeente. Om de effectiviteit hiervan te borgen en tijdig in te kunnen spelen op potentiële nieuwe dreigingen en risico’s, is het daarom belangrijk om regelmatig te monitoren en te meten hoe het ervoor staat. Dit kan aan de hand van Key Performance Indicators (KPI’s). Maar wat zijn KPI’s en hoe stel je deze op? Je leest het in deze blog.
In de digitale wereld waarin we leven, verzamelen we een enorme hoeveelheid gegevens. Organisaties verzamelen, verwerken en analyseren gegevens om te leren en hun diensten te verbeteren. Maar in deze tijd van dataverzameling is er gelukkig ook een AVG-principe dat steeds meer aandacht krijgt: dataminimalisatie. In deze blog leg ik uit wat dataminimalisatie is en waarom het waardevol is voor zowel organisaties als individuen.
Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van Software as a Service (afgekort als SaaS). Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. Met name bij SaaS-leveranciers die standaardoplossingen bieden blijkt dit in de praktijk een uitdaging. Want hoe zorg je ervoor dat ook die oplossingen aan de eisen van de gemeente voldoen? Je leest het in deze blog.
Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de Autoriteit Persoonsgegevens (AP) wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het datalek melden aan de betrokkenen? Je leest het in deze blog.
Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels de Eenduidige Normatiek Single Information Audit, ofwel ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Deze zorgt ervoor dat de betrokken medewerkers binnen de gemeentelijke organisatie toegang hebben tot de ENSIA-tool en dat iedereen weet wat er van ze verwacht wordt. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.
De aandacht voor informatiebeveiliging en privacy neemt met de dag toe. De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden daarbij horen.
De Algemene Verordening Gegevensbescherming (AVG) bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de basis op orde? Je leest het in deze blog.
Bedrijven en overheden maken steeds vaker gebruik van technologie om diensten en werkprocessen te verbeteren. Ook gemeenten maken steeds meer gebruik van Artificial Intelligence (AI), omdat dit ontzettend veel kansen biedt. Neem bijvoorbeeld de scanauto die met kentekenherkenning kan zien of er betaald is voor het parkeren. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Want hoe neemt een machine beslissingen? Is het allemaal wel betrouwbaar? En hoe zit het met de privacy? Je leest er meer over in deze blog.
Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een Data Protection Impact Assessment (DPIA) moet uitvoeren. Vorige maand schreef ik al een blog over hoe je een DPIA uitvoert. Maar wat doe je met de uitkomsten en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?
Het uitvallen van belangrijke ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Het ambtelijk bestuur (hierna directie) is eindverantwoordelijk voor reputatieschade en de maatschappelijke impact als gevolg hiervan. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveiliging op de bestuurstafel?
Vanuit de AVG en BIO moet je als gemeente diverse (verplichte) maatregelen uitvoeren. Zo geldt voor gegevensverwerkingen met een hoog privacyrisico dat je eerst een Data Protection Impact Assessment (DPIA) moet doen. Het uitvoeren van een DPIA is niet altijd eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.
Het uitvallen van belangrijke ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de Baseline Informatiebeveiliging Overheid (BIO) is het inrichten van bedrijfscontinuïteit daarom verplicht (hoofdstuk 17). Maar wat is bedrijfscontinuïteit precies en hoe zorg je dat het calamiteitenteam op de hoogte is van hun taken en verantwoordelijkheden? Je leest het in deze blog.