Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de Autoriteit Persoonsgegevens (AP) wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het datalek melden aan de betrokkenen? Je leest het in deze blog.
Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels de Eenduidige Normatiek Single Information Audit, ofwel ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Deze zorgt ervoor dat de betrokken medewerkers binnen de gemeentelijke organisatie toegang hebben tot de ENSIA-tool en dat iedereen weet wat er van ze verwacht wordt. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.
De aandacht voor informatiebeveiliging en privacy neemt met de dag toe. De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden daarbij horen.
De Algemene Verordening Gegevensbescherming (AVG) bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de basis op orde? Je leest het in deze blog.
Bedrijven en overheden maken steeds vaker gebruik van technologie om diensten en werkprocessen te verbeteren. Ook gemeenten maken steeds meer gebruik van Artificial Intelligence (AI), omdat dit ontzettend veel kansen biedt. Neem bijvoorbeeld de scanauto die met kentekenherkenning kan zien of er betaald is voor het parkeren. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Want hoe neemt een machine beslissingen? Is het allemaal wel betrouwbaar? En hoe zit het met de privacy? Je leest er meer over in deze blog.
Voor gegevensverwerkingen met een hoog privacyrisico geldt dat je een Data Protection Impact Assessment (DPIA) moet uitvoeren. Vorige maand schreef ik al een blog over hoe je een DPIA uitvoert. Maar wat doe je met de uitkomsten en hoe zorg je ervoor dat een DPIA geen eenmalige actie is maar over een bepaalde tijd herhaald wordt?
Het uitvallen van belangrijke ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Het ambtelijk bestuur (hierna directie) is eindverantwoordelijk voor reputatieschade en de maatschappelijke impact als gevolg hiervan. Het is dus belangrijk dat zij een goed beeld hebben van de risico’s die informatiebeveiliging met zich mee brengt. Maar hoe krijg je als lijnmanager of CISO informatiebeveiliging op de bestuurstafel?
Vanuit de AVG en BIO moet je als gemeente diverse (verplichte) maatregelen uitvoeren. Zo geldt voor gegevensverwerkingen met een hoog privacyrisico dat je eerst een Data Protection Impact Assessment (DPIA) moet doen. Het uitvoeren van een DPIA is niet altijd eenvoudig. In deze blog lees je daarom wat een DPIA precies is, wanneer je een DPIA uitvoert en welke stappen daarbij worden doorlopen.
Het uitvallen van belangrijke ICT-voorzieningen door externe bedreigingen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de Baseline Informatiebeveiliging Overheid (BIO) is het inrichten van bedrijfscontinuïteit daarom verplicht (hoofdstuk 17). Maar wat is bedrijfscontinuïteit precies en hoe zorg je dat het calamiteitenteam op de hoogte is van hun taken en verantwoordelijkheden? Je leest het in deze blog.
Eind januari was het weer de Europese Dag van de Privacy. Een jaarlijks terugkerende dag om stil te staan bij privacy. Want, in onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want, je hebt misschien niets te verbergen, maar wel altijd iets te beschermen…
Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is hiervoor een uitstekend middel. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op informatiebeveiligingsvlak. In deze blog lees je waarom dit belangrijk is en welke onderwerpen je hierin kan opnemen.
Het begin van een nieuw jaar betekent ook dat het weer tijd is voor het jaarverslag. Zo is het aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. Want, bestuurders willen weten waar de organisatie staat en hoe de privacywetgeving wordt nageleefd binnen de gemeente. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke onderdelen je allemaal moet rapporteren, lees je in deze blog.