Categorie: privacy (blog)

Informatiebeveiliging en privacybescherming brengen veranderingen met zich mee voor gemeenten. En om verandering door te voeren, is draagvlak nodig. Als CISO, Privacy Officer of Functionaris Gegevensbescherming (FG) is het (mede) jouw taak om draagvlak te creëren voor deze veranderingen. Maar verandering gaat ook vaak hand in hand met weerstand. Dus hoe ga je hier effectief mee om? In deze blog geven we je tien praktische handvatten die je helpen bij het creëren van draagvlak.

Wanneer je als organisatie persoonsgegevens verwerkt, eist de AVG dat je eerst moet nagaan of de verwerking rechtmatig is. Is dit niet het geval? Dan mogen er geen persoonsgegevens worden verwerkt. Maar de vraag of een gegevensverwerking rechtmatig is, is niet altijd in één zin te beantwoorden. Dat hangt namelijk af van een aantal factoren. Welke factoren dit zijn, licht ik in deze blog toe aan de hand van een aantal vragen.

Eind mei is het eindrapport van de Rekenkamer Amersfoort verschenen. De rekenkamer heeft o.a. onderzoek gedaan naar de bescherming van persoonsgegevens. Want hoe beschermt de gemeente de gegevens van haar inwoners? Hoe doen derden, aan wie de gemeente diensten uitbesteedt, dat? En wat kunnen andere gemeenten leren van Amersfoort?

Deze week bestond de AVG-privacywet drie jaar. De AVG stelt strengere eisen aan het verzamelen van persoonsgegevens. De afgelopen jaren hebben gemeenten hard gewerkt om deze privacywet te implementeren. De grootste frustratie van CISO’s, Privacy Officers en FG’s hierbij is om de aandacht van bestuurders voor dit onderwerp te krijgen én houden. Want hoe krijg je privacy in de dagelijkse routine en hoger op de prioriteitenlijst van bestuurders?

Sinds de komst van de AVG moeten gemeenten alle processen waarin persoonsgegevens worden verwerkt vastleggen én bijhouden in een zogenoemd verwerkingsregister. In 2018 schreef ik al een blog over hoe je een verwerkingsregister opstelt. Maar hoe zorg je er nu voor dat het bijhouden van het verwerkingsregister ook op een juiste en consistente wijze gebeurt?

Eerder deelden wij op de IB&P website een agenda met daarin relevante bijeenkomsten op het gebied van informatiebeveiliging en privacy m.b.v. Google Agenda. Eerder verstuurden we onze nieuwsbrief met behulp van het Amerikaanse Mailchimp. De wekelijkse nieuwsoverzichten gingen de spreekwoordelijke deur uit via Revue (onlangs gekocht door Twitter). We kunnen praktisch niet om de techgiganten heen, maar als IB&P worden we terecht hierop aangesproken Maar hoe verhoud je je persoonlijk tot dit soort vraagstukken, als CISO, Privacy Officer of FG?

Thuiswerken is momenteel de norm. Om dit mogelijk te maken is digitaal samenwerken in de cloud versneld geïmplementeerd bij veel gemeenten. Diverse clouddiensten, zoals MS Teams, zien het gebruik flink toenemen. Werken in de cloud biedt viel mogelijkheden, maar organisaties moeten waken voor beveiligings- en privacyrisico’s doordat ze noodgedwongen en met beperkte voorbereiding deze diensten in gebruik hebben genomen. De Rijksoverheid heeft DPIA’s laten uitvoeren op verschillende Microsoft (cloud)diensten.

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de creativiteit, maar niet helemaal waar het recht op overdraagbaarheid voor bedoeld is. In deze blog leg ik uit voor welke rechten betrokkenen een verzoek kunnen indienen, wanneer ze van toepassing zijn en hoe je daar praktisch invulling aan kunt geven.

De positie van de Functionaris Gegevensbescherming (FG) brengt met zich mee dat hij of zij ‘tijdig en behoorlijk’ betrokken moet worden bij verwerkingen van persoonsgegevens. Formeel is dat meestal ook wel vastgelegd, maar in de praktijk word je als FG nog weleens vanuit de flanken verrast. Herkenbaar? Lees dan snel verder!

De maatregelen om verspreiding van het coronavirus te voorkomen kunnen de meesten inmiddels wel dromen. De lokale overheid werkt vanwege deze maatregelen massaal vanuit huis, maar dat is niet voor alle functies weggelegd. De maatregelen worden op termijn ook weer afgebouwd. Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Hoe te handelen bij een datalek mag inmiddels duidelijk zijn (zo niet, lees dan dit stappenplan). Toch belandde ik laatst in een discussie over de vraag: wánneer start de 72-uur termijn voor het melden van een datalek bij een toezichthoudende autoriteit, als dit datalek is ontstaan bij een verwerker?