Samenvatting
We gaan veilig en verantwoordelijk om met de (persoons)gegevens van onze inwoners, ondernemers en medewerkers. Hiervoor richten we onze processen goed in, brengen we risico’s in kaart en nemen we maatregelen.
De collega’s van Privacy en Informatiebeveiliging (P&IB) ondersteunen en adviseren de organisatie over deze onderwerpen. We zien dat de ‘bewuste’ collega’s ons steeds beter betrekken voordat ze met nieuwe, goede ideeën, van start gaan. Op deze manier zijn we in staat om vooraf de risico’s in kaart te brengen en passende maatregelen te formuleren. We zien steeds meer nadruk op audits en toezicht houden. Wat er ging er goed?
Rollen en verantwoordelijkheden: Bij steeds meer teams zijn de autorisatiematrices vastgelegd.
Samenwerken: We gebruiken M365 voor het samenwerken waardoor gegevens beter kunnen worden afgeschermd.
Publiceren: De anonimiseertool is geïmplementeerd en er is uitleg gegeven over welke informatie moet worden weggelakt.
Digitale weerbaarheid: Er zijn monitoringstools geïmplementeerd waarmee we onze omgeving beter veilig kunnen houden.
Meten en weten: Er zijn steeds meer processen beschreven. De externe audits bevestigen dit.
Bewustwording: Diverse bewustwordingsacties hebben geleid tot een betere kennis van de regels. Wat heeft nog aandacht nodig:
Rollen en verantwoordelijkheden: Verantwoordelijkheden voor P&IB mag meer gevoeld worden door de teamhoofden.
Samenwerken: Beter gebruik maken van de inrichting- en rapportage mogelijkheden van M365.
Publiceren: Wat er niet in staat, hoeft er ook niet uit!
Digitale weerbaarheid: Controleren en rapporteren.
Meten en weten: Controleren of medewerkers zich aan de processen houden.
Bewustwording: Medewerkers moeten de regels niet alleen kennen, maar zich er ook aan houden. Datalekken en rechten van betrokkenen
We zien dat medewerkers zich veilig voelen om een datalek te melden. We zien vooral datalekken met een beperkter risico, zoals interne mails aan verkeerde personen. Een datalek wordt gemeld bij de Autoriteit Persoonsgegevens als er een groot risico voor de betrokkene is (geen in 2023). De betrokkene zelf wordt bij het lekken van gevoelige persoonsgegevens altijd geïnformeerd. Ook als er geen risico is.
We hebben zowel in 2022 als in 2023 één inzageverzoek ontvangen waarbij een inwoner vroeg welke persoonsgegevens verwerkt werden.
In 2023 hadden we 20 datalekken waarvan we er 4 gemeld hebben aan de betrokkenen. ENSIA
ENSIA is een jaarlijkse verplichte audit die toeziet op de kwaliteit van de gegevens in onze systemen en basisregistraties. Alle resultaten zitten boven de vereiste normen.
BAG: norm 75% resultaat 85%
BGT: norm 75% resultaat 100%
BRO: norm 60% resultaat 100%
DigiD: resultaat 100%
Suwinet: resultaat 100% | 
