Informatieveiligheid en privacy
Gemeenten hebben afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. De landelijk afgesproken beveiligingseisen zijn zwaarder dan het huidige niveau. In oktober 2018 is het informatiebeveiligingsbeleid geactualiseerd. In het tweede kwartaal van 2019 wordt deze aangeboden aan de gemeenteraad.
We evalueren onze informatieveiligheid via de Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA heeft tot doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren. De ENSIA-verantwoording is conform verplichting en planning gereed. In 2018 is voor het eerst een volledige pre-audit uitgevoerd op de beantwoording van alle zelfevaluatievragenlijsten van ENSIA. Daarmee komt een extern getoetst beeld naar voren van de huidige status van informatiebeveiliging binnen de gemeente Groningen. De in dit onderzoek getoetste resultaten van ENSIA vormen de basis voor de BIG-gapanalyse begin 2019, dat zelf weer input vormt voor het informatiebeveiligings(meerjarig)plan dat later in 2019 wordt opgesteld.
Implementatie Algemene Verordening Gegevensbescherming
Met het in werking treden van de AVG per 25 mei 2018 hebben we diverse maatregelen genomen en activiteiten uitgevoerd. De maatregelen bestaan uit het aanstellen van de Functionaris Gegevensbescherming, het vaststellen van het privacy beleid en de ontwikkeling van formats voor verwerkers-overeenkomsten, de methodiek voor het uitvoeren van de gegevenseffectbeoordelingen (de zogenaamde PIA's; privacy impact assessments). Daarnaast is gestart met het opstellen van de registers voor de verwerkingen van de persoonsgegevens en de datalekken. Veel aandacht is er voor het vergroten van het bewustzijn van medewerkers door het organiseren van bijeenkomsten. Hier vragen we ook actief datalekken te melden. Dit zien we terug in het aantal geregistreerde meldingen. Voor betrokkenen die hun rechten willen uitoefenen is een werkwijze afgesproken in analogie met de zogenaamde WOB-procedure. Ook kunnen medewerkers bij een centraal punt (privacy@groningen.nl ) terecht voor het oplossen van specifieke problematiek of voor het stellen van algemene vragen.
Prestatie indicatoren privacy
We verantwoorden in dit onderdeel de indicatoren. Als er geen gegevens beschikbaar zijn staat er een streepje.
prestatie indicator(en) | Behaald 2016 | Behaald 2017 | Beoogd 2018 | Behaald 2018 |
---|---|---|---|---|
Aantal jaarlijks geregistreerde meldingen over (mogelijke) datalekken | 6 | 13 | ≤6 | 40 |
Percentage melden (mogelijke) datalekken binnen 72 uur | - | - | - | 100% |