Aan de slag met privacy

Gemeente Amersfoort

Een datalek zette in april 2016 de gemeente Amersfoort op scherp. Sindsdien investeert de gemeente flink in het op orde krijgen van haar privacybeleid. Systemen worden aangepast, organisatorische maatregelen genomen en er wordt gewerkt aan het privacy- en informatieveiligheidsbewustzijn van medewerkers.

Onze gemeente zit in de kopgroep als het gaat om het volgen van de Baseline Informatiebeveiliging Gemeenten (BIG), alle vinkjes staan op groen. We wisten ook al dat we voorbereidingen moesten treffen voor de AVG, de privacyverordening die in mei 2018 van kracht wordt. Onze protocollen waren in april 2016 echter nog niet op orde, toen we te maken kregen met een ernstig datalek: een medewerker had per ongeluk een mail voor intern gebruik doorgestuurd naar een externe, met een bestand met privacygevoelige gegevens van cliënten van wijkteams. Zo zie je maar: je kunt op papier van alles hebben geregeld, maar het gaat er uiteindelijk om hoe het werkt in de praktijk. Dat medewerkers goed opletten, weten wat ze wel en niet mogen doen en snel reageren als er toch iets mis gaat.

Eenduidig inzicht in informatieveiligheid
Dit artikel is deel twee van een serie over informatieveiligheid en privacy bij gemeenten, waarin gemeentesecretarissen hun ervaringen delen (voor deel 1, klik hier). Het is geschreven in het kader van ENSIA. ENSIA (Eenduidige Normatiek Single Information Audit) is een nieuwe verantwoordingsmethodiek voor informatieveiligheid. ENSIA geeft de gemeenteraad eenduidig inzicht in informatieveiligheid. Hierdoor heeft het gemeentebestuur meer overzicht over de stand van zaken van de informatieveiligheid en kan het hier beter op sturen. Met ENSIA kan ook verantwoording worden afgelegd aan nationale toezichthouders over het gebruik van zes registratiesystemen, onder meer DigiD, PUN en Suwinet. De methodiek wordt in juli 2017 voor alle gemeenten ingevoerd.

Meer informatie over de invoering van ENSIA bij gemeenten, klik hier.

Uitdagend
Vorig jaar april waren we nog niet goed voorbereid op dit soort incidenten. Het werd te laat opgeschaald, de gemeenteraad nam het de wethouder kwalijk dat men niet snel was ingelicht. Uiteindelijk is er gelukkig niets gebeurd met de gelekte gegevens, die zijn bij de ontvanger vernietigd.
We hebben een extern onderzoek laten doen naar het incident. Daar kwamen allerlei aanbevelingen uit, die we opnamen in de aanpak die we zelf al aan het maken waren. We hebben een omvangrijk plan van aanpak gemaakt voor de implementatie van de AVG. We hebben een functionaris gegevensbescherming aangesteld en nemen alle maatregelen die nodig zijn voor de implementatie van de AVG. Zoals dataclassificatie: in kaart brengen welke persoonsgegevens we in welke systemen hebben, wie daarbij kunnen, met welke partijen we deze gegevens delen, etcetera. Met de nieuwe taken in het sociaal domein beschikken gemeenten over veel meer gevoelige gegevens dan voorheen, dat maakt de problematiek uitdagend en ook urgent.

Systemen aanpassen
We passen waar nodig onze systemen aan, om privacy beter te waarborgen. We merkten bijvoorbeeld dat we vaak het BSN gebruiken als authentiek gegeven, voor optimale dienstverlening aan onze inwoners. Een aantal van onze systemen is gebouwd rondom het BSN, maar dat betekent ook dat het BSN automatisch op een formulier komt te staan. Terwijl je dat vanuit oogpunt van privacy niet wilt. In een aantal gevallen hebben we nu onze systemen aangepast, zodat het nummer niet meer automatisch op formulieren komt.

‘Je kunt het op papier nog zo goed hebben geregeld, het gaat er om hoe het werkt in de praktijk’

Overigens zie je dat bijvoorbeeld de Belastingdienst het BSN gebruikt in het BTW-nummer en dat is openbaar. Daar kunnen wij als gemeenten niets aan veranderen, maar eigenlijk is dat wel vreemd. Wij doen als gemeente ons best om de privacy te waarborgen, maar sommige zaken kunnen beter overheidsbreed aangepakt worden.

Commissie datalekken
In onze systemen en organisatie hebben we inmiddels een been bijgetrokken als het gaat om privacy. Bewustwording is de derde pijler van onze aanpak, voor zowel privacy als informatieveiligheid. Die is lastig, want houding en gedrag zijn hardnekkig. Dat mensen zorgvuldig omgaan met hun wachtwoorden, dat ze privacygevoelige mail altijd versleuteld versturen, ook als ze haast hebben. Dat zijn dingen die je echt tussen de oren moet krijgen.
Het datalek creëerde zeker bewustwording, in die zin helpt een incident. We hebben een commissie datalekken ingevoerd, die staat onder leiding van de concerncontroller, waar elk datalek gemeld moet worden. Dat werkt heel goed bij ons. Gelukkig zijn mensen niet kopschuw geworden, maar zijn ze juist gaan kijken wat er wel en niet goed ging in hun processen. Er zijn inmiddels circa 26 datalekken gemeld door deze aanpak, daar hebben we het nieuws zelfs mee gehaald. Ik denk overigens dat we in dat aantal niet uitzonderlijk zijn, maar ze zijn bij ons zichtbaar geworden omdat we er zo bewust mee bezig zijn. De gemelde datalekken waren erg divers: van een verloren telefoon en post die was achtergehouden tot een ransomware-aanval.

Sleutelfiguren
We hebben privacy in de organisatie verankerd door op elke afdeling een ‘sleutelfiguur privacygevoelige gegevens’ te benoemen. Die is ervoor verantwoordelijk dat de afdeling een privacyplan heeft. En is ook de contactpersoon voor onze functionaris gegevensbescherming en onze privacy-officer. Dat zijn bij ons twee verschillende rollen: de functionaris gegevensbescherming controleert en adviseert, de privacy-officer is verantwoordelijk voor de uitvoering van ons plan van aanpak. Omdat we een grote gemeente zijn, kunnen we deze rollen apart beleggen. Er zijn verschillende manieren om dit te organiseren, kleinere gemeenten zullen dit anders doen.

‘Sommige zaken kunnen beter overheidsbreed aangepakt worden’

We ervaren een spanningsveld tussen privacy en dienstverlening. Dat wordt erg duidelijk in het sociaal domein. Wij zijn door schade en schande heel terughoudend geworden: onze wijkteams krijgen de nadrukkelijke instructie dat ze niet zomaar gegevens mogen delen. Ze mogen er nooit van uitgaan dat de cliënt daarmee instemt, ze moeten altijd toestemming vragen. Daardoor kunnen ze misschien niet altijd de beste dienstverlening verlenen, omdat ze bepaalde gegevens missen.
Als gemeentesecretaris ben je echt de linking pin tussen organisatie en college als het gaat om privacy en ook informatiebeveiliging. Ik kan urgentie in de organisatie brengen, ervoor zorgen dat dit project met spoed opgepakt wordt. En als er een incident is, dan ben je een soort crisismanager. Wij hebben in onze begroting van dit jaar meer budget gereserveerd voor de invoering van ons plan van aanpak voor de AVG. Zoiets als dit kost veel tijd en extra formatie, het betekent een verzwaring van je werk. Het is belangrijk dat gemeenten zich dat realiseren: je kunt dit niet draaien zonder de middelen.

Delen
Ik wil andere gemeenten aanraden om van de invoering van de AVG een urgent project te maken, dat bestaat uit onder meer het aannemen van een functionaris gegevensbescherming, het doorlichten van je systemen en het opzetten van een bewustwordingscampagne. Als je nu nog niet bezig bent, dan ben je voor de invoering in mei 2018 eigenlijk al te laat. Wij hebben een uitgebreid plan van aanpak gemaakt, dat delen we graag. Wat niet betekent dat je dan klaar bent: je moet er vol mee aan de slag! Zoals ik al stelde: je kunt je protocollen nog zo goed op orde hebben, het gaat erom hoe het werkt in de praktijk. Dat hebben wij aan den lijve ervaren.

Vond je dit artikel interessant? Lees alle artikelen van Herke Elbers
Deel dit artikel

Er is 1 reactie op dit artikel
Dankjewel voor je bijdrage
We hebben je reactie doorgestuurd naar de redacteur(en) van dit artikel en redactie van platform O. Deel het artikel en jouw bijdrage ook met je omgeving om discussie te stimuleren.
H.Timmermans

Toen ik ooit bij een productiebedrijf werkte werd besloten om aparte kwaliteitsmanagers aan te stellen. Het idee was dat daardoor de kwaliteitsproblemen waarmee we kampten drastisch zouden verminderen. Het omgekeerde gebeurde echter. De kwaliteitsproblemen namen toe. De reden: iedereen dacht: kwaliteit, dat is niet mijn probleem. Daar hebben we nu een specialist voor. Dat gevoel bekruipt mij ook bij het lezen van dit artikel over het beperken van het risico van datalekken in het kader van privacy. Ik ben ervan overtuigd dat het geforceerd aanstellen van functionarissen gegevensbescherming en privacy officers een dergelijk effect gaat krijgen, als gemeenten zoals Amersfoort niet tegelijk werk maken van het personaliseren van het probleem. Het gaat er om dat iedere medewerker, niet alleen in zijn/haar werk, maar ook privé het besef krijgt wat wel en niet veilig is, wat wel en niet verantwoord is als het gaat over het omgaan met vertrouwelijke gegevens.

De overheid is al geruime tijd bezig met het implementeren van een dienst die govroam (government roaming) heet. Die dienst zorgt ervoor dat medewerkers van de overheid veilig contact kunnen maken met (0verheids) wifi netwerken in plaats van slecht beveiligde draadloze netwerken die werken met een shared key of nog erger. Het invoeren van govroam kost in de meeste gevallen maar een fractie van de kosten van het aanstellen van aparte functionarissen en dicht direct, waarschijnlijk ook in Amersfoort een aanzienlijk datalek risico. De invoering van die dienst verloopt bij het Rijk voortvarend, maar komt bij gemeenten maar moeizaam van de grond. Je kunt dan wel privacy officer voor enige tienduizenden guldens per jaar aanstellen, maar wanneer je je medewerkers onveilig laat internetten via het gemeentelijk wifi netwerk, dan staat de (digitale) achterdeur toch open. En dan kan de privacy officer alsnog zijn/haar tijd besteden met het uitwerken van de datalek melding aan de AP. M.a.w. het voorkomen en bestrijden van datalekken vraagt om een veel omvattender aanpak dan het aanstellen van een of twee functionarissen. Het vraagt in brede zin om bewustwording bij bestuurders, managers en medewerkers, niet alleen in hun formele functie maar ook privé. Wanneer iedereen weet hoe gevaarlijk hij of zij digitaal bezig is, dan is misschien het aanstellen van een aparte functionaris niet meer nodig. Jammer dat de wetgever nog niet zo visionair is. Maar misschien breekt dat besef bij Amersfoort wel als eerste gemeente door. Dat zou pas echt een voorbeeld zijn om breed te gaan volgen.

13 jun 2017