Paragraaf informatieveiligheid
Inleiding
De gemeente Reimerswaal is een informatie-intensieve organisatie, primair gefocust op dienstverlening. De
medewerkers van de gemeente moeten kunnen beschikken over betrouwbare informatie om de klanten zo
optimaal mogelijk te kunnen helpen en adviseren. Burgers en bedrijven moeten erop kunnen vertrouwen dat
hun gegevens bij de gemeente in goede handen zijn.
Naast het nemen van beveiligingsmaatregelen, is bescherming van privacy een belangrijk aspect. Hoewel dit
gezien kan worden als een afzonderlijk onderwerp ten opzichte van andere regelgeving, zijn beiden in de
praktijk onlosmakelijk verbonden. Om die reden is er in deze begroting gekozen voor een gecombineerde
benadering onder de noemer informatieveiligheid.
Informatieveiligheid is dus veel meer dan ICT. Het gaat in veel gevallen om de mens in de organisatie en de
manier waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn bestuurders
zich bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk gedrag) speelt in
de praktijk een steeds grotere, veelal zelfs een doorslaggevende, rol in het daadwerkelijk realiseren van
informatieveiligheid.
Privacy
De wettelijke basis van de bescherming van privacy is af te leiden uit Europese richtlijnen en landelijke wet-
en regelgeving. De meest recente is de Algemene Verordening Gegevensbescherming (AVG). Deze is op
25 mei 2018 van toepassing geworden. Deze Verordening is - anders dan de richtlijn uit 1995 - rechtstreeks
van toepassing in alle EU-lidstaten. Er geldt vanaf die datum dus nog maar één privacywet in de hele EU, in
plaats van 28 verschillende nationale wetten. Onderdeel van de verordening is ook de plicht om datalekken
te melden. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding
moeten doen bij de Autoriteit Persoonsgegevens, zodra zij een ernstig datalek hebben. Ook moeten zij het
datalek melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris
gegevensbescherming. De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens
(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.
De AVG brengt een aantal belangrijke verplichtingen met zich mee, zoals: