Paragraaf informatieveiligheid
Inleiding
De Gemeente Reimerswaal is een informatie-intensieve organisatie, primair gefocust op dienstverlening. De
medewerkers van de gemeente moeten kunnen beschikken over betrouwbare informatie om de klanten zo
optimaal mogelijk te kunnen helpen en adviseren. Burgers en bedrijven moeten erop kunnen vertrouwen dat
hun gegevens bij de gemeente in goede handen zijn.
Naast het nemen van beveiligingsmaatregelen is bescherming van privacy een belangrijk aspect. Hoewel dit
gezien kan worden als een afzonderlijk onderwerp met andere regelgeving, zijn beiden in de praktijk
onlosmakelijk verbonden. Om die reden is er gekozen voor een gecombineerde benadering onder de
noemer informatieveiligheid.
Informatieveiligheid is dus veel meer dan ICT. Het gaat in veel gevallen om de mens in de organisatie en de
manier waarop deze met risico’s omgaat. Is de medewerker zich bewust van die risico’s? Zijn bestuurders
zich bewust van de risico’s van en voor de organisatie? De menselijke factor (het menselijk gedrag) speelt in
de praktijk een steeds grotere, veelal zelfs een doorslaggevende, rol in het daadwerkelijk realiseren van
informatieveiligheid in de praktijk.
Privacy
De wettelijke basis van de bescherming van privacy valt af te leiden uit Europese richtlijnen en landelijke
wet- en regelgeving. De meest recente is de Algemene Verordening Gegevensbescherming (AVG). Deze is
op 25 mei 2018 van toepassing geworden. De Verordening is - anders dan de richtlijn uit 1995 - rechtstreeks
van toepassing in alle EU-lidstaten. Er geldt vanaf die datum dus nog maar één privacywet in de hele EU, in
plaats van 28 verschillende nationale wetten. Onderdeel van de Verordening is ook de plicht om datalekken
te melden. Deze meldplicht houdt in dat organisaties (zowel bedrijven als overheden) direct een melding
moeten doen bij de Autoriteit Persoonsgegevens, zodra zij een ernstig datalek hebben. Ook moeten zij het
datalek melden aan de betrokkenen (de mensen van wie de persoonsgegevens zijn gelekt).
Het toezicht op de naleving van de regels uit de AVG is binnen de organisatie belegd bij de functionaris
gegevensbescherming (FG). De landelijke toezichthouder voor de privacy is de Autoriteit Persoonsgegevens
(AP). De AP kan aanvullende regels of regelingen van toepassing verklaren.
De AVG brengt een aantal belangrijke verplichtingen met zich mee, zoals: