Informatiemanagement
In 2018 is het informatiebeleid door de gemeenteraad vastgesteld. Informatiemanagement is het proces van afstemmen van mensen, middelen en maatregelen om aan de informatiebehoefte van de klanten, ambtelijke en bestuurlijke organisatie te voldoen. De vier belangrijkste pijlers van het beleid zijn:
- Flexibele en toekomstbestendige inrichting van de informatievoorziening en automatisering;
- Met eigentijds middelen en werkwijzen die aansluiten op de manier van communiceren van de klant;
- Zodat integraal samenwerken intern en met partners gemakkelijk mogelijk is;
- En Meierijstad transparant is in haar handelen, waar dit mogelijk is en mag.
In 2019 gaan we verder op de ingeslagen weg rond digitaal en procesmatig werken, zodat we de dienstverlening efficiënt en effectief ondersteunen. Dit doen we door de digitale drempels te minimaliseren en goed samen te werken in het informatiedomein.
In 2019 gaan we met de volgende projecten aan de slag: managementinformatie over onderdelen van de programmabegroting, digitaal en toegankelijk maken van vergunningen en aktes burgerlijke stand en de oude archieven van Erp, Veghel, Sint-Oedenrode en Schijndel in een predepot. We ondersteunen bij het optimaliseren van de processen en de aansluiting van de ondersteunende informatievoorziening door onder architectuur te gaan werken.
Informatieveiligheid
Gemeenten maken veel en vaak gebruik van gevoelige gegevens. Het op orde hebben van haar informatieveiligheid is daarom van groot belang. Een hulpmiddel hierbij is de invoering van de Baseline Informatieveiligheid Nederlandse Gemeenten (BIG). In 2018 is reeds gestart met de implementatie hiervan. De huidige baseline (BIG) is echter verbeterd en zal vervangen gaan worden door de Baseline Informatiebeveiliging Overheid (BIO). De verwachting is dat deze begin 2019 van kracht zal zijn. In 2019 zullen we dan ook ons bezig gaan houden met de implementatie hiervan.
Daarnaast staan voor 2019 de volgende werkzaamheden op het gebied van informatieveiligheid gepland:
- Verantwoording en rapportage op het gebied van informatieveiligheid via de Eenduidige Normatiek Single Information audit (ENSIA).
- Vervolg project Identity en Access management.
- Vervolg bewustwordingscampagne informatieveiligheid.
- Starten met het VNG programma GGI Veilig (GGI Veilig ondersteunt de gemeente bij het verhogen van de digitale weerbaarheid en het veiliger maken van de ICT-infrastructuur).
Gegevensbescherming
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De AVG zorgt onder meer voor:
- versterking en uitbreiding van privacy-rechten;
- meer verantwoordelijkheden voor organisaties;
- dezelfde, stevige bevoegdheden voor alle Europese privacy-toezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen.
De gevolgen van de wet zijn voor de bedrijfsvoering fors. In 2018 zijn er stappen gezet zoals het vaststellen van het privacy-beleid, het vastleggen van de procedure bij datalekken, het opstellen van een format verwerkersovereenkomst, de opzet van een verwerkingsregister, het investeren in bewustwording enz.
De belangrijkste werkzaamheden voor 2019 zijn:
- Inventariseren en waar nodig actualiseren en afsluiten van verwerkersovereenkomsten en convenanten met derde partijen (verwerkers);
- Actualiseren en aanvullen van het (verplichte) register van verwerkingen van persoonsgegevens;
- Uitvoeren Privacy Impact Assessments (PIA’s): Dit is een verplicht instrument waarmee privacy-risico’s van een gegevensverwerking in kaart gebracht worden en waarmee gerichte maatregelen genomen kunnen worden om de risico’s te verkleinen.
- Onderzoeken Privacy by design: Dit zijn onderzoeken die ervoor zorgen dat, bij het ontwerpen van producten en diensten, persoonsgegevens goed worden beschermd en dat er niet meer gegevens verzameld en bewaard worden dan noodzakelijk voor het doel van de verwerking.
- Onderzoeken Privacy by default: Dit zijn onderzoeken die zich richten op de benodigde technische en organisatorische maatregelen om te bereiken dat er, als standaard, alléén persoonsgegevens worden verwerkt die noodzakelijk zijn voor het te bereiken doel.
- Het verder vergroten van de bewustwording bij het personeel door middel van trainingen en adviezen.