ervoor geslaagd, ook voor het landelijke onderzoek naar de veiligheid van Suwinet.’ Bol pakt een paar dikke dossiermappen om te laten zien wat dit soort controles inhouden. Het zijn indrukwekkende stapels papier vol afvinklijsten van getroffen maatregelen. ‘Deze audits komen elk jaar terug en zijn voor ons een continu aandachtspunt. Het is voor gemeenten van groot belang om ervoor te slagen, want als dat niet het geval is, kan in een ultiem geval de DigiD-aansluiting of Suwinet worden afgesloten. Dat heeft grote gevolgen voor de dienstverlening van de gemeente.’ DERDE SPEERPUNT Een derde speerpunt, naast de implementatie van de BIG en de auditcyclus, is privacy. ‘Gemeenten werken met veel persoonsgegevens en natuurlijk moet je die zorgvuldig en veilig bewaren en gebruiken. Als burger wil ik dat mijn gegevens goed beveiligd zijn, als CISO vind ik dat de gemeente goed huisvaderschap moet voeren over persoonsgegevens.’ Op 1 januari van dit jaar trad de Meldplicht Datalekken in werking en de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens) gaat in 2016 gemeenten extra streng controleren op de naleving daarvan. De meldplicht bracht niet veel nieuwe regels, want de wet Bescherming persoonsgegevens gold al. Wel is privacy nog meer een aandachtspunt geworden voor gemeenten vanwege de nieuwe taken in het sociaal domein. Den Helder heeft onder meer een privacyconvenant gesloten met haar partners in het sociaal domein, waar men persoonsgegevens mee uitwisselt. Ook moet elke gemeente de rol van data protection officer invullen. De gemeente Den Helder is daar nu mee bezig. BEWUSTWORDING Een gemeente kan haar plannen en procedures voor informatiebeveiliging nog zo goed op orde hebben, het gaat pas echt werken als de medewerkers ze gebruiken, weet ook Den Helder. Bewustwording staat bij de gemeente daarom hoog op de agenda. Bol: ‘We starten dit jaar een bewustwordingsprogramma. Niet eenmalig, want dit is iets dat je continu moet herhalen en toetsen.’ Den Helder gebruikt voor deze campagne materiaal van de IBD. ‘Het is de bedoeling dat veilig omgaan met informatie uiteindelijk in de genen van al onze medewerkers zit.’ Voorafgaand aan het interview hield de gemeente een themalunch over het onderwerp privacy. De raadszaal zat vol, en er werd actief meegepraat. Het onderwerp leeft zeker onder de medewerkers, dus het begin van de bewustwording is er. Uit de vragen die werden gesteld bleek wel dat men een spanningsveld ervaart tussen informatieveiligheid aan de ene kant en gemak en dienstverlening aan de andere kant. Hoe ga je bijvoorbeeld om met burgers die hun persoonsgegevens aan de gemeente mailen omdat ze dat handig vinden? Kun je wel een kopie van een vergunningaanvraag verstrekken, als daar het BSN en de adresgegevens van een burger op staan? Uiteindelijk kom je dan uit bij het ‘goede huisvaderschap’ waar Arjen Bol aan refereert en dat dit spanningsveld wegneemt: ‘Informatiebeveiliging is nodig voor goede en verantwoorde dienstverlening.’ C Y B E R SECU R ITY
12 Online Touch Home