Heemskerk heeft de verantwoordelijkheid over persoonsgegevens en gegevensuitwisseling op alle terreinen waar het actief is. Dat geldt voor taken op het gebied van de basisadministraties, openbare orde en veiligheid, en zeker voor de (nieuwe) taken in het Sociaal domein.
Betrouwbare en continue dienstverlening, het voldoen aan wet- en regelgeving en het beheersen van risico’s zijn voor dit onderwerp de belangrijkste gemeentelijke doelstellingen.

Een extra factor is dat het zorgvuldig omgaan met persoonsgegevens complex is en dit steeds complexer wordt. Dit komt door onder andere de snelle ontwikkeling van technische mogelijkheden, de decentralisaties in het Sociaal domein en grote uitdagingen op het terrein van (openbare orde &) veiligheid en aangescherpte wet- en regelgeving, zoals de Baseline Informatieveiligheid Gemeenten (BIG) en de Europese Algemene Verordening Gegevensbescherming (AVG). Ook het nakomen van de afspraken inzake de ENSIA-verantwoording (Eenduidige Normatiek Single Information Audit) kwamen er afgelopen jaar bij.

Om deze ontwikkelingen in goede banen te leiden is, binnen de formatie, een Functionaris Gegevensbescherming (FG) aangesteld. Deze functie is gecombineerd met de functie van Chief Information Security Officer (CISO) om de uitdagingen op het vlak van zowel informatieveiligheid als privacy te bundelen en één gezicht te geven.

Het jaarplan Gegevensbescherming 2017 is door het management vastgesteld. De belangrijkste punten van het jaarplan waren:

  • Het in kaart brengen van alle verwerkingen van persoonsgegevens binnen de gemeente.
  • Ervoor zorgen dat burgers gemakkelijk hun rechten kunnen uitoefenen.
  • Opstellen van een beveiligingsincidenten-procedure.
  • Ontwikkelen van beleid op het gebied van mobile devices, wachtwoordgebruik, encryptie en cloudstrategie.

Daarnaast  is de campagne die in 2016 is ingezet om de kennis van en het bewust omgaan met persoonsgegevens te vergroten voortgezet

Regionaal is er een aftrap gedaan om te komen tot een gezamenlijk privacy-beleid voor openbare orde en veiligheid, is het IJmondiale model verwerkersovereenkomst geüpdatet naar de eisen in de AVG en wordt een veilige e-mailoplossing onderzocht.

De mate waarin de beheersmaatregelen voor informatieveiligheid effectief zijn is getoetst aan de ENSIA. De zelfevaluaties over de Basisregistratie Personen (BRP), Paspoort-uitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet) zijn allen doorlopen. Komend jaar worden de maatregelen voor DigiD en SUWInet ge-audit aan de hand van de Collegeverklaring ENSIA. Voor de raad komt er, in het kader van de horizontale verantwoording een separate Rapportage ENSIA 2017.

In 2017 hebben zich enkele kleine incidenten voorgedaan, waaronder in januari een probleem met hardware als gevolg waarvan de bedrijfscontinuïteit enkele uren werd onderbroken. Geen van de incidenten heeft geleid tot een datalek dat gemeld moest worden bij de toezichthouder Autoriteit Persoonsgegevens.

Voor de komende periode blijft gegevensbescherming extra aandacht vragen, wordt er verder gewerkt aan de implementatie van de BIG, en worden de eisen die de AVG stelt en de verantwoordingssystematiek