Een dag uit het leven van: een trainee Security & Privacy

8.20 uur

Als trainee Security & Privacy stap ik (nog een beetje slaperig) het gemeentehuis van gemeente Twenterand binnen. Een nieuwe dag. Genoeg te doen. Maar eerst: koffie, even een praatje maken met collega’s, m’n mail en agenda checken en nog een kop koffie.

8.45 uur

Ik ben uitgenodigd om binnenkort een presentatie te komen geven aan alle applicatiebeheerders binnen de gemeente over de Algemene verordening gegevensbescherming (AVG) en wat dit voor hun werkzaamheden betekent. Tijd om het één en ander voor te bereiden. Een aantal onderwerpen zullen in ieder geval aan bod komen:

  • De AVG vereist dat we als gemeente een register bijhouden van alle verwerkingen van persoonsgegevens waar we verantwoordelijk voor zijn. Het Kwaliteitsinstituut Nederlandse Gemeenten (KING) heeft een standaardregister ontwikkeld en dit hebben we dan ook als uitgangspunt genomen
  • De rechten van betrokkenen (de mensen van wie de persoonsgegevens worden verwerkt) worden uitgebreid. We zijn, uitzonderingen daargelaten, verplicht om aan bijvoorbeeld inzageverzoeken en verzoeken tot gegevenswissing te voldoen. Dit betekent dat applicaties zo ingericht moeten worden dat we op een efficiënte manier dit soort verzoeken kunnen afhandelen
  • De AVG verplicht de gemeente om een privacy impact assessment (PIA) uit te voeren als een gegevensverwerking waarschijnlijk een hoog risico oplevert. Door zo de mogelijke privacyrisico’s in kaart te brengen wordt voorkomen dat we teveel persoonsgegevens verwerken of dat we te weinig beschermingsmaatregelen nemen.

11.00 uur

Een collega komt langs met een vraag. Voor het uitvoeren van een gemeentelijke taak is er samen met andere gemeenten in de regio een samenwerkingsorganisatie opgericht. Voor de uitvoering is het noodzakelijk dat deze organisatie persoonsgegevens verwerkt. De vraag is of de betreffende inwoners toestemming moeten geven voor het laten verwerken van hun gegevens door deze derde partij.

Na enig uitzoekwerk kom ik tot de conclusie dat dit niet het geval is. De samenwerkingsorganisatie is een verwerker in de zin van de AVG. Wij blijven als gemeente verantwoordelijk en de grondslag voor de verwerking blijft ook hetzelfde, namelijk de ‘wettelijke verplichting’. Wel vereist de AVG verder dat er een verwerkingsovereenkomst wordt gesloten en dat de betrokkenen worden geïnformeerd over deze werkwijze.

12.30 uur

Ik heb een lunchbijeenkomst voor alle medewerkers georganiseerd. Onlangs is er namelijk een nep-phishingmail verspreid door de hele organisatie. Daarnaast zijn er ook twee mysteryguests op bezoek geweest. Ik gebruik deze gelegenheid om de resultaten van deze acties terug te koppelen en hiermee weer de bewustwording omtrent informatiebeveiliging te vergroten.

13.00 uur

Even een luchtje scheppen.

13.30 uur

Tijd voor het wekelijkse ‘AVG/BIG/ENSIA overleg’. Hierin neem ik samen met twee collega’s de stand van zaken door met betrekking tot de volgende onderwerpen:

  • De implementatie van de AVG
  • De implementatie van de Baseline Informatiebeveiliging Gemeenten (BIG)
  • Het verantwoordingsproces omtrent informatieveiligheid. Gemeenten verantwoorden zich elk jaar over de kwaliteit van informatieveiligheid van verschillende systemen. Dit gebeurt sinds 2017 volgens de ENSIA systematiek: de Eenduidige Normatiek Single Information Audit. Waar dit eerder apart gebeurde, legt de gemeente nu in één keer verantwoording af over het gebruik van zes informatiesystemen.

14.30 uur

Ik heb een afspraak met een collega om het eerder genoemde register van verwerkingen van persoonsgegevens verder bij te werken. De AVG benoemt welke informatie verplicht in het register moet worden opgenomen. Denk daarbij onder andere aan de eindverantwoordelijke, de verwerkingsdoeleinden en de categorieën van persoonsgegevens bij een bepaalde verwerking. Daarnaast voegen we ook veel andere verplichtingen uit de AVG toe. Daarmee zal dit register uiteindelijk ook dienen als centrale informatiebron voor de mate waarin de gemeente voldoet aan de AVG.

16.00 uur

Ik schuif aan bij een overleg van één van de teams binnen de gemeente om in het kader van medewerkersbewustzijn een presentatie te geven over informatiebeveiliging. Deze ‘iBewustzijnscampagne’ is gestart vanuit de regio Twente. Ik ga meerdere keren bij de verschillende teams binnen de gemeente langs om het bewustzijn te vergroten. De volgende onderwerpen komen aan bod: ‘achter je scherm’, ‘binnen’, ‘buiten’ en ‘in de cloud’.

17.00 uur

Nadat ik nog even m’n mail heb gecheckt is het mooi geweest voor vandaag. Tijd om naar huis te gaan. Morgen is er weer een dag!

;