Je hebt als gemeente nogal wat data van inwoners, ondernemers en ketenpartners in huis waar je verantwoordelijk voor bent. En dat brengt veel werk met zich mee. Want je treft niet alleen de benodigde veiligheidsmaatregelen, er is ook de verplichte verantwoording om rekening mee te houden. Hoe organiseer je die verantwoording nou goed en efficiënt, zonder dat je er veel tijd en publieke middelen aan kwijt bent?
Inwoners, ondernemers en ketenpartners willen erop kunnen vertrouwen dat zakendoen met hun gemeente veilig is. Dat hun data goed beschermd zijn, en dat de privacy gewaarborgd is. Als gemeente ben je verantwoordelijk voor die beveiliging en bescherming – óók als de data niet bij jullie op locatie staan, maar bij een leverancier of in de cloud. Terecht, want het gaat vaak om uiterst gevoelige data. Zoals medische en financiële gegevens van inwoners, resultaten van inspecties, data over de beveiliging van evenementen en kwetsbare gegevens van ‘de driehoek’. Data die je niet op straat wilt hebben. Van fraude met identiteitsbewijzen tot manipulatie van beleidsvorming: je moet er niet aan denken wat dat met het vertrouwen van je inwoners, ondernemers en partners doet. Belangrijk is het daarom dat je informatiebeveiliging op orde is, met alle maatregelen die daarvoor nodig zijn. Inclusief duidelijkheid over processen en verantwoordelijkheden: wie is waarop aanspreekbaar?
Wetten en regels om rekening mee te houden
Omdat informatiebeveiliging en privacybescherming bij gemeenten zo belangrijk is, zijn er diverse wetten en kaders waarin de verplichtingen zijn vastgelegd. Naast de bekende wetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO), zijn er nog veel meer nieuwe of vernieuwde wetten en kaders die impact hebben op je informatievoorziening. Een deel komt uit Nederland – bijvoorbeeld de Wet Open Overheid, de Wet Digitale Overheid en de Omgevingswet – en een deel uit Europa. Denk aan de Data Governance Act, Data Act, AI Act, Cyber Security Act en eIDAS. Stuk voor stuk hebben ze impact op je processen, je systemen en je werkdruk: je zult je namelijk ook moeten verantwoorden over de naleving ervan.
3 manieren om verantwoording af te leggen
Je hebt je dus niet alleen te houden aan wetten en regels rond informatiebeveiliging, maar moet ook – volgens de Eenduidige Normatiek Single Information Audit (ENSIA) – laten zien hóe je zorgt dat je ‘in control’ bent. Dat geldt onder meer voor de manier waarop je basisregistraties, Suwinet en DigiD inzet. Voor Suwinet en DigiD is zelfs een externe audit door een registerauditor verplicht.
Je kunt op 3 verschillende manieren de gevraagde verantwoording afleggen:
Met een audit door een onafhankelijke partij – benodigd voor sommige, meestal externe diensten.
Met een zelfevaluatie, vooral voor interne diensten.
Of met een Third Party Mededeling van een leverancier voor een externe dienst.
Met zo’n Third Party Mededeling krijg je van je leverancier een algemene, door een onafhankelijke auditor opgestelde, verklaring waarmee je leverancier
aantoont dat de dienstverlening compliant is. Een gecertificeerde dienst dus. Daarmee maak je het voor jezelf als gemeente een stuk efficiënter en makkelijker om aantoonbaar in control te zijn. Voor dat deel van de keten ben je immers aantoonbaar compliant. Of het nu voor interne verantwoording is – aan de Rekenkamer of de Raad – of voor extern, je geeft alle betrokkenen bovendien de zekerheid dat de toevertrouwde data én de gemeentelijke informatievoorziening veilig is.
We helpen je graag!
KPN is zo’n leverancier van gecertificeerde diensten. Met onze smart combinations – zoals Secure Networking – helpen wij je om aantoonbaar in control te zijn. De diensten in dit portfolio zijn namelijk van alle relevante certificaten voorzien, aangevuld met aantoonbare veiligheidsmaatregelen. Daardoor maken we het niet alleen mogelijk voor je om aan wetten en kaders te voldoen, maar kun je het ook laten zien aan alle betrokkenen.