Bedrijfsvoering

Auditing, privacy en security

Auditing
In 2018 is verder gewerkt aan een scherpere uitwerking van een goed controlesysteem. Speerpunt daarbij is de waarborging van een goedkeurende accountantsverklaring rondom het Sociaal Domein. Deze mochten wij in juni 2018 over het jaar 2017 weer ontvangen. Verdere acties zijn erop gericht om uiteindelijk de accountantsverklaring op het oorspronkelijke tijdstip aan te bieden en de programmarekening eerder vast te stellen in uw gemeenteraad.

Een aantal onderzoeken/audits heeft plaats gehad, voornamelijk gerelateerd aan het in 2017 (amendement bij Perspectiefnota 2018-2021) incidenteel beschikbaar gestelde bedrag van € 200.000. Voor 2018 resteerde een bedrag van € 135.000, wat is besteed aan onderzoeken Sociaal Domein (€ 66.000), onderzoek Organisatieontwikkeling (€ 21.000), Lokale Ombudscommissie Ede (€ 8.500), Quick Scan voortgang ICT (€ 8.000), Benchmark Berenschot (verhouding kosten en formatie primair proces en overhead € 25.000) en Audit ENSIA (€ 6.500). Voor de Lokale Ombudscommissie Ede en het Sociaal Domein zijn de uitkomsten gedeeld met uw raad in de betreffende voorstellen. De aanbevelingen van het onderzoek organisatieontwikkeling zijn meegenomen in de besluitvorming over de nieuwe topstructuur en organisatieontwikkeling (zie begin van deze paragraaf). Die voor ICT en formatie worden gebruikt voor de prioritering en keuzes binnen de bedrijfsvoering.

Privacy en security
De datum van inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 ligt inmiddels achter ons. De activiteiten uit het implementatieplan zijn uitgevoerd en voor een deel blijven dit doorlopende activiteiten. In het kader van het toezien op de juiste uitvoering van de AVG zijn wij een samenwerking aangegaan met de gemeenten Rhenen en Wageningen. Deze samenwerking houdt in dat deze gemeenten gezamenlijk een functionaris voor gegevensbescherming hebben, wat tevens bijdraagt aan vermindering van de kwetsbaarheid in deze functie en de onderlinge kennisdeling bevordert.
In 2018 zijn op het gebied van privacy de volgende activiteiten uitgevoerd:

  • het privacybeleid is begin 2018 vastgesteld;
  • de privacyverklaring is gepubliceerd op de site;
  • er is in het nieuwe college van burgemeester en wethouders een portefeuillehouder privacy benoemd;
  • alle verwerkingen van persoonsgegevens zijn in kaart gebracht waardoor we voldoen aan AVG van het hebben van een register. Dit register vormt de basis voor de proceseigenaren om acties en maatregelen op te stellen en zo te kunnen voldoen aan de regels die in het kader van privacy gelden;
  • de acties worden gemonitord, hiervoor is een tool geïmplementeerd, die tevens gebruikt wordt voor de security acties;
  • de op grote verandertrajecten uitgevoerde Privacy Impact Analyses (PIA’s) zijn nu regel voor nieuwe trajecten;
  • proces van datalekken is gevolgd bij optreden;
  • er wordt voortdurend aandacht besteed aan bewustwording op dit terrein via sessies en overleggremia en aan de hand van casuïstiek.

Het ENSIA traject (Eenduidige Normatiek Single Information Audit) heeft als doel het verantwoordingsproces over informatieveiligheid bij gemeenten verder te professionaliseren. In 2018 zijn voor de eerste keer de informatiebeveiligingsmaatregelen van de gemeente Ede geaudit volgens deze systematiek. Onderzocht zijn de algemene maatregelen in het kader van de gemeentebrede beveiligingsnormen (BIG) en de meer specifieke maatregelen zoals die gelden voor de basisregistraties (BRP en BAG), de GEVS (Suwinet) en Digid. De audit heeft de vorm van een zelfevaluatie en leverde een beeld op van de progressie die gemaakt wordt bij het implementeren van de beveiligingsnormen.
Voor de onderdelen Suwinet en Digid is de audit formeel beoordeeld door een register EDP-auditor. Resultaat hiervan was dat Ede geheel voldeed aan de beveiligingsnormen met betrekking tot Suwinet. Voor Digid was een technische aanpassing noodzakelijk. Deze is in 2018 gerealiseerd.

We hebben in 2018 14 meldingen van een datalek onderzocht. Het betrof in alle gevallen kleine incidenten met maar enkele betrokkenen of maar weinig privacygevoelige gegevens. Deze onderzoeken zijn gedaan door de 'privacydriehoek'. Deze bestaat uit medewerkers informatiebeveiliging, een privacyjurist en functionaris gegevensbescherming. Van zeven meldingen hebben wij beoordeeld dat het risico voor de privacy van de betrokkene dermate laag was dat een melding aan de Autoriteit Persoonsgegevens niet nodig was. Het betreft dan bijvoorbeeld een datalek met (semi) openbare gegevens zoals kadastraal eigendom of WOZ-waarde. De overige incidenten zijn wel gemeld. In vier gevallen zijn de betrokkenen op de hoogte gesteld omdat wij van mening waren dat de door ons getroffen maatregelen na het bekend worden van het datalek niet afdoende waren voor de bescherming van de privacy. De oorzaak van de incidenten lag in bijna alle gevallen bij distributiefouten zoals het gebruiken van een verkeerd e-mailadres of het toevoegen van een verkeerde bijlage. In een geval stonden de systeemautorisaties niet goed en in een geval is een adresbestand voor onjuiste doeleinden gebruikt.