Om het verantwoordingsproces over informatieveiligheid te verbeteren krijgen gemeenten vanaf 2017 te maken met Eenduidige Normatiek Single Information Audit (ENSIA). Samen met de verantwoording over de Baseline Informatieveiligheid Gemeenten (BIG) wordt op deze manier verticale verantwoording afgelegd over:

  • de Basisregistratie Personen (BRP);
  • de Paspoortuitvoeringsregeling (PUN);
  • het systeem van informatie-uitwisseling in de keten van werk en inkomen (Suwinet);
  • andere domeinen.

Met een goed Information Security Management System (ISMS) is de verantwoording over de BIG eenvoudig in te richten. Ook draagt deze dan bij aan een goed overzicht en de verantwoordingsplichten. Maar hoe wordt de verantwoording over privacy ondersteund?

Verantwoordingskader gebaseerd op oude normen

Hoe meer iedereen doordrongen raakt van het belang van privacy, hoe duidelijker het probleem wordt dat een goed verantwoordingskader voor privacy ontbreekt. Het raamwerk van de Wet bescherming persoonsgegevens (Wbp) audit en de Wbp zelfevaluatie stammen uit 2001 en worden nog steeds, bij gebrek aan beter, regelmatig gebruikt voor privacyaudits.

Deze kaders sluiten allang niet meer aan bij de huidige IT-inrichting met gedeelde databases, samenwerkende en complexe databasestructuren.

In de loop der jaren bleek het lastig om de wet te vertalen naar goede, procesmatige controles, zoals die vanuit de BIG wel getroffen kunnen worden. Een belangrijke oorzaak is de open normen van de Wpb waardoor men eigen beleidskeuzes moet maken. In feite creëert elk bedrijf zijn eigen toetsingskader.

Overzichtelijk normenkader op maat

Het nieuwe handboek privacy houdt rekening met de verantwoordingsplichten van gemeenten. Allereerst bevat het handboek een ingericht privacybeheersysteem. Dit systeem werkt grotendeels volgens de methodiek van het beheer van informatiebeveiliging.

Ten tweede vertaalt het handboek de open normen van privacywetgeving naar verantwoordelijkheden, toetsbare normen en auditoverzichten. Omdat het handboek op maat gemaakt wordt, ontstaat een overzichtelijk normenkader waarmee een gemeente kan aantonen te voldoen aan privacy wet- en regelgeving.

In de praktijk

Scienta werkt samen met Inergy en BMC om gemeenten zo goed mogelijk te ondersteunen bij het vastleggen en verbeteren van gemeentelijke informatiebeveiliging. Hoe dat er in de praktijk uit ziet? Stef Nicolasen, CISO bij de gemeente Woerden en Ronald Driehuis, auditor bij Inergy, vertellen over hun visie op informatiebeveiliging met Scienta.

Related Posts

Vrouw ligt op de grond omringt door boeken en leest zelf een boek over kwaliteitsmanagement

Wat is kennismanagement en wat kun jij ermee?

9 februari 2023
Vijf mensen werken samen aan een tafel, ze overleggen als franchisenemer en franchisegever over de marketing en werken hun handboek digitaal bij. Er staan planten op tafel en koffie.

In 4 stappen voldoe jij aan de franchisewet

1 december 2022
Verschillende collega's binnen een franchise

Franchise starten? Alles draait om kwaliteit en vastleggen.

14 oktober 2022