Is uw privacy aantoonbaar op orde? Daar heeft u geen ENSIA voor nodig

Is uw privacy aantoonbaar op orde? Daar heeft u geen ENSIA voor nodig

Om het verantwoordingsproces over informatieveiligheid te verbeteren krijgen gemeenten vanaf 2017 te maken met Eenduidige Normatiek Single Information Audit (ENSIA). Samen met de verantwoording over de Baseline Informatieveiligheid Gemeenten (BIG) wordt op deze manier verticale verantwoording afgelegd over:

  • de Basisregistratie Personen (BRP);
  • de Paspoortuitvoeringsregeling (PUN);
  • het systeem van informatie-uitwisseling in de keten van werk en inkomen (Suwinet);
  • andere domeinen.

Met een goed Information Security Management System (ISMS) is de verantwoording over de BIG eenvoudig in te richten. Ook draagt deze dan bij aan een goed overzicht en de verantwoordingsplichten. Maar hoe wordt de verantwoording over privacy ondersteund

Verantwoordingskader gebaseerd op oude normen

Hoe meer iedereen doordrongen raakt van het belang van privacy, hoe duidelijker het probleem wordt dat een goed verantwoordingskader voor privacy ontbreekt. Het raamwerk van de Wet bescherming persoonsgegevens (Wbp) audit en de Wbp zelfevaluatie stammen uit 2001 en worden nog steeds, bij gebrek aan beter, regelmatig gebruikt voor privacyaudits. Deze kaders sluiten allang niet meer aan bij de huidige IT-inrichting met gedeelde databases, samenwerkende en complexe databasestructuren.

In de loop der jaren is het lastig gebleken om de wet te vertalen naar goede, procesmatige controles, zoals die vanuit de BIG wel getroffen kunnen worden. Een belangrijke oorzaak is de open normen van de Wpb waardoor men eigen beleidskeuzes moet maken. In feite creëert elk bedrijf zijn eigen toetsingskader.

Overzichtelijk normenkader op maat

Het nieuwe handboek privacy houdt rekening met de verantwoordingsplichten van gemeenten. Allereerst bevat het handboek een ingericht privacybeheersysteem. Dit systeem werkt grotendeels volgens de methodiek van het beheer van informatiebeveiliging.

Ten tweede vertaalt het handboek de open normen van privacywetgeving naar verantwoordelijkheden, toetsbare normen en auditoverzichten. Omdat het handboek op maat gemaakt wordt, ontstaat een overzichtelijk normenkader waarmee een gemeente kan aantonen te voldoen aan privacy wet- en regelgeving.

In de praktijk

Scienta werkt samen met SafeHarbour en BMC om gemeenten zo goed mogelijk te ondersteunen bij het vastleggen en verbeteren van gemeentelijke informatiebeveiliging. Hoe dat er in de praktijk uit ziet? Stef Nicolasen, CISO bij de gemeente Woerden en Ronald Driehuis, auditor bij SafeHarbour, vertellen over hun visie op informatiebeveiliging met Scienta.

Bestel het handboek privacy bij SafeHarbour

Deze blog is geschreven door Ronald Driehuis en verscheen eerder op de website van SafeHarbour.

Door | 2017-08-08T10:46:33+00:00 7 augustus 2017|Kennismanagement|