Bijlage

Tussenrapportage Functionaris gegevensbescherming

7.2 Tussenrapportage Functionaris gegevensbescherming

Een zichtbare positieve ontwikkeling is dat de Privacy officers (PO'ers) en de Functionaris gegevensbescherming (FG) actief worden betrokken vanuit de verschillende bedrijfsonderdelen.

Beleid en advies

  • Er is achterstand op het gebied van verplicht beleid en procedures, hoofdzakelijk op gebied van de Wet politiegegevens (Wpg). Er wordt vanaf juni 2024 aan een inhaalslag gewerkt, in samenhang met voorbereidingen op de interne Wpg audit die in november 2024 wordt uitgevoerd.  
  • In het kader van een kwaliteitsbevordering van (inwoner-gerelateerde) verslaglegging in het sociaal domein, adviseren de PO'ers vanaf juni 2024 actief over data-minimalisatie. Dat houdt in dat we met elkaar het gesprek voeren over datgene wat vastgelegd wordt in intakes, rapportages en beschikkingen. Het uitgangspunt daarbij is dat  uitsluitend datgene genoteerd wordt, wat noodzakelijk is voor de dienstverlening.
  • Er is een verbeterpunt geconstateerd met betrekking tot autorisaties van medewerkers; bij een aantal werkzaamheden kunnen medewerkers meer persoonsgegevens inzien dan strikt noodzakelijk is voor hun taakuitvoering. Hiervan is melding gemaakt bij de verantwoordelijke functionarissen.
  • De Functionaris Gegevensbescherming verzorgt periodieke terugkoppeling aan het hogere management over het uitgevoerd toezicht.

Kennis en bewustwording

  • Naar aanleiding van signalen van medewerkers dat er te weinig gemakkelijk vindbare en begrijpelijke informatie voorhanden was over AVG-onderwerpen, is de documentatie op de interne kennisbank (Kennisnet) in de eerste helft van 2024 volledig herzien en uitgebreid. De komende periode worden daar nog documenten aan toegevoegd.
  • Er wordt momenteel samen met de Chief Information Security Officer (CISO) een organisatiebreed bewustzijnsprogramma voorbereid voor informatieveiligheid en privacy.
  • Binnen de privacy organisatie is op dit moment nog onvoldoende kennis over de Wpg. De meest recente audit, het verwerkingenregister Wpg en de DPIA’s voor de Wpg zijn tot op heden volledig uitgevoerd door externe adviseurs. Op dit moment bevinden we ons in de fase van scholing en kennisoverdracht, waarbij we verwachten vanaf 2025 voldoende toegerust en in control te zijn.

Voortgang m.b.t. de verplichte registraties  

  • Het register van verwerkingsactiviteiten voor zowel Wpg als AVG is in het nieuwe Information Security Management System (ISMS) geplaatst. Het inrichten van de controleflow heeft vertraging opgelopen door knelpunten in de technische implementatie.
  • Er wordt gewerkt aan een overzicht van regionale samenwerkingsverbanden die persoonsgegevens uitwisselen tussen gemeente en ketenpartners.
  • Er is een plan van aanpak gemaakt om de achterstand van risico analyses (DPIA’s) te verhelpen. De hoog risico verwerkingen krijgen daarbij voorrang. In augustus 2024 is gestart met de aanpak van de achterstand.
  • Het aantal incidenten met persoonsgegevens (datalekken) over 2024 t/m 30-08 waarbij de oorzaak in de eigen organisatie gelegen was, bedraagt 31. Daarvan waren 6 incidenten meldingsplichtig bij de Autoriteit Persoonsgegevens. Denk daarbij aan fouten bij het verzenden van gegevens waardoor persoonsgegevens bij de verkeerde ontvanger terecht kwamen. Bij ieder datalek wordt een analyse uitgevoerd en in overleg met het  betrokken bedrijfsonderdeel (waar het incident is ontstaan) worden verbeteracties bepaald.
Deze pagina is gebouwd op 11/08/2024 11:59:28 met de export van 11/08/2024 11:53:05