IBD-expertgroep ‘Meldplicht Datalekken’ komt bijeen

‘Wat zijn de gevolgen voor zowel gemeenten als leveranciers en wat dient er geregeld te zijn om vanaf 1 januari 2016 aan de wetswijziging ‘Meldplicht Datalekken en uitbreiding bestuurlijke boetebevoegd CBP te kunnen voldoen?’. Dit was de vraag die centraal stond tijdens de IBD-Expertgroep bijeenkomst met als onderwerp ‘Meldplicht Datalekken’. De bijeenkomst heeft plaatsgevonden op woensdag 9 september jl. in het stadhuis van de gemeente Nieuwegein. Bij deze bijeenkomst waren zowel gemeenten, leveranciers die het IBD-Addendum ondertekend hebben, als gebruikersverenigingen aanwezig.

Meldplicht Datalekken
Na een korte aftrap van Anita van Nieuwenborg, teamleider IBD, neemt Jule Hintzbergen, adviseur informatiebeveiliging IBD, het woord over. Met zijn presentatie brengt Jule de deelnemers ‘op vlieghoogte’ als het gaat om de Meldplicht Datalekken. Zo licht hij niet alleen de essentie van de Meldplicht toe, maar komt ook het boetesysteem van de toezichthouder uitgebreid aan de orde. Tevens is er aandacht voor de risico’s en de verantwoordelijkheden voor invoering van beveiligingsmaatregelen. “Met name als er systemen in de Cloud worden gezet, verschuift een deel van de beveiligingswerkzaamheden van de gemeente naar de leverancier. De gemeente blijft echter wel verantwoordelijk voor tijdige en correcte afhandeling van eventuele beveiligings- en privacy-incidenten en uiteraard ook voor de melding aan de toezichthouder”, aldus Hintzbergen.

Workshop
Na de presentatie gaan de deelnemers in vier groepen aan de slag met een casus. In deze casus staat de volgende vraag centraal: ‘Wat zijn korte en lange termijn acties voor zowel de gemeente als de leverancier om goed voorbereid te zijn op de invoering van de Meldplicht?’. Conclusie is dat op korte termijn onder andere de incidentresponseprocedure geïmplementeerd dient te worden. Deze procedure is er op gericht om  samen met de leverancier te kunnen verifiëren of de melding met betrekking tot het datalek klopt en bovendien vast te stellen wat de impact  van het datalek gaat zijn. Op de lange termijn dienen overigens ook andere overeenkomsten geverifieerd te worden en waar nodig aangescherpt, denk hierbij bijvoorbeeld aan de Bewerkersovereenkomst, Service Level Agreements (SLA) en Dossier Afspraken en Procedures (DAP).

Tips
Tenslotte nog drie concrete tips om u als gemeente voor te bereiden op de wetswijziging. Deze tips hangen nauw samen met de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

  1. Denk aantoonbaar na, op basis van een risicoafweging, over de privacy van de gegevens en een daarbij passende informatiebeveiliging. Een manier om dit te kunnen aantonen is om een zogenaamde baselinetoets uit te voeren, eventueel gevolgd door een risicoanalyse, een Privacy Impact Assessment (PIA) en implementatie van de maatregelen. De basismaatregelen in de BIG zijn veelal passend, tenzij er bijzondere persoonsgegevens worden verwerkt.
  2. Documenteer; zonder documentatie is er geen compliance.
  3. Benoem verantwoordelijken en hun verantwoordelijkheden in het gemeentelijk beveiligingsbeleid. Stel bijvoorbeeld een Chief Information Security Officer (CISO) aan of een functionaris gegevensbescherming.

Meer informatie?
Meer tips en extra achtergrondinformatie over de Meldplicht Datalekken vindt u ook in onze factsheet ‘Meldplicht Datalekken’. Deze is te downloaden op de website van de IBD. Houd onze website in de gaten voor meer nieuws over de Meldplicht Datalekken.

Vragen?
Mocht u vragen hebben over informatiebeveiliging dan helpen wij u graag. Neem contact op met de IBD via 070 373 8011 of stuur een e-mail naar info@IBDgemeenten.nl.