Privacy en informatieveiligheid sociaal domein Rijswijk | 30 maart 2022
In opdracht van de rekenkamer Rijswijk heeft Unravelling onderzoek uitgevoerd naar privacy en informatieveiligheid in het sociaal domein van de gemeente.
De hoofdvraag van het onderzoek was:
In hoeverre is de privacy van inwoners en de beveiliging van persoonsgegevens in het sociaal domein van de gemeente Rijswijk gewaarborgd?
Achtergrond
Binnen gemeenten wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en partners. Ook is het thema relevant vanwege nieuwe technologische ontwikkelingen en omdat overheden steeds digitaler worden. Inwoners moeten erop kunnen vertrouwen dat de gemeente zorgvuldig met hun gegevens omgaat. Zeker binnen het sociaal domein werken gemeenten veel met (vaak gevoelige) persoonsgegevens. Daarom besloot de rekenkamer van Rijswijk onderzoek uit te voeren naar dit onderwerp.
Conclusies
Het beleid van de gemeente voor privacy en informatieveiligheid in het sociaal domein is op grote lijnen op orde. Wel zijn er op verschillende onderdelen van het beleid verbeteringen mogelijk, zoals bij het concretiseren van de normen van de Algemene Verordening Gegevens (AVG) en de meldingsbereidheid van datalekken. Ook kan de raad een actievere rol innemen voor privacy en informatieveiligheid.
Kortweg kwamen we tot de volgende conclusies:
1. Privacybeleid en AVG
Het privacybeleid van de gemeente is in lijn met de AVG. Er zijn wel verbeterpunten omdat de gemeente de normen uit de AVG heeft herhaald en niet verder heeft geconcretiseerd, dit is niet in lijn met hetgeen de Autoriteit Persoonsgegevens verwacht. De privacyprocessen van de gemeente zijn op hoofdlijnen ook in orde, maar kunnen tevens op een aantal punten worden verbeterd (o.a. loggingsbeleid en navolgbaarheid autorisaties).
2. Beheer van datalekken
De gemeente heeft haar beheer van datalekken op orde en houdt hiervan een register bij. De meldingsbereidheid is wel een aandachtspunt: de gemeente meldt vrijwel geen van de constateerde datalekken bij de Autoriteit Persoonsgegevens. Ook kan de gemeente nog meer werken aan het bewustzijn van medewerkers. Concreet kan het lijnmanagement nieuwe medewerkers beter wijzen op de beschikbaarheid en het nut van opleidingen en trainingen op het vlak van privacy.
3. Informatie op de gemeentelijke website
De gemeentelijke website bevat voldoende informatie over privacy voor inwoners, de rechten van betrokkenen en het melden van datalekken.
4. Transparantie van consulenten naar burgers
Consulenten zijn transparant in het informeren van burgers over waar zij hun gegevens voor gebruiken. Een (juridisch) risico is dat het Jeugdteam uitsluitend werkt met mondelinge toestemming.
5. Inzicht in risico’s
De gemeente heeft inzicht in de risico’s op het gebied van informatiebeveiliging (o.a. wachtwoordvereisten en tweefactorauthenticatie). Een verbeterpunt voor de gemeente zit in het (vergroten van) het bewustzijn over de noodzaak en vanzelfsprekendheid van acties om risico’s zoveel mogelijk te beperken.
6. Rol van de raad
De raad speelt een beperkte rol bij het privacy- en informatiebeveiligingsbeleid. De raad is wel betrokken geweest bij de ontwikkeling van het informatiebeleidsplan, maar slechts in beperkte mate. Het borgen van privacy- en informatieveiligheid wordt gezien als een bedrijfsvoeringskwestie. Het college kan de borging beter organiseren en de raad meer meenemen in het onderwerp; de raad kan anderzijds ook een actievere rol spelen in het toezien op de borging door het college.
Doorwerking
Op 25 januari 2022 kregen raadsleden in het Forum Samenleving een toelichting op het rapport van de rekenkamer en konden zij vragen stellen. Tijdens de raadsvergadering van 8 februari 2022 besloot de gemeenteraad de conclusies en aanbevelingen uit het rapport over te nemen.
Opdrachtgever: Rekenkamer Rijswijk
Onderzoekers: Martijn Mussche en Shauni Drost
Oplevering rapport: november 2021