In deze blog neem ik jullie mee in mijn opdracht bij Gemeente Molenlanden en betreden we de wondere wereld van informatiebeveiliging en privacy. Informatiebeveiliging en privacy zijn twee aparte werelden die veel raakvlakken kennen. Zonder een juist niveau van informatiebeveiliging kun je privacy van inwoners niet garanderen. Wat heb ik nu precies gedaan binnen deze thema’s?
Mijn opdracht
Mijn oorspronkelijke opdracht was vooral gericht op informatiebeveiliging. Gemeente Molenlanden is een fusiegemeente en wilde graag het informatiebeveiligingsniveau van de nieuwe organisatie in kaart brengen om daar vervolgens op in te spelen door middel van een informatiebeveiligingsjaarplan. Bij gemeente Molenlanden was veel ruimte om eigen initiatief te tonen en dit leidde er bij mij toe dat ik na een aantal maanden de rol van Privacy officer op me heb genomen naast mijn taken rondom informatiebeveiliging.
Mijn werkzaamheden
Informatiebeveiliging
Om het informatiebeveiligingsniveau in kaart te brengen heb ik een risicoanalyse uitgevoerd omtrent informatiebeveiliging samen met de Information security officer (ISO). Door met verschillende factoren uit de organisatie het gesprek aan te gaan over de verschillende thema’s binnen informatiebeveiliging haalde we informatie op over de huidige stand van zaken. Deze informatie vergeleken we met de algemeen gestelde landelijke normen. Door te kijken naar de kans en impact van eventuele gebeurtenissen en maatregelen bepaalde we het risiconiveau. Op basis van de risicoanalyse schreef ik een informatiebeveiligingsjaarplan waarin maatregelen en verbeterpunten stonden uitgewerkt. Dit plan ben ik vervolgens gaan implementeren samen met de desbetreffende teams. Dit leidde tot hele diverse werkzaamheden; van het opstellen van een autorisatiematrix tot het doornemen van het proces in- en uitdiensttreding.
Privacy
De rol van Privacy officer brengt werkzaamheden mee op verschillende niveaus. Zo ben ik strategisch bezig geweest door middel van het opstellen van het privacy beleid. Maar heb ik zeker zoveel aandacht besteed aan de implementatie van verbeteringen en het creëren van bewustwording op de werkvloer. Ook zijn er een aantal wettelijke kaders waaraan de organisatie moet voldoen die werkzaamheden met zich meebrengen. Zo dienen verwerkersovereenkomsten opgesteld te worden en dient in kaart te worden gebracht welke verwerkingen aanwezig zijn in de organisatie door middel van een register van verwerkingen. Als laatste ligt er een grote rol op het adviesvlak. Er komen een hoop vragen vanuit de organisatie over privacy op verschillende domeinen. Ik heb heel wat collega’s geadviseerd over hun privacy kwesties!
Al met al zeer gevarieerde werkzaamheden waarbij ik samenwerkte met ISO (Information security officer), CISO (Chief information security officer), FG (Functionaris van de Gegevensbescherming), het ICT-beheerteam maar ook veel contact heb gelegd met collega’s uit de organisatie.
Mijn tip aan medetrainees
Wees niet bang om je mening te geven, probeer vooral voor jezelf helder te krijgen van welke werkzaamheden jij energie krijgt en probeer deze naar je toe te trekken.