Privacy
In 2024 heeft de gemeente vervolg gegeven aan het privacy-bewust maken van de organisatie. Dit zag enerzijds op het vergroten van het bewustzijn onder de medewerkers, onder andere door de lopende bewustwordingscampagne Informatiebeveiliging & Privacy. Anderzijds zag dit op het controleren en vormgeven van interne processen zodat deze voldoen aan de AVG.
Bewustwording
De gemeente Hulst heeft in 2024 de online bewustwordingscampagne Informatiebeveiliging & Privacy verder uitgedragen binnen de organisatie. In deze campagne leert zowel het bestuur van de organisatie als de medewerkers hoe zij digitaal veilig kunnen werken. Per kwartaal wordt een nieuw thema belicht en wordt hier uitleg over gegeven in de vorm van trainingsmodules, video's en quizjes. In 2024 waren deze thema's veilig internetten, veilig mailen en kunstmatige intelligentie. Ook werkt de gemeente Hulst met een 'stempelkaart', waarbij nieuwe medewerkers leren over de werkzaamheden van hun collega's. Informatieveiligheid en privacy is ook een onderdeel van deze stempelkaart. Hierdoor worden nieuwe medewerkers dus altijd vroeg gewezen op hun verantwoordelijkheden rondom informatieveiligheid en privacy.
Rechten van betrokkenen
De AVG kent burgers een aantal rechten toe. Een van deze rechten is het recht op inzage. In 2024 is drie keer een verzoek tot inzage in persoonsgegevens ingediend. Deze verzoeken hebben wij allemaal kunnen inwilligen.
Data protection impact assessment (DPIA)
Wanneer er een nieuwe applicatie wordt aangeschaft door de gemeente en deze risicovolle verwerkingen bevat, dient er voorafgaand een risicoanalyse te worden gemaakt. Deze risicoanalyse ziet op de privacy- en informatieveiligheidsrisico's en wordt een Data Protection Impact Assessment (DPIA) genoemd. Deze risicoanalyse kan ook moeten worden uitgevoerd wanneer een bestaand proces binnen de gemeente verandert. In 2024 heeft de gemeente nieuwe DPIA's afgerond, zoals de DPIA voor het burgerplatform Citizenlab.
Verantwoording
Op grond van de AVG moeten gemeenten kunnen aantonen hoe zij aan de door deze wet gestelde eisen voldoen. Een van deze manieren is het opstellen, herzien en aanpassen van zowel nieuwe als bestaande documentatie. Hiermee laat de gemeente zien dat zij eisen uit de AVG heeft vertaald naar beleid en werkprocessen. De volgende documenten zijn in dat kader vastgesteld of herzien:
- Privacybeleid 2023-2026
- Rapportage cyberoefening 2024
- Kwartaalrapportages beveiligingsincidenten en datalekken in 2024
- Handboek Wpg
Functionaris voor de gegevensbescherming
In 2024 liep het contract met de huidige Functionaris Gegevensbescherming (FG), afkomstig van Privacy Company, af. Er is voor gekozen om deze samenwerking voort te zetten. Dit houdt in dat de gemeenten Hulst, Terneuzen, Sluis, SaBeWa Zeeland en Dethon als nieuwe deelnemer verder zullen gaan met de huidige FG. Het takenpakket van de FG bestaat met name uit het houden van toezicht op de naleving van de AVG. De FG werkt daarin samen met de Privacy Officer, die een adviserende en coördinerende rol heeft op het gebied van privacy binnen de gemeente. In 2024 is er ook vervolg gegeven aan een periodiek overleg tussen de Privacy Officers van gemeente Hulst, Terneuzen en Sluis.
Meldplicht datalekken
De gemeente Hulst houdt haar beveiligingsincidenten bij in een meldingsregister. In dit register zijn ook datalekken opgenomen. In 2024 zijn 12 datalekken gemeld en opgenomen in dit register. In 2 van de 12 gevallen is het datalek ook gemeld bij de Autoriteit Persoonsgegevens, vanwege het verhoogde risico voor de betrokkenen.
Verwerkersovereenkomsten
Wanneer een andere partij persoonsgegevens van de gemeente gaat verwerken, wordt er een verwerkersovereenkomst afgesloten. In 2024 zijn verschillende nieuwe verwerkersrelaties ontstaan, zoals met BCT BV en TimEnterprise Online (Aenova). De gemeente Hulst gebruikt voor nieuwe verwerkersrelaties de standaard verwerkersovereenkomsten die zijn opgesteld door de VNG.