Gegevensmanagement is essentieel voor de informatiehuishouding van organisaties. Bijvoorbeeld om adequaat te kunnen reageren op een datalek. Er is echter nog wel wat lobbywerk te verrichten, want gegevensmanagement staat niet bovenaan de prioriteitenlijst.
Een laptop raakt zoek. Als het gegevensmanagement op orde is hoeft dit geen groot probleem te zijn.
Foto: Dreamstime
Vorig jaar kreeg de gemeente Edam-Volendam te maken met een datalek. Een laptop van een leverancier was zoekgeraakt; een laptop waarop mogelijk persoonsgegevens van inwoners van Edam-Volendam stonden. Deze leverancier werkte tijdens het incident voor meerdere gemeenten. Het was niet duidelijk welke gegevens er precies op de laptop stonden. “Je moet bij een datalek snel kunnen handelen en daarvoor is het nodig dat je weet welke gegevens er gelekt kunnen zijn. Helaas bleek dat lastig te achterhalen”, zegt Remco Rekoert, informatiebeveiligings- en privacyadviseur bij de gemeente Edam-Volendam. “We hadden het incident hier opgeschaald tot aan de burgemeester. Ik kreeg allerlei vragen waarop ik het antwoord ook niet wist. Heel vervelend. Het maakte duidelijk hoe belangrijk het is dat je je gegevensmanagement op orde hebt.”
Rekoert spant zich al jaren in om gegevensmanagement bovenaan de prioriteitenlijst bij gemeenten te krijgen. Hij maakt deel uit van een landelijke werkgroep die handreikingen opstelde over dit onderwerp. “Het is helaas mijn ervaring dat het lastig is om gegevensmanagement spontaan van de grond te krijgen. Om begrijpelijke redenen, hoor. Tijd is vaak een probleem: er komt zoveel op gemeenten af dat dit erbij inschiet. Ook ontbreekt de expertise binnen veel gemeenten om dit goed op te pakken, vandaar onze handreiking. Wat het lastig maakt, is dat de voordelen van goed gegevensmanagement pas echt duidelijk worden bij een incident, zoals een datalek. Dat zorgde in mijn gemeente voor extra bewustwording.”
Invuloefening
Rekoert is bezig om het gegevensmanagement in zijn gemeente in te richten. Dat kan op verschillende manieren. Edam-Volendam koos voor het in kaart brengen van gegevens op systeemniveau. “We hebben eerst, aan de hand van de Softwarecatalogus, gekeken welke hoofdsystemen we gebruiken. Dat zijn er zo’n dertig.” Nu gaat de gemeente beginnen met dataclassificatie: welke persoonsgegevens houdt men in welke systemen bij? Het gaat daarbij om persoonsgegevens zoals naam-adres-woonplaats, BSN, gevoelige gegevens en ook kentekens en alle andere gegevens die te herleiden zijn tot een persoon. Daarbij wordt onder meer in kaart gebracht hoeveel gebruikers een systeem heeft en wie er bij de gegevens kunnen. “Eigenlijk is het één grote invuloefening, die ik samen met de functioneel beheerders doe.” Het is een taak die elk jaar terugkomt, want het overzicht moet actueel gehouden worden. Rekoert koppelt de vragen die moeten worden beantwoord voor de Europese privacy verordening AVG aan het dataclassificatieproject. “In een grote gemeente doet de chief information security officer waarschijnlijk de dataclassificatie en de functionaris gegevensbescherming de registratie voor de AVG. Dit is een kleine gemeente, dus ik doe beide.”
Inzagerecht
De invoering van de privacyverordening AVG (in mei 2018) en ENSIA (in juli 2017) zetten gegevensmanagement op de kaart, zegt Rekoert. ENSIA (Eenduidige Normatiek Single Information Audit) is een nieuwe verantwoordingsmethodiek voor informatieveiligheid. Deze zelfevaluatie geeft gemeenten overzicht over de stand van zaken van informatieveiligheid en bundelt onder meer de audits voor DigiD en Suwinet. Elke gemeente benoemt een ENSIA-coördinator, die binnen de gemeente met alle betrokken interne partijen de ENSIA-vragenlijsten invult. Rekoert is de ENSIA-coördinator voor Edam-Volendam. “Als je je gegevensmanagement op orde hebt, dan is het gemakkelijker om verantwoording over informatieveiligheid af te leggen. ENSIA stimuleert gemeenten daarom om hun gegevensmanagement op orde te krijgen.” Voor de AVG geldt dat ook. Gegevensmanagement is geen verplichting in de nieuwe verordening, maar organisaties moeten volgens de verordening wel weten wat ze aan gegevens in huis hebben. Burgers krijgen bijvoorbeeld inzagerecht. Rekoert: “Mensen kunnen ons straks gaan vragen welke gegevens we van ze bewaren en met welke partijen we die gegevens delen. Dat moet je dan wel in beeld hebben.”
De gegevenshuishouding is in elke gemeente anders, er is dus geen kant-en-klare invulling van gegevensmanagement, zegt Rekoert. “Bij de uitrol van de basisregistraties zie je wel dat er aan gegevensmanagement wordt gedaan, en bij registraties die een wettelijke basis en audits hebben wordt het ook bijgehouden. Maar dat geldt niet voor alle gegevens die gemeenten gebruiken. Ik zie nog te vaak dat er bijvoorbeeld allerlei Excelbestanden worden gebruikt, waardoor het onduidelijk is waar wat staat. Als die bestanden niet kloppen, dan komt het bijvoorbeeld voor dat een gemeente brieven naar overleden mensen stuurt. Dat soort pijnlijke voorvallen kun je voorkomen als je gegevensmanagement op orde is, want dan kun je er op sturen dat medewerkers de juiste gegevens gebruiken.” Informatie is de grondstof van de overheid, wordt vaak gesteld. “Met gegevens maak je informatie. Als die niet op orde zijn, dan klopt je informatie ook niet.”
Meer informatie
De handreikingen voor gegevensmanagement zijn te vinden op website van GEMMAonline. Informatie over de implementatie van ENSIA is te vinden op de website van KING.
