Informatiebeveiliging en privacy

De gemeente Rotterdam verwerkt veel gegevens van burgers en bedrijven en vindt het belangrijk om op een juiste manier met deze gegevens om te gaan. Daarom wordt er al jaren ingezet op de juiste beveiliging van deze gegevens.
Op 25 mei 2016 is de Algemene verordening gegevensbescherming (AVG) van kracht geworden. Dit is de Europese wetgeving die gaat over gegevensbescherming en privacy. Aan deze Wet moet binnen twee jaar, dus vóór eind mei 2018, worden voldaan. Overheden krijgen twee jaar de tijd om veranderingen door te voeren, omdat deze nieuwe wet wijzigingen en aanscherpingen kent ten opzichte van de Wet bescherming persoonsgegevens (Wbp) die al van kracht was.

Uitgelicht, twee belangrijke ontwikkelingen op het gebied van privacy en security:
1. In 2016 is gestart met het in kaart brengen van wat er op het gebied van gegevensbescherming en –beveiliging moet worden aangepast om te voldoen aan de AVG. Op basis daarvan zullen in 2016, 2017 en begin 2018 de benodigde werkzaamheden en aanpassingen worden uitgevoerd.
2. Daarnaast heeft de gemeente Rotterdam in april 2016 een Functionaris gegevensbescherming aangewezen. Dit is een onafhankelijk toezichthouder en aanspreekpunt binnen de gemeente, die toeziet op naleving van de Wbp en AVG en indien er persoonsgegevens zijn gelekt, er voor zorgt dat het lek zo snel mogelijk wordt gedicht en betrokkenen worden geïnformeerd.

In de achterliggende periode hebben publicaties in de media over onze e-mailomgeving en over de website geleid tot extra aandacht voor informatiebeveiliging. Maatregelen worden uitgevoerd of er is gepland om aanvullende beveiligingsprotocollen en (organisatorische) maatregelen op te stellen en in te voeren. Uitgangspunt is een voldoende beveiliging, maar doen ook een beroep op de eigen verantwoordelijkheid van medewerkers. De berichtgeving aan medewerkers geeft informatie over hoe medewerkers moeten omgaan met mobile devices (instellen en gebruik van beveiligingscodes en bijvoorbeeld synchronisatie-instellingen), maar ook hoe met persoonsgegevens in brede zin moet worden omgegaan (bijvoorbeeld het niet rondmailen BSN-gegevens en andere gevoelige informatie). Wij zullen het protocol datalekken actualiseren op basis van de laatste inzichten. Ook zal er in per geval (of incident) worden gekeken in hoeverre er sprake is van nalatigheid van onze medewerkers.

In de periode 1 april tot en met 31 augustus 2016 zijn door Rotterdam 14 datalekken gemeld bij de Autoriteit Persoonsgegevens. Het betreft:

  1. 15 april: Per abuis zijn bijzondere persoonsgegevens van ex-echtgenote naar burger verstuurd (Cluster Maatschappelijke Ontwikkeling);
  2. 28 april: Hergebruik accounts, waardoor mogelijk persoonsgegevens van 289 personen in te zien zijn geweest door onbevoegden (Cluster Werk en Inkomen);
  3. 20 mei: Dossier huisbezoek met bijzondere persoonsgegevens van 5 burgers verloren in de tram (Cluster Werk en Inkomen);
  4. 26 mei: Tas met administratie van maximaal 24 personen in de tram vergeten (Cluster Werk en Inkomen);
  5. 30 mei: Verlies van smartphone met bijzondere persoonsgegevens van maximaal 15 personen (Cluster Werk en Inkomen);
  6. 6 juni: Persoonsgegevens van maximaal 110.000 burgers zijn per abuis naar de verkeerde afdeling binnen de gemeente (Cluster Werk en Inkomen) gestuurd – Het lek is ontstaan bij de bewerker voor de gemeente, Stichting Inlichtingenbureau (ondersteunt overheidsorganisaties bij het vaststellen van recht op bijstand, kwijtschelding van heffingen e.d.); het lek is zowel door de Stichting als de gemeente bij de AP gemeld. Reden hiervoor is dat de gemeente Rotterdam als verantwoordelijke voor deze persoonsgegevens volgens de richtlijnen van de AP ook zelf moet melden.
  7. 8 juni: Fiets gestolen met twee schriften in de fietstas met persoonsgegevens van 15 Rotterdamse burgers en 16 personen uit regiogemeenten (Cluster Werk en Inkomen);
  8. 17 juni: Een e-mail met bijzondere persoonsgegeven van 1 burger is naar de verkeerde organisatie gestuurd (Cluster Maatschappelijke Ontwikkeling).
  9. 19 juli: Verlies van een smartphone met daarop persoonsgegevens van 25 personen (Cluster Bestuurs- en Concernondersteuning).
  10. 22 juli: Verlies van een smartphone met daarop persoonsgegevens van 3 personen (Cluster Maatschappelijke Ontwikkeling).
  11. 24 juli: Verlies van een smartphone met daarop persoonsgegevens 1 persoon (Cluster Bestuurs- en Concernondersteuning).
  12. 29 juli: Verlies van een smartphone met daarop persoonsgegevens van minimaal 30 personen (Cluster Maatschappelijke ontwikkeling).
  13. 19 augustus: Verlies van een smartphone met daarop persoonsgegevens van 146 personen (Cluster Bestuurs- en Concernondersteuning).
  14. 25 augustus: Gestolen smartphone met daarop persoonsgegevens van 2248 personen (Cluster Werk en Inkomen).