Privacybeleid

ACHTERGROND

Bestuurders en professionals in het publieke domein hebben in toenemende mate te maken met complexe maatschappelijke vraagstukken. Vraagstukken die samenhangen met onder andere burgerschap, inclusie, polarisatie en sociale maatschappelijke spanningen. 

EB&i biedt inzicht in de aard en omvang van deze vraagstukken. Hiermee kunnen organisaties hun informatiepositie versterken, grip krijgen op de afzonderlijke vraagstukken en hiervoor effectief beleid ontwikkelen. 

Samen met haar opdrachtgevers en partners zet EB&i zich in voor het vergroten van de sociale veiligheid en het beschermen van de rechtsstaat. Het werkgebied van EB&i omvat voornamelijk het publieke domein met opdrachtgevers als ministeries, gemeenten, rechtbanken, onderwijsinstellingen en universiteiten.   

OPDRACHTGEVERS 

EB&i werkt voor verschillende opdrachtgevers in verschillende domeinen. Derhalve dient EB&i zich te houden aan de specifieke wet- en regelgeving die geldt per opdrachtgever.  

Omdat EB&i uiteenlopende producten en diensten levert, vraagt dit een hoge mate van compartimentering en beveiliging van informatie. Daarnaast dient ook het gedrag van medewerkers en de organisatiecultuur aan te sluiten bij deze mate van informatiebeveiliging. Hierbij heeft het scheiden van informatiestromen en bronnen de hoogste prioriteit. 

In eerste aanleg wordt EB&i gecontroleerd door haar opdrachtgevers en is dit een vast onderdeel voorafgaand aan het aannemen van een opdracht. 

Daarnaast heeft EB&i waarborgen ingebouwd om aan de doelstellingen te kunnen voldoen van de eigen informatiebeveiliging en haar privacybeleid. Zo is dit beleid ‘by design’ op zodanige wijze ingericht dat medewerkers alleen autorisatie en toegang hebben tot onderzoeken waar zijzelf direct een opdracht voor hebben. Daarbij is er een strikte scheiding in rollen aangebracht.

DOELSTELLINGEN VAN INFORMATIEBEVEILIGING EN PRIVACYBELEID 

Een belangrijk doel van informatiebeveiliging is het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van informatie voor EB&i. Hieronder zijn de doelstellingen van de informatiebeveiliging en het privacybeleid van EB&i geformuleerd:  

  • Voldoen aan wet- en regelgeving; 
  • Het waarborgen van de privacy van betrokkenen, waaronder ook de opdrachtgevers en de personen die onderdeel uitmaken van de werkzaamheden en diverse onderzoeken; 
  • Periodiek verantwoording afleggen over het gevoerde informatiebeveiligings- en privacybeleid; 
  • Transparantie (kunnen) aantonen ten aanzien van de informatiebeveiliging naar diverse belanghebbenden; 
  • Zorgdragen voor risicobewust handelen van medewerkers. 

Los van deze doelstellingen is het naleven van de privacyregels van belang voor: 

  • de bescherming van de continuïteit van de bedrijfsvoering binnen EB&i; 
  • de bescherming van middelen en kapitaal; 
  • het voorkomen en beheersbaar maken van calamiteiten; 
  • het beschermen van het imago van EB&i. 

Het informatiebeveiligings- en privacybeleid is gebaseerd op dan wel een afgeleide van de eisen die de opdrachtgevers stellen aan de beveiliging en privacy van informatie door EB&i. Bij het opstellen van het beleid is rekening gehouden met de eisen vanuit de Code voor Informatiebeveiliging (NEN-ISO/IEC 27001), de Algemene verordening gegevensbescherming (AVG) en NEN 7510 (2017). Ook wordt gekeken naar ‘best practise’-voorbeelden van andere organisaties. 

TOEZICHT EN CONTROLE 

EB&i hecht grote waarde aan onafhankelijke controle op de uitvoering van haar bedrijfsvoering en werkzaamheden. In dat kader heeft de directie gekozen om het toezicht van alle controlemechanismen bij onafhankelijke, externe deskundige partijen te beleggen. Hiermee beoogt EB&i ook een organisatiecultuur te creëren waarbij verantwoording afleggen onderdeel is van het dagelijkse werk. 

FUNCTIONARIS GEGEVENSBESCHERMING (FG) 

EB&i laat een externe onafhankelijke Functionaris Gegevensbescherming (van DPO Consultancy) toezicht houden op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). Hiertoe houdt de Functionaris Gegevensbescherming een register van verwerking bij, ziet toe op de uitvoering van zogenaamde data protection impact assessments (DPIA’s), fungeert als (eerste) aanspreekpunt en sparringpartner voor de Autoriteit Persoonsgegevens (AP) en handelt de mogelijke datalekken af. Daarnaast geeft de Functionaris Gegevensbescherming (gevraagd en ongevraagd) advies aan de directie. Dit alles doet hij/zij vanuit een onafhankelijke positie. 

GESPECIALISEERDE PRIVACY ADVOVCATEN 

EB&i levert producten en diensten met een grote mate van complexiteit in een politiek-bestuurlijke omgeving. Om de risico’s op (onbedoelde) privacyschending en aansprakelijkheid te mitigeren, is EB&i gebaat bij het organiseren van tegenspraak. 

In dat kader laat EB&i haar producten toetsen door een gespecialiseerd advocatenkantoor met een internationaal trackrecord. In het verleden hebben deze toetsingen bijgedragen aan het compliant houden van de producten en diensten aan de geldende regels en aan het verbeteren en verscherpen van het EB&i-informatiebeveiligings- en privacybeleid. De laatste toetsing heeft in het voorjaar van 2021 plaatsgevonden. Bij deze toetsing is gekeken of de werkwijze van EB&i in relatie tot bijvoorbeeld het verrichten van krachtenveldanalyses nog past binnen de kaders van de AVG. Uit deze toetsing is een aaEB&il aandachtspunten naar voren gekomen en deze aandachtspunten zijn weer door de FG getoetst. Hierna zijn deze aandachtspunten conform de ISO 7002-normering vertaald in eventuele risico’s en vervolgens in maatregelen om deze risico’s te mitigeren. 

FUNCTIONARIS INFORMATIEBEVEILIGING (FI) 

De Functionaris Informatiebeveiliging is een vanuit de directie gedelegeerde verantwoordelijke ten aanzien van het opstellen van, het communiceren over en het toezien op de naleving van het informatiebeveiligings- en privacybeleid. In die hoedanigheid initieert de Functionaris Informatiebeveiliging activiteiten binnen de lijnorganisatie ten aanzien van de uitvoering en naleving van de getroffen maatregelen. Ook initieert de Functionaris Informatiebeveiliging het bewaken van de actualiteit van het beleid, de richtlijnen en de maatregelen. Daarnaast kan de Functionaris Informatiebeveiliging de directie gevraagd en ongevraagd adviseren over de stand en inrichting van de informatiebeveiliging en het privacybeleid.  

De Functionaris Informatiebeveiliging is medeverantwoordelijk voor de controle op de algehele en organisatiebrede naleving van het informatiebeveiligings- en privacybeleid en de daarvan afgeleide instructies. De Functionaris Informatiebeveiliging rapporteert de bevindingen hierover aan de directie. Vanuit deze verantwoordelijkheid kan de Functionaris Informatiebeveiliging zelfstandig controles initiëren of uitvoeren om de naleving van het beleid te garanderen. De Functionaris Informatiebeveiliging spreekt ook de directie aan op haar rol in de PDCA-cyclus (waaronder behandelen kwartaalrapportages, beoordelen managementsysteem, sturen op bewustwording van medewerkers).  

Daarnaast zorgt de Functionaris Informatiebeveiliging dat geschikte samenhangende procedures voor de classificering en verwerking van informatie zijn vastgesteld en worden nageleefd. Dit betekent dat de Functionaris Informatiebeveiliging bijvoorbeeld toeziet op een adequaat functioneren van het autorisatiebeleid.  

Privacy Statement

Heeft u nog vragen omtrent ons privacybeleid neem dan even contact met ons op zodat wij u van passende antwoorden kunnen voorzien.

Scroll naar boven