Downloads

Geupdate versie 6 februari 2023 –

De Wet open overheid komt eraan, dat kan niemand ontgaan zijn. Vele organisaties treffen voorbereidingen voor de implementatie van deze nieuwe wet. Om te voldoen aan de verplichting tot openbaarmaking uit de Wet open overheid moeten organisaties proces voor proces, document voor document gaan inventariseren op welke documenten deze plicht betrekking heeft. Dit is met recht een monnikenwerk te noemen.

Organisaties die beschikken over het Model DSP kunnen we het werk van deze uitgebreide inventarisatie besparen: onze redactie heeft zelf deze inventarisatie uitgevoerd en de uitkomsten hiervan toegevoegd in vorm van additionele metadata. Zo is inzichtelijk gemaakt hoe  de verplichting tot actieve openbaarmaking uit de Woo er op documenttype-niveau uit zal gaan zien.

Hoe we dit hebben aangepakt en welke keuzes we hierin hebben gemaakt hebben we vastgelegd in een Whitepaper ‘De Wet open overheid en het Model-DSP’.

Deze whitepaper wordt regelmatig geactualiseerd. De laatste versie is van 6 februari 2023 (versie 1.5). In het document zijn met blauw de wijzigingen t.o.v. de vorige versie gemarkeerd.

Geupdate versie 22-3-2022 – In 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing in de hele Europese Unie. Met de inwerkingtreding van de AVG hebben organisaties een verantwoordingsplicht. Dit houdt in dat organisaties moeten kunnen aantonen dat ze voldoen aan de gestelde eisen met betrekking tot het verwerken van persoonsgegevens. Een organisatie kan aantonen dat ze hieraan voldoet door documentatie bij te houden die kan dienen als bewijslast voor de juistheid van de verwerkingen. Een belangrijk onderdeel van deze documentatie is het verwerkingsregister.

Het verwerkingsregister richt zich daarbij specifiek op alle persoonsgegevens die een organisatie registreert, raadpleegt en bewaart. Hiervoor geldt dat gelijkwaardige organisaties ongeveer dezelfde persoonsgegevens verwerken. De redactie van VIND-IM heeft daarom het besluit genomen om ook het verwerkingsregister op te nemen in het Model-DSP. Er is immers al een overzicht van alle informatie in de organisatie. Het enige dat voor het verwerkingsregister nodig was, waren een aantal nieuwe velden en een inventarisatie die zich specifiek richt op persoonsgegevens. Deze zijn zo ingevuld dat wanneer het vanuit de aard van het proces nodig is persoonsgegevens te verwerken, dit is opgenomen.

Daarnaast geldt sinds 2019 met de gewijzigde Wet politiegegevens (Wpg) dat organisaties met Buitengewone Opsporingsambtenaren (BOA) in dienst, verplicht zijn om een verwerkingsregister voor politiegegevens te hebben. Ook dit is nu opgenomen in de modelcontent. Met de nieuwe modelcontent is het verplichte verwerkingsregister al grotendeels gevuld en hebben organisaties een startpunt van waaruit zij hun eigen verwerkingsregister compleet kunnen maken.

Dit whitepaper legt uit hoe de modelcontent tot stand is gekomen en welke keuzes en uitgangspunten hieraan ten grondslag liggen.

Informatieveiligheid en bescherming van persoonsgegevens zijn belangrijke aspecten van informatiemanagement binnen gemeenten en andere (semi-)overheidsinstellingen. Om organisaties te helpen grip te krijgen op deze materie is vanuit een overheidsbreed initiatief de Baseline Informatiebeveiliging Overheid (BIO) ontwikkeld. De BIO bevat ongeveer 250 eisen waaraan een overheidsinstelling zou moeten voldoen om met recht te mogen claimen dat de informatieveiligheid op orde is. Daarnaast geldt voor alle organisaties de Algemene Verordening Gegevensbescherming (AVG) die regelt hoe moet worden omgegaan met persoonsgegevens. Zowel de BIO als de AVG schrijven voor dat een organisatie risicoanalyses uitvoert met betrekking tot informatieveiligheid (de BIA’s) en privacy (de PIA’s). In de model-DSP’s voor gemeenten, waterschappen en het onderwijs zijn voor alle processen en registraties die deel uitmaken van deze modellen deze risicoanalyses reeds uitgevoerd. De resultaten hiervan zijn terug te vinden in de i-Navigator (versie 3.2 en hoger). In deze whitepaper wordt toegelicht hoe de redactie dit heeft aangepakt en er wordt een verantwoording gegeven voor de hierbij gemaakte keuzes.

Het informatieveiligheidsvraagstuk is een complex vraagstuk waarvoor geen eenvoudige oplossingen bestaan. De bedreigingen kunnen immers van alle kanten komen. U kunt te maken krijgen met cybercriminaliteit in de vorm van digitale inbraak (hacken), digitaal belletje trekken (DDOS aanvallen) en digitale gijzeling (ransomware) om maar een paar voorbeelden te noemen. De crimineel of terrorist kan u ook op meer traditionele wijze veel schade berokkenen door zich toegang te verschaffen tot uw serverruimtes of andere locaties waar informatie wordt beheerd. En niet alleen de crimineel vormt een bedreiging. ‘Onhandige’ handelingen van goedbedoelende medewerkers kunnen ook tot grote schade leiden. De meeste gerapporteerde datalekken zijn ‘ongelukjes’. En hebt u nog nooit per ongeluk op het ‘delete’ knopje gedrukt en daarmee een dag werk verloren? Een andere bron van bedreigingen valt het beste samen te vatten onder het kopje ‘toeval’. Apparatuur die kapot gaat of niet blijkt te werken zoals gedacht, grotere of kleinere natuurrampen, etc. De veelheid aan bedreigingen vraagt om een veelheid aan oplossingen. Goede anti-malware software is een oplossing, maar niet DE oplossing. Goede toegangsbeveiliging is een deel van de oplossing maar niet DE oplossing. i-Bewustzijn – kennis van de medewerkers van de gevaren van onjuiste omgang met informatie – is wel belangrijk maar niet DE oplossing. DE oplossing is een combinatie van dit alles. Om u te helpen in dit complexe vraagstuk de juiste mix van maatregelen te selecteren zijn normenkaders ontwikkeld voor informatieveiligheid en privacy. Voor de doelgroepen van de verschillende model-DSP’s zijn dit o.a. de BIG en ENSIA (gemeenten), de BIHO (hoger onderwijs), de BIWA (waterschappen), de BIR (rijksoverheid) en de Privacy Baseline. In deze whitepaper lichten we toe hoe het model-DSP kan helpen bij het implementeren van deze normenkaders.

Duurzame digitale opslag is duur. Deze stelling klinkt misschien wat vreemd in de oren, omdat we tegenwoordig gewend zijn aan de vele diensten in de cloud die gratis opslag bieden van tientallen gigabytes zoals Google Drive, One Drive of Dropbox. De externe harde schijven op de markt hebben ook een steeds grotere opslagcapaciteit terwijl de prijs steeds iets afneemt. Een blik op het aanbod van een willekeurige elektronicawinkel laat zien dat 1 terabyte aan opslagruimte al te krijgen is voor minder dan 50 euro. Dat zijn al gauw 400.000 foto’s, of een bibliotheek van een middelgrote stad. Toch zijn deze prijzen geen reële graadmeters voor de daadwerkelijke kosten die verschillende bedrijven per jaar moeten vrij maken voor de opslag van hun digitale archieven. In 2009 werden de kosten die de Koninklijke bibliotheek per terabyte per jaar maakt tot en met 2013 geraamd op bijna 20.000 euro; in totaal 6 miljoen euro voor de 300 terabyte aan archieven die zij beheert.2 In 2012 sprak Stephen Abrams tijdens het congres “ Screening the Future” over 16.000 dollar per TB/jaar als een redelijke raming.3 Het Databerg Report 2015, uitgevoerd door Varson Bourne, doet daar nog een schep bovenop en waarschuwt dat tegen 2020 de jaarlijkse kosten voor het totale beheer van digitale data per organisatie kan oplopen tot 591.000 euro.4 Een Terabyte opslaan in de e-depotoplossing die landelijk beschikbaar wordt gesteld gaat rond de 1.800 euro per jaar kosten.5 Het verschil met de prijs voor de externe harde schijf in de winkel is enorm. Waarom zijn de kosten voor de genoemde bedrijven zoveel hoger dan de aanschafwaarde van een harde schijf of een cloudoplossing? In de whitepaper: Wat kost duurzame digitale opslag leest u het antwoord op deze vraag. Livonne Rommers, (voormalig adviseur bij VHIC) heeft een onderzoek gedaan naar de kosten van e-depots. In dit onderzoek schetst zij waar de uitdaging zit in duurzame digitale opslag en wat de kostenposten zijn volgens verschillende kostenmodellen.