<officiele-publicatie xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:noNamespaceSchemaLocation="http://technische-documentatie.oep.overheid.nl/schema/op-xsd-2012-3"><metadata><meta name="OVERHEIDop.externMetadataRecord" content="https://zoek.officielebekendmakingen.nl/gmb-2026-239525/metadata.xml" scheme="" /></metadata><kop><titel>GEMEENTEBLAD</titel><subtitel>Officiële uitgave van de gemeente Scherpenzeel</subtitel></kop><gemeenteblad><kop><titel>Strategisch informatiebeveiligings- en privacybeleid</titel></kop><regeling><aanhef><preambule><al /></preambule></aanhef><regeling-tekst><hoofdstuk><kop><label /><nr>1.</nr><titel>Inleiding</titel></kop><artikel><kop><label /></kop><al>Deze beleidsnota beschrijft het strategisch informatiebeveiligings- en privacybeleid (IB&amp;P beleid). Het vervangt het in 2021 vastgestelde ‘Strategisch gemeentebreed Informatiebeveiligingsbeleid 2021’ en de in 2018 vastgestelde ‘Beleidsregels Privacy gemeente Scherpenzeel 2018’.</al><al /></artikel><paragraaf><kop><label /><nr>1.1</nr><titel>Doel </titel></kop><structuurtekst><al>Het IB&amp;P-beleid zorgt voor transparantie en vertrouwen en intern geeft het richting voor verdere invulling op tactisch en operationeel niveau. Het geeft ook invulling aan onze (wettelijke) verplichting voor een gegevensbeschermingsbeleid<noot><noot.nr>1</noot.nr><noot.al>Artikel 24.2 AVG en 4a Wpg</noot.al></noot> en een informatiebeveiligingsbeleid<noot><noot.nr>2</noot.nr><noot.al>Norm 5 Baseline informatiebeveiliging Overheid (BIO)</noot.al></noot>. </al><al /><al>Het IB&amp;P-beleid ondersteunt in het realiseren van de organisatiedoelen en is uitgangspunt voor:</al><lijst><li><li.nr>•</li.nr><al>het passend beheersen van IB&amp;P-risico’s voor betrokkenen en de organisatie.</al></li><li><li.nr>•</li.nr><al>het verhogen van de (digitale) weerbaarheid.</al></li><li><li.nr>•</li.nr><al>het voldoen aan normen en wet- en regelgeving (zie 1.4 en 1.5).</al></li></lijst><al>Dit beleid wordt jaarlijks geëvalueerd en indien nodig geactualiseerd. </al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>1.2</nr><titel>Opbouw</titel></kop><structuurtekst><al>Het strategisch IB&amp;P-beleid vormt een onlosmakelijk geheel met de kaders op tactisch en operationeel niveau. De opbouw bestaat uit:</al><lijst><li><li.nr>A.</li.nr><al>Strategisch niveau: dit IB&amp;P-beleid.</al></li><li><li.nr>B.</li.nr><al>Tactisch niveau: specifieke beleidskaders en normen.</al></li><li><li.nr>C.</li.nr><al>Operationeel niveau:</al><lijst><li><li.nr>•</li.nr><al>plannen met verbeteringen en maatregelen.</al></li><li><li.nr>•</li.nr><al>werkinstructies, procedures en standaarden.</al></li></lijst></li></lijst></structuurtekst></paragraaf><paragraaf><kop><label /><nr>1.3</nr><titel>Scope</titel></kop><structuurtekst><al>De scope van het strategische IB&amp;P-beleid is: </al><lijst><li><li.nr>•</li.nr><al>De gemeenteraad, het college van burgemeester en wethouders (hierna college), burgemeester en alle medewerkers (intern, extern, vast en tijdelijk), inwoners, gasten, bezoekers en externe relaties. </al></li><li><li.nr>•</li.nr><al>Alle taken en processen binnen de gemeente.</al></li><li><li.nr>•</li.nr><al>Systemen die worden gebruikt binnen de gemeente. Hieronder vallen ook de Proces Automatiseringssystemen (PA) die van de gemeente zijn en worden gebruikt binnen de gemeentelijke gebouwen en in de publieke ruimte, zoals gebouwbeheersingssystemen, cameratechnologie, pompen en gemalen.</al></li><li><li.nr>•</li.nr><al>Locaties, ruimten en apparatuur die worden gebruikt waar(op) (persoons)gegevens worden verwerkt.</al></li><li><li.nr>•</li.nr><al>Opdrachten, contracten of samenwerkingen met (keten)partners. </al></li></lijst></structuurtekst></paragraaf><paragraaf><kop><label /><nr>1.4</nr><titel>Wat is informatiebeveiliging?</titel></kop><structuurtekst><al>Informatiebeveiliging is het treffen en onderhouden van maatregelen om de benodigde beschikbaarheid, integriteit en vertrouwelijkheid van gegevens te garanderen.</al><lijst><li><li.nr>•</li.nr><al>Beschikbaarheid: het garanderen van de benodigde beschikbaarheid van processen of gegevens (in een systeem).</al></li><li><li.nr>•</li.nr><al>Integriteit: de mate waarin gegevens juist, volledig en actueel moeten zijn.</al></li><li><li.nr>•</li.nr><al>Vertrouwelijkheid: de mate waarin gegevens beschermd moeten worden tegen kennisname en mutatie door onbevoegden. </al></li></lijst><al><nadruk type="ondlijn">Kaders</nadruk></al><al>Binnen de overheid is afgesproken om aan de Baseline Informatiebeveiliging Overheid (BIO)<noot><noot.nr>3</noot.nr><noot.al><extref doc="https://www.informatiebeveiligingsdienst.nl/product/baseline-informatiebeveiliging-overheid-bio/"><nadruk type="ondlijn">Baseline Informatiebeveiliging Overheid</nadruk></extref></noot.al></noot> te voldoen. De BIO is gebaseerd op de ISO 27001 en 27002. De ISO27001 is een norm voor managementsystemen voor informatiebeveiliging. De ISO27002 is een richtlijn met informatiebeveiligingsmaatregelen als verdieping op de ISO27001. </al><al /><al>De Network and Information Security Directive (NIS2-richtlijn) is bedoeld om de informatiebeveiliging en weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren. Het is een Europese richtlijn die wordt omgezet naar Nederlandse wetgeving. Deze Cyberbeveiligingswet treedt waarschijnlijk in 2025 in werking. Organisaties die aan deze wet moeten voldoen (essentiële diensten, waaronder overheden) hebben straks een registratieplicht, meldplicht en zorgplicht. Een onafhankelijke toezichthouder gaat toezicht houden op naleving van de NIS2-richtlijn.</al><al /><al>De BIO wordt herzien naar BIO 2.0. Hierin wordt de Cyberbeveiligingswet verwerkt. </al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>1.5</nr><titel>Wat is privacy?</titel></kop><structuurtekst><al>Iedereen heeft ‘recht op de eerbiediging van de persoonlijke levenssfeer’. Dit is een grondrecht<noot><noot.nr>4</noot.nr><noot.al>Artikel 10 grondwet</noot.al></noot>. Hieronder valt het huis, briefwisseling, communicatie, innerlijke leven, lichamelijke integriteit, niet te worden bespied of afgeluisterd en het recht op een zorgvuldige behandeling van persoonsgegevens. </al><al /><al><nadruk type="ondlijn">Kaders</nadruk></al><al>Een zorgvuldige behandeling van persoonsgegevens is uitgewerkt in de Algemene Verordening Gegevensbescherming (AVG). Dit is Europese wetgeving. In Nederland staan aanvullende voorwaarden in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). </al><al /><al>Het college van B&amp;W heeft buitengewoon opsporingsambtenaren (boa’s) in dienst. De boa’s hebben zowel toezichts- als opsporingstaken. Binnen de <nadruk type="ondlijn">toezichtstaken</nadruk> worden persoonsgegevens verwerkt, waarop de AVG van toepassing is. Binnen de <nadruk type="ondlijn">opsporingstaken</nadruk> worden politiegegevens verwerkt. Dit zijn persoonsgegevens die nodig zijn voor voorkoming en opsporing van strafbare feiten. Waar in dit beleid ‘persoonsgegevens’ staat, worden ook politiegegevens bedoeld.</al><al /><al>Op politiegegevens is de Europese Richtlijn gegevensbescherming politie &amp; justitie van toepassing. Deze richtlijn is in Nederland voor boa-organisaties onder meer geïmplementeerd in de volgende wetgeving:</al><lijst><li><li.nr>•</li.nr><al>Wet politiegegevens (Wpg)</al></li><li><li.nr>•</li.nr><al>Besluit politiegegevens (Bpg)</al></li><li><li.nr>•</li.nr><al>Besluit politiegegevens buitengewoon opsporingsambtenaar (Bpgboa)</al></li><li><li.nr>•</li.nr><al>Beleidsregel Buitengewoon opsporingsambtenaar</al></li><li><li.nr>•</li.nr><al>Regeling periodieke audit politiegegevens</al></li></lijst></structuurtekst></paragraaf></hoofdstuk><hoofdstuk><kop><label /><nr>2.</nr><titel>IB&amp;P risico’s</titel></kop><artikel><kop><label /></kop><al>Met de steeds geavanceerdere technologieën zoals kunstmatige intelligentie en de toename van cyberaanvallen, is het passend beheersen van de IB&amp;P-risico’s voor inwoners, medewerkers, ondernemers, andere belanghebbenden en de organisatie van cruciaal belang. </al><al /></artikel><paragraaf><kop><label /><nr>2.1</nr><titel>Risico’s voor betrokkenen</titel></kop><structuurtekst><al>Het onzorgvuldig omgaan met gegevens en systemen kan enorme gevolgen hebben voor betrokkenen. Denk aan een inbreuk op het grondrecht privacy of slachtoffer worden van digitale criminaliteit. Dit kan de volgende gevolgen hebben: </al><lijst><li><li.nr>•</li.nr><al>Reputatieschade: Het imago van zowel individuen als de gemeente kan worden aangetast. </al></li><li><li.nr>•</li.nr><al>Financiële schade: Door bijvoorbeeld afpersing, identiteitsfraude of boetes. </al></li><li><li.nr>•</li.nr><al>Emotionele schade: Angst, stress en het gevoel van controleverlies. </al></li><li><li.nr>•</li.nr><al>Gevoel van constante surveillance: Bij onrechtmatige tracking of monitoring. </al></li><li><li.nr>•</li.nr><al>Uitsluiting en discriminatie: Bijvoorbeeld door algoritmische vooroordelen. </al></li><li><li.nr>•</li.nr><al>Onjuiste besluitvorming: Als gevolg van foutieve of onvolledig verwerkte data. </al></li></lijst><al>Het niet beschikbaar zijn van systemen, dienstverlening en/of bedrijfsvoering kan de organisatie stil leggen. De gevolgen voor (de veiligheid van) inwoners, medewerkers, ondernemers, andere belanghebbenden, kunnen groot zijn en nog veel groter ten tijde van een crisissituatie. </al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>2.2</nr><titel>Risico’s voor de organisatie</titel></kop><structuurtekst><al>Het onvoldoende borgen van informatiebeveiliging en privacy kan leiden tot:</al><lijst><li><li.nr>•</li.nr><al>uitval van systemen, dienstverlening en bedrijfsvoering.</al></li><li><li.nr>•</li.nr><al>incidenten zoals digitale criminaliteit en datalekken. </al></li><li><li.nr>•</li.nr><al>personen kunnen schadevergoeding<noot><noot.nr>5</noot.nr><noot.al>Artikel 82 AVG en 31c Wpg</noot.al></noot> eisen als er schade is omdat de organisatie verwijtbaar in strijd met de privacywetgeving heeft gehandeld.</al></li><li><li.nr>•</li.nr><al>onder verscherpt toezicht worden gesteld door de Autoriteit Persoonsgegevens<noot><noot.nr>6</noot.nr><noot.al>Landelijke toezichthouder persoonsgegevens</noot.al></noot> en sancties opgelegd krijgen. De belangrijkste sancties zijn de boete, de last onder dwangsom, het verwerkingsverbod, de berisping en de waarschuwing.</al></li></lijst><al>De gevolgen kunnen hoge (herstel)kosten, impact op de capaciteit, reputatieschade en verlies van vertrouwen in de organisatie zijn. Het niet beschikbaar zijn van systemen, dienstverlening en/of bedrijfsvoering heeft impact op inwoners, ondernemers, andere belanghebbenden en medewerkers omdat ze hun werk niet of minder goed kunnen doen.</al><al /><al>Het Dreigingsbeeld Informatiebeveiliging Nederlandse Gemeenten<noot><noot.nr>7</noot.nr><noot.al><extref doc="https://www.informatiebeveiligingsdienst.nl/product/dreigingsbeeld-informatiebeveiliging-nederlandse-gemeenten-2023-2024/"><nadruk type="ondlijn">Producten - Informatiebeveiligingsdienst</nadruk></extref></noot.al></noot> onderbouwt de hierboven beschreven risico’s. Het geeft een actueel zicht op incidenten en factoren uit het verleden, aangevuld met een verwachting voor het heden en de nabije toekomst.</al></structuurtekst></paragraaf></hoofdstuk><hoofdstuk><kop><label /><nr>3.</nr><titel>Visie en ambitie</titel></kop><paragraaf><kop><label /><nr>3.1</nr><titel>Visie</titel></kop><structuurtekst><al>De gemeente Scherpenzeel waarborgt niet alleen de continuïteit van haar bedrijfsvoering en dienstverlening maar beheerst de IB&amp;P-risico’s op een passende wijze. Betrokkenen kunnen erop vertrouwen dat de gemeente Scherpenzeel zorgvuldig en veilig met gegevens omgaat.</al><al /><al>Dit betekent dat de Gemeente Scherpenzeel de noodzakelijke maatregelen treft om de risico’s<noot><noot.nr>8</noot.nr><noot.al>Zie hoofdstuk 2</noot.al></noot> te beheersen, dat zij hierop monitort en dat zij waar nodig bijstuurt. Het bestuur en management vervult hierin een voorbeeldfunctie en stelt de benodigde middelen en capaciteit beschikbaar.</al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>3.2</nr><titel>Ambitie</titel></kop><structuurtekst><al>De gemeente Scherpenzeel streeft ernaar om in 2027 volledig in control te zijn op de naleving de IB&amp;P-kaders<noot><noot.nr>9</noot.nr><noot.al>Zie paragraaf 1.4 en 1.5</noot.al></noot>. Dat betekent dat we grote stappen zetten in het zorgvuldig en veilig omgaan met gegevens, zodat onze inwoners, medewerkers, ondernemers en andere belanghebbenden kunnen rekenen op veilige en betrouwbare diensten.</al><al /><al>We zorgen voor het planmatig inrichten en borgen van IB&amp;P-maatregelen. Deze maatregelen zijn onderverdeeld naar vijf pijlers en beschreven in de volgende hoofdstukken:</al><lijst><li><li.nr>1.</li.nr><al>Beleid en organisatie</al></li><li><li.nr>2.</li.nr><al>Kennis en bewustzijn</al></li><li><li.nr>3.</li.nr><al>Privacy-instrumenten</al></li><li><li.nr>4.</li.nr><al>Informatiebeveiliging</al></li><li><li.nr>5.</li.nr><al>Monitoring</al></li></lijst><al>De processen of gegevens (in een systeem) waar de risico’s hoog zijn, krijgen prioriteit. De risico’s zijn in ieder geval hoog als deze processen of gegevens:</al><lijst><li><li.nr>•</li.nr><al>(deels) niet beschikbaar, integer (juist, volledig, actueel), vertrouwelijk zijn (toegankelijk voor onbevoegden) en de gevolgen voor inwoners, ondernemers, de gemeentelijke organisatie en andere belanghebbenden groot kunnen zijn.</al></li><li><li.nr>•</li.nr><al>gevoelige, bijzondere- strafrechtelijke persoonsgegevens of politiegegevens van een grotere groep personen bevatten<noot><noot.nr>10</noot.nr><noot.al>Artikel 9, 10 AVG, artikel 1 Wpg</noot.al></noot>.</al></li></lijst><al>Op basis van de ‘Plan-Do-Check-Act cyclus’ zorgen we dat we blijvend voldoen (in control zijn) aan de IB&amp;P-kaders, door te blijven evalueren en verbeteren. </al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>3.3</nr><titel>IB&amp;P-principes en beginselen</titel></kop><structuurtekst><al>Bestuurders en managers hebben een belangrijke rol bij het borgen van IB&amp;P in de organisatie. Als er iets misgaat op het gebied van IB&amp;P, kan dit gevolgen hebben voor inwoners, ondernemers, de gemeentelijke organisatie en andere belanghebbenden.</al><al /><al>Daarom geven bestuurders en managers richting en sturing aan IB&amp;P volgens onderstaande <nadruk type="vet">principes</nadruk><noot><noot.nr>11</noot.nr><noot.al>We volgen <extref doc="https://vng.nl/files/vng/de-10-bestuurlijke-principes-voor_20190109.pdf"><nadruk type="ondlijn">de-10-bestuurlijke-principes-voor 20190109.pdf (vng.nl)</nadruk></extref> van de VNG, aangevuld met privacy.</noot.al></noot>: </al><lijst><li><li.nr>•</li.nr><al>Bestuurders en managers bevorderen een veilige cultuur.</al></li><li><li.nr>•</li.nr><al>Informatiebeveiliging en privacy is van iedereen.</al></li><li><li.nr>•</li.nr><al>Informatiebeveiliging en privacy is risicomanagement.</al></li><li><li.nr>•</li.nr><al>Risicomanagement is onderdeel van de besluitvorming.</al></li><li><li.nr>•</li.nr><al>Informatiebeveiliging en privacy behoeft ook aandacht in (keten)samenwerking.</al></li><li><li.nr>•</li.nr><al>Informatiebeveiliging en privacy is een proces.</al></li><li><li.nr>•</li.nr><al>Informatiebeveiliging en privacy kosten geld.</al></li><li><li.nr>•</li.nr><al>Verbetering komt voort uit leren en ervaring.</al></li><li><li.nr>•</li.nr><al>Het bestuur controleert en evalueert.</al></li></lijst><al>Daarnaast past elke medewerker de <nadruk type="vet">beginselen</nadruk><noot><noot.nr>12</noot.nr><noot.al>Artikel 5 lid 1 AVG en 3, 4, 4a en b Wpg</noot.al></noot> toe: </al><lijst><li><li.nr>1.</li.nr><al>Wij verwerken persoonsgegevens rechtmatig, behoorlijk en transparant. </al></li><li><li.nr>2.</li.nr><al>Wij verwerken persoonsgegevens binnen een vooraf welbepaald, uitdrukkelijk omschreven en gerechtvaardigd doel. </al></li><li><li.nr>3.</li.nr><al>Wij verwerken persoonsgegevens als ze toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor het vooraf bepaalde doel.</al></li><li><li.nr>4.</li.nr><al>Wij zorgen dat (persoons)gegevens juist zijn op het moment dat we ze gebruiken.</al></li><li><li.nr>5.</li.nr><al>Wij verwijderen (persoons)gegevens zodra ze niet meer nodig zijn. </al></li><li><li.nr>6.</li.nr><al>Wij treffen passende maatregelen om (persoons)gegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. </al></li></lijst></structuurtekst></paragraaf></hoofdstuk><hoofdstuk><kop><label /><nr>4.</nr><titel>Beleid en organisatie</titel></kop><paragraaf><kop><label /><nr>4.1</nr><titel>Beleid</titel></kop><structuurtekst><al>Beleidsdocumenten zorgen voor transparantie en vertrouwen richting betrokkenen en het geeft de organisatie richting om IB&amp;P op een juiste manier toe te passen. </al><al /><al>Naast dit strategische IB&amp;P-beleid zorgen we voor:</al><lijst><li><li.nr>•</li.nr><al>vastgestelde specifieke beleidsdocumenten en kaders.</al></li><li><li.nr>•</li.nr><al>heldere richtlijnen, werkinstructies, procedures en standaarden op operationeel niveau.</al></li><li><li.nr>•</li.nr><al>een vastgesteld IB&amp;P jaarplan op basis waarvan we risico gebaseerd maatregelen implementeren en continueren. </al></li><li><li.nr>•</li.nr><al>het periodiek evalueren en indien nodig actualiseren van deze documenten.</al></li></lijst></structuurtekst></paragraaf><paragraaf><kop><label /><nr>4.2</nr><titel>Organisatie</titel></kop><structuurtekst><al>De kaders zijn complex en veranderen voortdurend en de risico’s zijn hoog. Om de organisatie te adviseren en ondersteunen bij het implementeren van de kaders en het in control blijven, zijn voldoende en kundige medewerkers nodig. Ook is betrokkenheid en sturing van bestuurders en management essentieel. </al><al /><al>We zorgen daarom voor een functionerende IB&amp;P-organisatie met duidelijke rollen, taken en verantwoordelijkheden. Onderstaande afbeelding geeft schematisch weer hoe de rollen en verantwoordelijkheden op gebied van IB&amp;P zich tot elkaar verhouden (dit is geen hiërarchisch organogram). </al><al /><al><plaatje><illustratie formaat="png" naam="gmb-2026-239525-1.png" type="foto" breedte="15.99cm" id="i05691741-c47d-49ce-8416-00a888384243" hoogte="9.51cm" /></plaatje></al><al /><al>* Deze rollen, taken en verantwoordelijkheden zijn uitgewerkt in bijlage 1.</al></structuurtekst></paragraaf></hoofdstuk><hoofdstuk><kop><label /><nr>5.</nr><titel>Kennis en bewustzijn</titel></kop><artikel><kop><label /></kop><al>Medewerkers zijn een belangrijke schakel bij informatiebeveiliging en privacy. We zorgen daarom voor een goed kennisniveau en bewustzijn van IB&amp;P onder medewerkers door:</al><lijst><li><li.nr>•</li.nr><al>het planmatig aanbieden van activiteiten, trainingen, workshops.</al></li><li><li.nr>•</li.nr><al>een kennisbank met IB&amp;P-informatie. </al></li><li><li.nr>•</li.nr><al>een IB&amp;P-introductie voor nieuwe medewerkers.</al></li><li><li.nr>•</li.nr><al>IB&amp;P-richtlijnen waar medewerkers zich aan moeten houden.</al></li></lijst><al>Op regelmatige basis wordt het niveau van kennis en bewustzijn gemeten, op basis waarvan het IB&amp;P kennis- en bewustzijnsplan opgesteld of aangescherpt wordt.</al></artikel></hoofdstuk><hoofdstuk><kop><label /><nr>6.</nr><titel>Privacy-instrumenten</titel></kop><artikel><kop><label /></kop><al>In de privacywetgeving zijn een aantal instrumenten verplicht gesteld die bijdragen aan een zorgvuldige behandeling met persoonsgegevens:</al><al /></artikel><paragraaf><kop><label /><nr>6.1</nr><titel>Register van verwerkingsactiviteiten<noot><noot.nr>13 </noot.nr><noot.al>Artikel 30 AVG en 31d Wpg</noot.al></noot></titel></kop><structuurtekst><al>We houden een register van verwerkingsactiviteiten bij met alle verwerkingen van persoonsgegevens door de organisatie. Per verwerking (proces) staat hierin: het doel, de categorieën van betrokkenen, de categorieën persoonsgegevens, derden ontvangers, bewaartermijn en beveiligingsmaatregelen. </al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>6.2</nr><titel>DPIA<noot><noot.nr>14 </noot.nr><noot.al>Artikel 35 AVG en 4c Wpg</noot.al></noot></titel></kop><structuurtekst><al>We voeren planmatig Data Protection Impact Assessments (DPIA) uit voor verwerkingen van persoonsgegevens die een hoog risico betekenen voor de rechten en vrijheden van een persoon. Een DPIA is een uitgebreid onderzoek naar risico’s en maatregelen die vooraf moet worden uitgevoerd. Het geeft antwoord op vragen als: mag het, wat is noodzakelijk, met wie deel ik, is het goed beveiligd en bewaren we niet langer dan nodig. Waar nodig zorgen we dat verbeteringen worden getroffen.</al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>6.3</nr><titel>Gegevensbescherming door ontwerp en standaard instellingen<noot><noot.nr>15 </noot.nr><noot.al>Artikel 25 AVG en 4a en b Wpg, ook wel privacy by design en privacy by default.</noot.al></noot></titel></kop><structuurtekst><al>Bij veranderingen en vernieuwingen zorgen we voor een projectmatige aanpak, waarbij vanaf de ontwerpfase een zorgvuldige en veilige behandeling van persoonsgegevens wordt meegenomen. Denk aan minimaal gebruik van persoonsgegevens en een passende bescherming. Standaardinstellingen zijn zo gekozen dat dit maximaal wordt geborgd. </al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>6.4</nr><titel>Privacyafspraken met derden</titel></kop><structuurtekst><al>Als we persoonsgegevens uitwisselen met andere partijen of ze verwerken in opdracht van of in samenwerking met ons persoonsgegevens: </al><lijst><li><li.nr>•</li.nr><al>stellen we eisen op gebied van gegevensbescherming in de inkoopprocedure.</al></li><li><li.nr>•</li.nr><al>leggen we afspraken over gegevensbescherming vast in een overeenkomst. Bijvoorbeeld in een:</al><lijst><li><li.nr>–</li.nr><al>hoofd- en verwerkersovereenkomst als een organisatie een opdrachtnemer en verwerker<noot><noot.nr>16</noot.nr><noot.al>Artikel 28 AVG en 6c Wpg</noot.al></noot> is. Een verwerker verwerkt persoonsgegevens namens, in opdracht en volgens instructie van onze organisatie als verwerkingsverantwoordelijke<noot><noot.nr>17</noot.nr><noot.al>Artikel 4.7 en 24 AVG en 1.f Wpg</noot.al></noot> uit.</al></li><li><li.nr>–</li.nr><al>convenant of samenwerkingsovereenkomst als we samenwerken met organisaties als (gezamenlijke) verwerkingsverantwoordelijke<noot><noot.nr>18</noot.nr><noot.al>Artikel 26 AVG en 20 Wpg</noot.al></noot>.</al></li><li><li.nr>–</li.nr><al>gegevensleveringsovereenkomst als persoonsgegevens worden uitgewisseld en partijen verder verwerken onder een eigen verwerkingsverantwoordelijkheid. Hierin staan afspraken over een veilige manier van overdragen en moment van overgaan van de verwerkingsverantwoordelijkheid.</al></li></lijst></li><li><li.nr>•</li.nr><al>als afspraken in lopende contracten ontbreken, zorgen we dat deze afspraken met terugwerkende kracht worden gemaakt.</al></li><li><li.nr>•</li.nr><al>monitoren we dat afspraken op gebied van privacy en gegevensbescherming worden nagekomen. </al></li></lijst></structuurtekst></paragraaf><paragraaf><kop><label /><nr>6.5</nr><titel>Datalekken<noot><noot.nr>19 </noot.nr><noot.al>Artikel 33 en 34 AVG en 33a Wpg</noot.al></noot></titel></kop><structuurtekst><al>Bij een datalek zijn persoonsgegevens onterecht vernietigd of verloren gegaan, veranderd, gedeeld of toegankelijk geweest voor anderen. We registreren datalekken in een intern datalekkenregister, melden ernstige datalekken binnen 72 uur bij de Autoriteit Persoonsgegevens en informeren waar nodig de betrokkenen over het datalek. Er zijn procedures, richtlijnen en formats voor de behandeling van datalekken. </al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>6.6</nr><titel>Rechten van betrokkenen<noot><noot.nr>20 </noot.nr><noot.al>Artikel 5, 12 t/m 22, 38.4 AVG en 24a tm 28 Wpg</noot.al></noot></titel></kop><structuurtekst><al>We zorgen dat betrokkenen invulling kunnen geven aan hun rechten om controle te houden op hun persoonsgegevens. Denk aan het recht op informatie, inzage, aanpassing, verwijdering en bezwaar. </al><al /><al>In de privacyverklaring en cookieverklaring op onze websites geven we invulling aan onze actieve plicht om personen vooraf in duidelijke en eenvoudige taal te informeren over de verwerking van persoonsgegevens en hun rechten. Verdere invulling aan de informatieplicht wordt per proces bepaald.</al><al /><al>Om gebruik te maken van deze rechten kunnen personen een verzoek indienen. Op de website geven we personen duidelijke informatie over hun rechten en hoe ze hier gebruik van kunnen maken. Intern zorgen we voor procedures, richtlijnen en formats voor de behandeling van verzoeken. </al></structuurtekst></paragraaf></hoofdstuk><hoofdstuk><kop><label /><nr>7.</nr><titel>Informatiebeveiliging</titel></kop><paragraaf><kop><label /><nr>7.1</nr><titel>Informatiebeveiligingsnorm</titel></kop><structuurtekst><al>Om de benodigde beschikbaarheid, integriteit en vertrouwelijkheid van gegevens, en daarmee de continuïteit van onze dienstverlening en bedrijfsvoering, te garanderen, voldoet de gemeente Scherpenzeel aan de Baseline Informatiebeveiliging Overheid<noot><noot.nr>21</noot.nr><noot.al><extref doc="https://www.informatiebeveiligingsdienst.nl/product/baseline-informatiebeveiliging-overheid-bio/"><nadruk type="ondlijn">Baseline Informatiebeveiliging Overheid</nadruk></extref></noot.al></noot>. Binnen de overheid is afgesproken om aan dit normenkader te voldoen. De BIO is gebaseerd op de ISO 27001 en 27002. </al><al /><al>In de privacywetgeving is verplicht gesteld dat organisaties zorgen voor passende technische en organisatorische informatiebeveiligingsmaatregelen<noot><noot.nr>22</noot.nr><noot.al>Artikel 32 AVG en 4a Wpg</noot.al></noot>. Door aan deze beveiligingsnorm te voldoen en de privacy-instrumenten in hoofdstuk 6 toe te passen, geven we hier invulling aan. </al><al /><al>Jaarlijks onderzoeken we aantoonbaar in hoeverre we voldoen aan de BIO. Waar nodig treffen we planmatig verbeteringen.</al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>7.2</nr><titel>ICT Dienstverlening</titel></kop><structuurtekst><al>De gemeente Veenendaal verzorgt de ICT voor de gemeente Scherpenzeel. Afspraken over IB&amp;P zijn vastgelegd in een dienstverleningsovereenkomst (DVO) en een verwerkersovereenkomst.</al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>7.3</nr><titel>Informatiebeveiliging in overeenkomsten</titel></kop><structuurtekst><al>De beschikbaarheid, integriteit en/of vertrouwelijkheid van gegevens dient te worden gewaarborgd door andere partijen waarmee we samenwerken of die in opdracht van de gemeente diensten leveren. Dit doen we door:</al><lijst><li><li.nr>•</li.nr><al>eisen op het gebied van informatiebeveiliging te stellen in de inkoopprocedure, bijvoorbeeld het voldoen aan normenkaders.</al></li><li><li.nr>•</li.nr><al>afspraken over informatiebeveiliging vast te leggen in de overeenkomst, zoals afspraken over:</al><lijst><li><li.nr>–</li.nr><al>risico- en incidentmanagement</al></li><li><li.nr>–</li.nr><al>passende beveiligingsmaatregelen</al></li><li><li.nr>–</li.nr><al>periodieke penetratietesten op systemen of applicaties</al></li><li><li.nr>–</li.nr><al>continuïteitsmanagement </al></li><li><li.nr>–</li.nr><al>verantwoording door het periodiek overleggen van documentatie en/of certificaten</al></li></lijst></li><li><li.nr>•</li.nr><al>ontbrekende afspraken in lopende contracten met terugwerkende kracht te maken.</al></li><li><li.nr>•</li.nr><al>de naleving van afspraken te monitoren.</al></li></lijst></structuurtekst></paragraaf><paragraaf><kop><label /><nr>7.4</nr><titel>Systemen</titel></kop><structuurtekst><al>Wij voeren op nieuwe systemen met hoge IB&amp;P-risico’s<noot><noot.nr>23</noot.nr><noot.al>Zie paragraaf 3.2</noot.al></noot> een basisbeveiligingstoets uit. Op bestaande systemen wordt deze basisbeveiligingstoets om de drie jaar herhaald. Deze toets brengt in beeld of het systeem voldoet aan het benodigde beveiligingsniveau. Indien nodig zorgen we dat verbeteringen planmatig worden ingevoerd. </al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>7.5</nr><titel>Beveiligingsincidenten</titel></kop><structuurtekst><al>We zorgen dat medewerkers weten wat een beveiligingsincident is en dat zij deze melden bij een vermoeden. We registreren beveiligingsincidenten in een intern register en handelen volgens de vastgestelde specifieke procedure. </al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>7.6</nr><titel>Bewaren en vernietigen</titel></kop><structuurtekst><al>Gemeenten hebben een verplichting om gegevens te bewaren conform de Archiefwet. Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk<noot><noot.nr>24</noot.nr><noot.al>Artikel 5 lid 1<sup>e</sup> AVG</noot.al></noot>. De Wet politiegegevens kent specifieke bewaartermijnen<noot><noot.nr>25</noot.nr><noot.al>Artikel 14 Wpg</noot.al></noot>.</al><al /><al>We zorgen voor het bepalen en toepassen van de bewaar- en vernietigingstermijnen van (persoons)gegevens. We zorgen ook dat medewerkers zich bewust zijn van de eigen verantwoordelijk om onnodige en meervoudige opslag te voorkomen in mailboxen en persoonlijke schijven.</al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>7.7</nr><titel>Toegang tot gegevens</titel></kop><structuurtekst><al>Om te zorgen dat medewerkers en derden alleen toegang hebben tot persoonsgegevens die noodzakelijk zijn voor de toegewezen werkzaamheden<noot><noot.nr>26</noot.nr><noot.al>Artikel 6 en 6a Wpg</noot.al></noot>, treffen we de volgende maatregelen: </al><lijst><li><li.nr>•</li.nr><al>Er is een vastgesteld toegangsbeleid met richtlijnen over het verlenen, wijzigen- en beëindigen van toegang tot politiegegevens. </al></li><li><li.nr>•</li.nr><al>Voor risicovolle systemen is een autorisatiematrix vastgesteld. </al></li><li><li.nr>•</li.nr><al>Medewerkers en derden krijgen alleen toegang tot gegevens conform het toegangsbeleid en de autorisatiematrix.</al></li><li><li.nr>•</li.nr><al>Indien medewerkers en derden van functie veranderen of het dienstverband (of opdracht) eindigt, wordt de autorisatie conform het toegangsbeleid en de autorisatiematrix gewijzigd of beëindigd.</al></li></lijst></structuurtekst></paragraaf><paragraaf><kop><label /><nr>7.8</nr><titel>Loggen van gegevens</titel></kop><structuurtekst><al>Handelingen (raadplegen, aanpassen en verwijderen) in de risicovolle systemen waarin (persoons)gegevens worden verwerkt, worden gelogd<noot><noot.nr>27</noot.nr><noot.al>Artikel 32a Wpg</noot.al></noot>. Het doel is dat herleidbaar is welke gegevens door wie en wanneer zijn geraadpleegd, aangepast of verwijderd. Dit is van belang om te kunnen voldoen aan de rechten van betrokkenen, vragen te beantwoorden of klachten te behandelen.</al></structuurtekst></paragraaf></hoofdstuk><hoofdstuk><kop><label /><nr>8.</nr><titel>Monitoring en evaluatie</titel></kop><artikel><kop><label /></kop><al>Het is belangrijk dat de organisatie in control is en dat betrokkenen grip hebben op hun persoonsgegevens. </al><al /></artikel><paragraaf><kop><label /><nr>8.1</nr><titel>Interne controle en audits</titel></kop><structuurtekst><al>We voeren planmatig en aantoonbaar periodieke IB&amp;P-audits en controles uit. Met deze audits en controles monitoren we in hoeverre de organisatie in control is en betrokkenen grip hebben op hun persoonsgegevens. Indien nodig zorgen we dat verbeteringen planmatig worden ingevoerd. </al><al /><al>In ieder geval de volgende interne audits en controles worden uitgevoerd:</al><lijst><li><li.nr>•</li.nr><al>Periodieke controles zoals:</al><lijst><li><li.nr>–</li.nr><al>Rollen en rechten in risicovolle systemen.</al></li><li><li.nr>–</li.nr><al>Logging van handelingen in risicovolle systemen.</al></li><li><li.nr>–</li.nr><al>Rechtmatige behandeling van persoonsgegevens.</al></li><li><li.nr>–</li.nr><al>IB&amp;P-afspraken in overeenkomsten.</al></li></lijst></li><li><li.nr>•</li.nr><al>Zelfevaluatie (ENSIA)</al></li><li><li.nr /><al>Wij verantwoorden ons over informatiebeveiliging via Eenduidige Normatiek Single Information Audit (ENSIA)<noot><noot.nr>28</noot.nr><noot.al>ENSIA is een verantwoordingsstelsel voor informatieveiligheid en is een initiatief van gemeenten en de ministeries van BZK en SZW.</noot.al></noot> door een jaarlijkse zelfevaluatie, waarin we de informatiebeveiliging beoordelen aan de normen en eisen van:</al><lijst><li><li.nr>–</li.nr><al>De baseline Informatiebeveiliging Overheid (BIO)</al></li><li><li.nr>–</li.nr><al>De basisregistratie Personen (BRP)</al></li><li><li.nr>–</li.nr><al>De basisregistratie adressen en gebouwen (BAG)</al></li><li><li.nr>–</li.nr><al>De basisregistratie Grootschalige Topografie (BGT)</al></li><li><li.nr>–</li.nr><al>Basisregistratie ondergrond (BRO)</al></li><li><li.nr>–</li.nr><al>De paspoortuitvoeringsregeling Nederland (PUN)</al></li><li><li.nr>–</li.nr><al>Het systeem Suwinet van het ministerie van SZW, waarin UWV, SVB en gemeenten persoonsgegevens uitwisselen.</al></li><li><li.nr>–</li.nr><al>DigiD </al></li></lijst></li><li><li.nr>•</li.nr><al>Jaarlijks beoordelen we op basis van het AVG Borgingsdocument in hoeverre de organisatie aan de privacywetgeving voldoet. </al></li><li><li.nr>•</li.nr><al>Interne audit Wet politiegegevens</al></li></lijst><al>Jaarlijks voeren we de interne WPG-audit uit<noot><noot.nr>29</noot.nr><noot.al>Artikel 33 Wpg en Regeling periodieke audit politiegegevens </noot.al></noot>. De resultaten van deze audit worden in een rapportage vastgelegd en aangeboden aan de verwerkingsverantwoordelijke. </al><al /></structuurtekst></paragraaf><paragraaf><kop><label /><nr>8.2</nr><titel>Externe audits</titel></kop><structuurtekst><al>We laten wettelijk verplichte audits uitvoeren door een onafhankelijke externe auditor. Dat zijn in ieder geval:</al><lijst><li><li.nr>•</li.nr><al>Jaarlijks de audits (ENSIA) van DigiD en Suwinet. In een verklaring van het college leggen we verantwoording af over de informatiebeveiliging van Suwinet aan het ministerie van SZW en van DigiD aan Logius als onderdeel van het ministerie van BZK. </al></li><li><li.nr>•</li.nr><al>Om de vier jaar de Wet politiegegevens. De rapportage van de externe auditor sturen we naar de Autoriteit Persoonsgegevens en de verwerkingsverantwoordelijke. Indien nodig zorgen we dat verbeteringen planmatig worden ingevoerd. </al></li></lijst></structuurtekst></paragraaf><paragraaf><kop><label /><nr>8.3</nr><titel>Rapporteren</titel></kop><structuurtekst><al>Jaarlijks en indien nodig brengt de directie schriftelijk verslag uit aan het verantwoordelijke bestuursorgaan over de naleving van de IB&amp;P-kaders. Dit rapport omvat de huidige status, voortgang en geplande verbeteringen op het gebied van IB&amp;P. Met deze rapportages brengen we het verantwoordelijke bestuursorgaan in positie om invulling te geven aan hun verantwoordelijkheid en hierop te kunnen sturen. </al><al /><al>In de cyclusdocumenten rapporteert het college aan de gemeenteraad over de plannen en naleving van de IB&amp;P-kaders.</al><al /><al>Elke teamleider rapporteert aan de directie over de naleving van de IB&amp;P-kaders door het eigen team. De Chief Information Security Officer en functionaris gegevensbescherming brengen jaarlijks verslag uit aan de verantwoordelijke bestuursorganen<noot><noot.nr>30</noot.nr><noot.al>Artikel 38.3 AVG, 36.4 Wpg</noot.al></noot>. </al></structuurtekst></paragraaf></hoofdstuk><hoofdstuk><kop><label /><nr /><titel>Ondertekening</titel></kop><artikel><kop><label /></kop><al>Het onderhavige Strategisch informatiebeveiligings- en privacybeleid van de gemeente Scherpenzeel wordt vastgesteld ter vervanging van het Strategisch gemeentebreed Informatiebeveiligingsbeleid 2021 en de Beleidsregels Privacy gemeente Scherpenzeel 2018, die hiermee per datum van ondertekening worden ingetrokken.</al></artikel></hoofdstuk></regeling-tekst><regeling-sluiting><ondertekening><!--al naar functie elementen vertaald (inhoudelijk gedeeltelijk onjuist)--><functie>Vastgesteld door het college van burgemeester en wethouders van gemeente Scherpenzeel, in de vergadering van het college van burgemeester en wethouders op 11 november 2025:</functie></ondertekening><ondertekening><functie /><functie /><functie>R. ’t Hoen </functie><functie>Secretaris </functie></ondertekening><ondertekening><functie /><functie /><functie>M.C. Teunissen-Willemsen</functie><functie>Burgemeester</functie></ondertekening><ondertekening><functie /><functie /><functie>Vastgesteld door de burgemeester van gemeente Scherpenzeel, in de vergadering van het college van burgemeester en wethouders op 11 november 2025:</functie></ondertekening><ondertekening><functie /><functie /><functie>M.C. Teunissen-Willemsen</functie><functie>Burgemeester</functie></ondertekening></regeling-sluiting><bijlage><kop><label>Bijlage</label><nr>1</nr><titel>– Rollen en verantwoordelijkheden IB&amp;P</titel></kop><al /><al><nadruk type="vet"><nadruk type="ondlijn">Elke medewerker</nadruk></nadruk></al><al>Binnen de eigen taken en verantwoordelijkheden draagt elke medewerkers bij aan IB&amp;P. Dit betekent dat elke medewerker:</al><lijst><li><li.nr>•</li.nr><al>zich bewust is van de IB&amp;P-risico’s.</al></li><li><li.nr>•</li.nr><al>de beginselen in paragraaf 3.3 toepast.</al></li><li><li.nr>•</li.nr><al>bekend is met en zich houdt aan dit IB&amp;P-beleid en aanvullende procedures en richtlijnen.</al></li></lijst><al><nadruk type="vet"><nadruk type="ondlijn">Bestuursorganen (college, burgemeester en gemeenteraad)</nadruk></nadruk></al><al>Betrokkenheid van bestuurders is cruciaal. Het laat zien dat de organisatie IB&amp;P serieus neemt en het een ambitie is om gegevens te beschermen. Elk bestuursorgaan:</al><lijst><li><li.nr>•</li.nr><al>is eindverantwoordelijk voor IB&amp;P<noot><noot.nr>31</noot.nr><noot.al>Elk bestuursorgaan is eindverantwoordelijke voor IB&amp;P binnen de eigen taken. Voor persoonsgegevens heet dit in de wet ‘verwerkingsverantwoordelijke’: artikel 4.7 AVG en 1.f Wpg.</noot.al></noot>.</al></li><li><li.nr>•</li.nr><al>geeft richting en sturing aan IB&amp;P en volgt hierin dit IB&amp;P-beleid.</al></li><li><li.nr>•</li.nr><al>stelt strategische IB&amp;P-kaders vast, zoals dit beleid.</al></li><li><li.nr>•</li.nr><al>legt rekenschap af over naleving van de IB&amp;P-kaders aan de CISO en functionaris gegevensbescherming.</al></li></lijst><al>Het college en de burgemeester leggen verantwoording af over IB&amp;P in de cyclusdocumenten aan de gemeenteraad vanuit de bestuursrechtelijke toezichtstaak.</al><al /><al><nadruk type="vet"><nadruk type="ondlijn">Gemeentesecretaris</nadruk></nadruk></al><al>De gemeentesecretaris is tevens de algemeen directeur van de gemeentelijke organisatie. De gemeentesecretaris is verantwoordelijk voor IB&amp;P in de ambtelijke organisatie. De gemeentesecretaris:</al><lijst><li><li.nr>•</li.nr><al>stelt tactische IB&amp;P-kaders vast.</al></li><li><li.nr>•</li.nr><al>geeft richting en sturing aan IB&amp;P en volgt hierin dit IB&amp;P-beleid.</al></li><li><li.nr>•</li.nr><al>zorgt dat het eigenaarschap, waaronder de IB&amp;P-verantwoordelijkheid, van alle processen en systemen, is belegd bij een teamleider.</al></li><li><li.nr>•</li.nr><al>zorgt dat teamleiders zich verantwoorden over IB&amp;P.</al></li><li><li.nr>•</li.nr><al>rapporteert over de naleving van IB&amp;P-kaders aan (de verantwoordelijke portefeuillehouders binnen) het college van B&amp;W.</al></li><li><li.nr>•</li.nr><al>zorgt dat de privacy officer, security officer, CISO en functionaris gegevensbescherming naar behoren en tijdig worden betrokken bij risicovolle zaken op het gebied van IB&amp;P.</al></li></lijst><al><nadruk type="vet"><nadruk type="ondlijn">Teamleiders</nadruk></nadruk></al><al>De teamleider is verantwoordelijk voor IB&amp;P binnen het eigen team en de door de directie toegewezen processen en systemen. De teamleider:</al><lijst><li><li.nr>•</li.nr><al>geeft richting en sturing aan IB&amp;P en volgt hierin het IB&amp;P-beleid.</al></li><li><li.nr>•</li.nr><al>benoemt de IB&amp;P-doelstellingen in het teamplan.</al></li><li><li.nr>•</li.nr><al>zorgt voor het planmatig en risico gebaseerd implementeren en borgen van de maatregelen in dit beleid.</al></li><li><li.nr>•</li.nr><al>rapporteert over de naleving van IB&amp;P-kaders aan de directie.</al></li><li><li.nr>•</li.nr><al>zorgt dat de privacy officer, security officer, CISO en functionaris gegevensbescherming naar behoren en tijdig worden betrokken bij risicovolle zaken op het gebied van IB&amp;P.</al></li></lijst><al><nadruk type="vet"><nadruk type="ondlijn">Security officer </nadruk></nadruk></al><al>De security officer:</al><lijst><li><li.nr>•</li.nr><al>stelt beleidsdocumenten op.</al></li><li><li.nr>•</li.nr><al>adviseert over complexe informatiebeveiligingsvraagstukken. </al></li><li><li.nr>•</li.nr><al>en de privacy officer werken samen en</al><lijst><li><li.nr>–</li.nr><al>zorgen voor een vastgesteld IB&amp;P-jaarplan (zie paragraaf 4.1.).</al></li><li><li.nr>–</li.nr><al>coördineren en monitoren de uitvoering van het IB&amp;P-jaarplan en implementeren acties waar nodig zelf.</al></li><li><li.nr>–</li.nr><al>rapporteren over de uitvoering van het IB&amp;P-jaarplan aan de directie, Chief Information Security Officer en functionaris gegevensbescherming.</al></li></lijst></li><li><li.nr>•</li.nr><al>adviseert, ondersteunt bij en monitort de IB(&amp;P)-maatregelen in dit beleid.</al></li><li><li.nr>•</li.nr><al>draagt actief bij aan IB&amp;P kennis en bewustzijn (zie hoofdstuk 5) </al></li><li><li.nr>•</li.nr><al>betrekt de privacy officer, CISO en functionaris gegevensbescherming naar behoren en tijdig bij risicovolle zaken op het gebied van IB&amp;P.</al></li></lijst><al><nadruk type="vet"><nadruk type="ondlijn">ENSIA-coördinator</nadruk></nadruk></al><al>De ENSIA<noot><noot.nr>32</noot.nr><noot.al>Zie paragraaf 8.1 en 8.2</noot.al></noot>-coordinator:</al><lijst><li><li.nr>•</li.nr><al>coördineert de ENSIA-audit en alle bijbehorende werkzaamheden</al></li><li><li.nr>•</li.nr><al>monitort de voortgang en zorgt voor tijdige aanlevering van informatie aan de auditor.</al></li><li><li.nr>•</li.nr><al>begeleidt de externe audit.</al></li><li><li.nr>•</li.nr><al>bewaakt deadlines.</al></li><li><li.nr>•</li.nr><al>zorgt voor aanleveren van de verantwoordingsdocumenten bij de verschillende toezichthouders en ministeries via de ENSIA-tool.</al></li><li><li.nr>•</li.nr><al>eerste aanspreekpunt binnen de organisatie en voor de (externe) auditor. </al></li><li><li.nr>•</li.nr><al>zet vervolgacties uit op basis van de ENSIA-resultaten.</al></li><li><li.nr>•</li.nr><al>zorgt voor de verklaring van het college.</al></li></lijst><al><nadruk type="vet"><nadruk type="ondlijn">Privacy officer</nadruk></nadruk></al><al>De privacy officer:</al><lijst><li><li.nr>•</li.nr><al>stelt beleidsdocumenten op.</al></li><li><li.nr>•</li.nr><al>adviseert over complexe privacyvraagstukken.</al></li><li><li.nr>•</li.nr><al>en de security officer werken samen en</al><lijst><li><li.nr>–</li.nr><al>zorgen voor een vastgesteld IB&amp;P-jaarplan volgens paragraaf 4.1.</al></li><li><li.nr>–</li.nr><al>coördineren en monitoren de uitvoering van het IB&amp;P-jaarplan en implementeert acties waar nodig zelf.</al></li><li><li.nr>–</li.nr><al>rapporteren over de uitvoering van het IB&amp;P-jaarplan aan de directie, CISO en functionaris gegevensbescherming.</al></li></lijst></li><li><li.nr>•</li.nr><al>adviseert, ondersteunt bij en monitort de (IB&amp;)P-maatregelen die volgen uit het IB&amp;P-jaarplan.</al></li><li><li.nr>•</li.nr><al>draagt actief bij aan IB&amp;P kennis en bewustzijn (zie hoofdstuk 5) </al></li><li><li.nr>•</li.nr><al>betrekt de security officer, CISO en functionaris gegevensbescherming naar behoren en tijdig bij risicovolle zaken op het gebied van IB&amp;P.</al></li></lijst><al><nadruk type="vet"><nadruk type="ondlijn">IB&amp;P auditor</nadruk></nadruk></al><al>De IB&amp;P auditor:</al><lijst><li><li.nr>•</li.nr><al>zorgt voor een vastgesteld auditplan volgens paragraaf 8.3.</al></li><li><li.nr>•</li.nr><al>coördineert en monitort de uitvoering van audits en controles volgens het auditplan en voert waar nodig zelf audits en controles uit.</al></li><li><li.nr>•</li.nr><al>zorgt dat audits en controles aantoonbaar worden vastgelegd in een rapportage van bevindingen en aan de verantwoordelijke manager worden voorgelegd.</al></li><li><li.nr>•</li.nr><al>rapporteert over de uitvoering van het auditplan aan de directie, de Chief Information Security Officer en functionaris gegevensbescherming.</al></li><li><li.nr>•</li.nr><al>ondersteunt en coördineert bij de externe audits in paragraaf 8.3.</al></li><li><li.nr>•</li.nr><al>betrekt de CISO en functionaris gegevensbescherming naar behoren en tijdig bij risicovolle zaken op het gebied van IB&amp;P.</al></li></lijst><al>Deze rol wordt binnen de gemeente Scherpenzeel ingevuld door onderverdeling van audittaken onder CISO, PO en systeem-/applicatiebeheer.</al><al /><al><nadruk type="vet"><nadruk type="ondlijn">Chief Information Security Officer (CISO)</nadruk></nadruk></al><al>De CISO:</al><lijst><li><li.nr>•</li.nr><al>houdt toezicht op de naleving van de IB(&amp;P)-kaders.</al></li><li><li.nr>•</li.nr><al>adviseert over en ontwikkelt IB-beleidsdocumenten.</al></li><li><li.nr>•</li.nr><al>brengt verslag uit aan de bestuursorganen over de naleving van de IB(&amp;P)-kaders.</al></li><li><li.nr>•</li.nr><al>geeft advies bij beveiligingsincidenten.</al></li><li><li.nr>•</li.nr><al>geeft advies op de IB(&amp;P)-jaarplannen/ meerjarenplan. </al></li><li><li.nr>•</li.nr><al>onderhoudt contact met (overheids)instanties en toezichthouders ten aanzien van informatiebeveiligingsaangelegenheden.</al></li><li><li.nr>•</li.nr><al>draagt actief bij aan IB&amp;P kennis en bewustzijn. </al></li></lijst><al><nadruk type="vet"><nadruk type="ondlijn">De functionaris gegevensbescherming:</nadruk></nadruk></al><al>De functionaris gegevensbescherming<noot><noot.nr>33</noot.nr><noot.al>Artikel 37, 38, 39 AVG en 36 Wpg</noot.al></noot>:</al><lijst><li><li.nr>•</li.nr><al>houdt toezicht op de naleving van de (IB&amp;)P-kaders. </al></li><li><li.nr>•</li.nr><al>informeert en adviseert over de verplichtingen in de (IB&amp;)P-kaders. </al></li><li><li.nr>•</li.nr><al>brengt verslag uit aan de verwerkingsverantwoordelijke over de naleving van de (IB&amp;)P-kaders.</al></li><li><li.nr>•</li.nr><al>geeft advies op privacyvraagstukken, uitgevoerde DPIA’s en houdt toezicht op het opvolgen van dit advies. </al></li><li><li.nr>•</li.nr><al>geeft advies bij (ernstige) datalekken. </al></li><li><li.nr>•</li.nr><al>is direct benaderbaar voor betrokkenen over de verwerking van hun persoonsgegevens. </al></li><li><li.nr>•</li.nr><al>werkt samen met en is contactpunt voor de Autoriteit Persoonsgegevens.</al></li><li><li.nr>•</li.nr><al>draagt actief bij aan IB&amp;P kennis en bewustzijn.</al></li></lijst></bijlage></regeling></gemeenteblad></officiele-publicatie>