Privacy en informatiebeveiliging vormen een essentieel onderdeel van een betrouwbare en zorgvuldige dienstverlening. De gemeente verwerkt dagelijks persoonsgegevens van inwoners, ondernemers en partners en draagt daarbij een grote verantwoordelijkheid om deze gegevens te beschermen tegen verlies, misbruik en onbevoegde toegang.
Samenvatting uit het rapport van de functionaris gegevensbescherming;
Het afgelopen jaar heeft de Autoriteit Persoonsgegevens (AP) bij verschillende gemeenten steekproefsgewijze inspecties uit gevoerd. De gemeente Bodegraven-Reeuwijk heeft geen inspectie door de AP gehad maar zou als dit had plaats gevonden op een aantal punten geen voldoende hebben gescoord.
Het Register van Verwerkingsactiviteiten voor de AVG en Wpg is goed gevuld maar niet meer actueel. Publicatie van het Register zodat inwoners dit kunnen raadplegen is wettelijk niet verplicht maar de AP raadt dit wel met klem aan. Publicatie vergroot ook de transparantie over de gegevens die de gemeente van haar inwoners verwerkt.
De gemeente heeft een achterstand bij het uitvoeren van DPIA’s. De samenwerking met buurgemeenten Gouda en Krimpenerwaard kan hier een positief effect op hebben.
Het laatste onderwerp van de inspecties door de AP was de positie van de FG. Ook deze kan verbeterd worden. De FG heeft geen gestructureerd over leg met de Gemeentesecretaris en/of Portefeuillehouder.
Naast de onderwerpen waarop de AP bij gemeenten inspecties uitvoerde, zijn er positieve ontwikkelingen voor de andere onderwerpen van gegevensbescherming. In 2025 is het geüpdate Informatiebeveiligings-en privacy beleid door het College vastgesteld en is op basis daarvan een begin gemaakt met een handreiking Informatiebeveiliging en Privacy. Er worden voldoende activiteiten op het gebied van bewustwording georganiseerd en er zijn door inwoners geen ernstige klachten bij de FG ingediend.
Het aantal gemelde datalekken is echter net als in 2024 stabiel en kan verder verbeterd worden.
Voor informatiebeveiliging is op tijdelijke basis een interim Chief Information Security Officer (CISO) ingehuurd. De noodzaak om een CISO/ISO functionaris vast in dienst te nemen/hebben is groot gezien de (wettelijke) risico’s die we hiermee lopen. Er vindt nog geen structurele rapportage op basis van de BIO plaats.
Het Eenduidige Normatiek Single Information Audit (ENSIA)-verantwoordingsproces is in het verslagjaar zorgvuldig en tijdig doorlopen. De vragenlijsten zijn volledig ingevuld en de verplichte audits voor DigiD en Suwinet zijn uitgevoerd. Voor DigiD voldoet de gemeente aan de gestelde normen. Voor Suwinet is aan alle normen voldaan, met uitzondering van één bevinding. Deze bevinding wordt op korte termijn opgepakt en opgelost.