Art. 43-vragen inzake datalek

Art. 43-vragen inzake AD Misdaadmeter
6 maart, 2019

Art. 43-vragen inzake datalek

Lees hier het antwoord van de gemeente op onderstaande vragen.

Aande griffier van de gemeenteraad Roermond
Postbus 900
6040AX Roermond                 

                                                                                                                       Roermond,7 maart 2019

Betreft: Schriftelijke vragen ex. Art. 43 R.v.O. m.b.t. datalek

 Geacht College,

Op 28 februari 2019 ontving de raad een brief van de wethouder Organisatie, dhr.Schreurs, betreffende datalek stembureauleden. De portefeuillehouder meldt dat het lek komt door een fout in de ambtelijke organisatie. Nergens in de brief spreekt de portefeuillehouder een eigen ‘mea-culpa’ uit. Zeer opmerkelijk! Immers bestuurder(s) zijn bestuurlijk verantwoordelijk voor het handelen van de ambtelijke organisatie. Blijkbaar ontgaat dit de portefeuillehouder. Daarnaast roept zijn brief – mede door de summiere informatie – een aantal andere vragen op inzake (vermoedens) van datalekken. Reden voor de LVR-fractie om de volgende vragen te stellen. 

Bestuurlijke en politieke verantwoordelijkheid

  1. Waarom is het een brief van de portefeuillehouder en niet van het College van B&W?  
  2. In zijn brief spreekt de portefeuillehouder over een fout in de ambtelijke organisatie. Portefeuillehouder spreekt nergens over zijn eigen bestuurlijke en politieke verantwoordelijkheid. Waarom niet? Ziet hij dat dan soms anders? Hoe ziet het College  dan dat?
  3. Is het College met de LVR van opvatting dat het beter is om brieven naar de raad inzake meldingen bij de Autoriteit Persoonsgegevens via  het College te laten verlopen gezien de bestuurlijke impact en qua rollen (“slager keurt zijn eigen vlees”)?  Hoe kijkt de burgemeester hier tegen aan in het kader van haar verantwoordelijkheid voor het verloop van de verkiezingen?
  4. Is de melding bij de Autoriteit Persoonsgegevens door het College gedaan, dan wel door een portefeuillehouder (welke?) of ambtelijk afgedaan?Indien ambtelijk, op grond van welk college- of mandaatbesluit dan?
  5.  Wie heeft de 5 personen geïnformeerd die alle gegevens ontvangen hebben? Het College, een portefeuillehouder (wie?) of de ambtelijke organisatie?
  6. Zijn alle ca. 350 die zitting nemen in het stembureau per brief geïnformeerd? Zo ja, klopt het dan dat zij een brief hebben ontvangen die ondertekend is met de woorden vriendelijke groet, naam en functie van de ambtenaar? Waarom dan niet door een portefeuillehouder, of minstens namens een portefeuillehouder?

Datalek

  1.  Is conform de Wet binnen 72 uur melding gemaakt na kennisname van het datalek bij de Autoriteit Persoonsgevens? Graag de relevante documenten toevoegen.
  2. Welke maatregelen heeft de gemeente Roermond genomen om mogelijke datalekken te voorkomen?
  3. Is er een protocol voor de wijze waarop met privacy gevoelige informatie moet worden omgegaan? Hoe luidt dat protocol?
  4. In hoeverre zijn de privacy  regels binnen de ambtelijke organisatie bekend?  Op welke wijze, en door wie, krijgen de ambtenaren en de ruim honderd inhuurkrachten instructies?  Worden er bewustwordingscampagnes gehouden of speciale (e-learning) trainingen?  Wie controleert de naleving? 
  5. Hoeveel (vermoedens) van datalekken zijn in de afgelopen jaarlijks vanuit de organisatie  gemeld bij de Functionaris Gegevensbescherming? Hoe vaak en voor welke zaken is dan melding gemaakt bij de Autoriteit Persoonsgegevens? Zo ja, hoe heeft de Autoriteit dan gereageerd? 
  6. Is de mobiele werkapparatuur van Collegeleden en medewerkers voldoende uitgerust om (mogelijke) datalekken te voorkomen? Zo ja, hoe? Welke procedures gelden bij verlies of diefstal van deze apparatuur? Is er sprake van verloren of gestolen mobiele werkapparatuur in de afgelopen jaren, zo ja, waten hoe vaak?

Verbonden partijen en ketenpartners

  1. Worden door het College, zo ja, waar en hoe, eisen gesteld aan alle verbonden partijen op het gebied van informatiebeveiliging? Zijn er ook afspraken met hen gemaakt over de afstemming met de gemeente? Welke kaders zijn hiervoor aan de raad door het College voorgelegd?
  2. Hoe vaak en voor welke zaken hebben alle verbonden partijen melding gemaakt van(vermoedens) van datalekken bij de Autoriteit Persoonsgegevens? Waren hierbij ook gegevens betrokken van Roermondse burgers? Hoe heeft de Autoriteit dan in voorkomende gevallen gereageerd? 
  3. Indien bij verbonden partijen procedures en regels worden aangepast n.a.v. (vermoedens) van datalekken worden geconstateerd, op welke vindt dan ook doorvertaling  plaats in de procedures en regels in de gemeentelijke organisatie? Kunt U hiervan enkele voorbeelden noemen?
  4. Hoe vaak en voor welke zaken hebben ketenpartners van gemeente Roermond (Wet Gemeenschappelijke Regeling en Uitvoeringsorganisaties) melding gemaakt van (vermoedens) van datalekken bij de Autoriteit Persoonsgegevens? In hoeverre waren hierbij gegevens van burgers van de gemeente Roermond bij betrokken? Zo ja, voor welke zaken? Hoe heeft de Autoriteit in al deze zaken gereageerd?

Evaluatie en geleerde lessen?

  1. Op welke wijze, door wie, en hoe vaak vindt evaluatie van informatiebeveiliging plaats binnen de gemeente Roermond en met Roermond alle verbonden partijen? En hoe met ketenpartners (Wet gemeenschappelijke Regeling en Uitvoeringsorganisaties)? 
  2. Trekt het College lessen uit dit voorval, zo ja, welke?
  3. Leidt dit voorval tot extra maatregelen, zo ja, welke?
  4. Wordt de raad geïnformeerd over de reactie van de Autoriteit Persoonsgegevens over de melding waarover nu de portefeuillehouder melding maakt?

Hoogachtend,