Strategisch beleid voor privacy en informatiebeveiliging

Toepasbaar voor overheden, zorg en onderwijsinstellingen

Inleiding

In een steeds meer digitale samenleving is het zorgvuldig omgaan met (persoons)gegevens van burgers, patiënten, leerlingen en medewerkers belangrijker dan ooit. Overheidsorganisaties, scholen en zorginstellingen verwerken dagelijks gevoelige informatie. Denk aan contactgegevens, medische dossiers, leerresultaten of financiële gegevens. Al deze informatie moet niet alleen goed worden bewaard, maar ook beschermd tegen ongewenste toegang, misbruik of verlies.

Daarom is een helder en toekomstgericht beleid nodig voor privacy en informatiebeveiliging. Dit strategisch beleid helpt organisaties om:

Te voldoen aan wet- en regelgeving zoals de AVG, BIO 2.0, NIS2 en de AI Act;
Medewerkers bewust te maken van hun rol en verantwoordelijkheid;
Processen en systemen op orde te brengen en te houden;
Inwoners, cliënten of leerlingen te laten vertrouwen op veilige omgang met hun gegevens.

Het beleid is toepasbaar binnen elke organisatie die werkt met persoonsgegevens, ongeacht grootte of sector. Het vormt de basis voor nadere uitwerking in uitvoeringsplannen, werkinstructies en interne procedures.

Belangrijke begrippen eenvoudig uitgelegd

Privacy	Het recht van mensen om zelf te bepalen wat er met hun persoonlijke gegevens gebeurt.
Persoonsgegevens	Alle informatie die direct of indirect iets zegt over een persoon. Denk aan naam, adres, e-mailadres, BSN, medische gegevens, enz.
Informatiebeveiliging	Alles wat je doet om informatie te beschermen tegen verlies, misbruik of diefstal – zowel digitaal als op papier.
AVG	De Algemene Verordening Gegevensbescherming is de Europese wet die regels stelt aan het gebruik van persoonsgegevens.
BIO 2.0	De landelijke norm voor informatiebeveiliging binnen de overheid. Ook toepasbaar in andere publieke organisaties.
NIS2 / Cyberbeveiligingswet	Europese regels om digitale systemen en netwerken beter te beschermen. Sinds 2025 ook van toepassing op publieke organisaties.
AI Act	Europese wet over verantwoord gebruik van kunstmatige intelligentie (AI). Beschermt mensen tegen onveilige of oneerlijke toepassingen van algoritmes.
Autoriteit Persoonsgegevens (AP)	De Nederlandse toezichthouder die controleert of organisaties zich aan de privacywet houden.
CISO	De Chief Information Security Officer. Verantwoordelijk voor informatiebeveiliging binnen de organisatie.
FG	De Functionaris Gegevensbescherming. Houdt toezicht op de bescherming van persoonsgegevens.
BIV-classificatie	Hulpmiddel om te bepalen hoe belangrijk informatie is op het gebied van Beschikbaarheid, Integriteit en Vertrouwelijkheid.
ISMS / PIMS	Managementsystemen die helpen om informatiebeveiliging (ISMS) en privacy (PIMS) goed te organiseren en aantoonbaar te verbeteren.
Proceseigenaar	Degene die eindverantwoordelijk is voor hoe in een proces met informatie en gegevens wordt omgegaan.

Privacy en informatiebeveiliging – helder uitgelegd

Waarom dit beleid nodig is

Iedere organisatie die werkt met persoonsgegevens – of dat nu een gemeente, een basisschool of een zorginstelling is – heeft de verantwoordelijkheid om die gegevens veilig en zorgvuldig te behandelen. Privacy en informatiebeveiliging zijn daarin onlosmakelijk verbonden:

Privacy gaat over het recht van mensen om zelf te bepalen wat er met hun gegevens gebeurt.
Informatiebeveiliging gaat over de bescherming van álle informatie, zodat deze correct, volledig en beschikbaar blijft – alleen voor degenen die daar recht op hebben.

Een goede aanpak voorkomt incidenten zoals datalekken, onrechtmatige toegang, identiteitsfraude of imagoschade. Maar belangrijker nog: het zorgt voor vertrouwen bij inwoners, cliënten, ouders, leerlingen en medewerkers.

Doel van het privacybeleid

Het privacybeleid heeft als doel om:

Te zorgen dat persoonsgegevens veilig en rechtmatig worden verwerkt;
Inwoners, cliënten, ouders of leerlingen te informeren over hoe met hun gegevens wordt omgegaan;
Medewerkers bewust te maken van hun rol in het beschermen van privacy;
Organisaties te helpen voldoen aan wet- en regelgeving, zoals de AVG, UAVG en – waar van toepassing – de Wet politiegegevens (Wpg).

Doel van het informatiebeveiligingsbeleid

Het informatiebeveiligingsbeleid helpt om:

Vertrouwelijkheid te waarborgen: alleen bevoegde personen hebben toegang tot informatie;
Integriteit te bewaken: informatie moet juist en volledig zijn;
Beschikbaarheid te garanderen: informatie moet toegankelijk zijn wanneer nodig.

Daarnaast helpt het beleid om risico’s te beheersen, incidenten te voorkomen, en duidelijk te maken wie waarvoor verantwoordelijk is. Ook wordt hiermee voldaan aan wettelijke verplichtingen zoals de BIO 2.0, de NIS2-richtlijn en – in de nabije toekomst – de Cyberbeveiligingswet (Cbw).

Samenhang tussen privacy en informatiebeveiliging

Hoewel privacy en informatiebeveiliging verschillende aandachtsgebieden zijn, vullen ze elkaar aan:

Privacy zonder goede beveiliging is kwetsbaar.
Beveiliging zonder aandacht voor privacy kan leiden tot ongewenste controle of datamisbruik.

Daarom is het belangrijk dat beide thema’s geïntegreerd worden benaderd binnen de organisatie, en niet als losstaande onderwerpen.

Wie is waarvoor verantwoordelijk?

Privacy en informatiebeveiliging zijn niet alleen technische of juridische onderwerpen. Het raakt de hele organisatie en vraagt betrokkenheid van iedere medewerker. Iedereen heeft zijn of haar eigen verantwoordelijkheid — afhankelijk van de rol in de organisatie.

Bestuur en directie

Stellen het strategisch beleid vast.
Zorgen dat privacy en informatiebeveiliging structureel onderdeel zijn van besluitvorming.
Leggen verantwoording af over naleving aan raad, toezichthouder of inspectie.

Let op: Bestuurders vallen onder de zorgplicht van de NIS2-richtlijn en moeten aantoonbaar op de hoogte zijn van beveiligingsrisico’s en verplichtingen.

Management / leidinggevenden

Vertalen het beleid naar concrete acties binnen teams.
Zijn eindverantwoordelijk voor veilige gegevensverwerking in hun processen.
Ondersteunen bewustwording en naleving binnen het team.
Betrekken tijdig de Functionaris Gegevensbescherming (FG) of de CISO bij veranderingen of risico’s.

Functionaris Gegevensbescherming (FG)

Houdt onafhankelijk toezicht op de toepassing van de AVG.
Adviseert bestuur en management.
Heeft het recht om gevraagd én ongevraagd te rapporteren.
Stelt jaarlijks een verslag op over de naleving van de privacywetgeving.

CISO (Chief Information Security Officer)

Adviseert over informatiebeveiliging en het treffen van passende maatregelen.
Coördineert risicoanalyses en incidentafhandeling.
Helpt bij opstellen en bijhouden van beleid, procedures en werkinstructies.
Houdt toezicht op de uitvoering en rapporteert periodiek aan bestuur of directie.

Privacy-adviseur of -contactpersoon

Is aanspreekpunt voor privacy-vragen binnen de eigen afdeling of locatie.
Ondersteunt leidinggevenden en collega’s bij correcte omgang met persoonsgegevens.
Houdt contact met de FG of CISO bij onduidelijkheden of signalen.

Deze rol kan door een medewerker worden ingevuld naast de reguliere taken.

Applicatiebeheerders / ICT-verantwoordelijken

Beheren systemen en zorgen voor een veilige inrichting van software.
Bewaken toegang, logging en beveiligingsupdates.
Signaleren risico’s en werken mee aan technische maatregelen (zoals twee factor authenticatie, encryptie, back-ups).

Iedere medewerker

Iedereen die werkt met persoonsgegevens heeft een verantwoordelijkheid, of je nu werkt in de frontoffice, administratie, zorg, onderwijs of handhaving. Als medewerker:

✅ Weet je wat wel en niet mag met persoonsgegevens
✅ Meld je datalekken of incidenten direct
✅ Werk je volgens de geldende procedures
✅ Vraag je hulp bij twijfel

Visie, ambitie en wetgeving – van basis op orde naar toekomstbestendig

Een gedeelde visie: veilig omgaan met data

Iedere organisatie die werkt met persoonsgegevens heeft een maatschappelijke verantwoordelijkheid om die informatie goed te beschermen. Of het nu gaat om leerling-dossiers, cliëntinformatie of burgergegevens — mensen moeten erop kunnen vertrouwen dat hun data veilig zijn.

De gezamenlijke ambitie:
Een veilige, betrouwbare en transparante organisatie, waarin privacy en informatieveiligheid verankerd zijn in beleid, gedrag en techniek.

Waar willen we naartoe?

De meeste publieke organisaties werken op dit moment toe naar een zogenaamd volwassenheidsniveau 3 of 4 op het gebied van privacy en informatiebeveiliging. Dit betekent:

Aantoonbare naleving van wet- en regelgeving;
Duidelijke procedures en verantwoordelijkheden;
Periodieke controles, evaluaties en bijstellingen;
Bewust bekwaam handelen door bestuur, management en medewerkers.

Volwassenheidsniveau 4 is het gewenste einddoel: beleid is geborgd, integraal onderdeel van processen, en medewerkers handelen proactief. Niveau 5 (volledig geoptimaliseerd) is ambitieus, maar (nog) niet realistisch voor iedere organisatie.

Belangrijkste wet- en regelgeving (2025 en verder)

Hieronder een overzicht van de wetten en normen waar publieke organisaties rekening mee moeten houden:

✅ AVG en UAVG

Europese wetgeving voor bescherming van persoonsgegevens.
Geldt voor alle organisaties die persoonsgegevens verwerken.
De UAVG is de Nederlandse aanvulling met o.a. rollen en toezicht.

✅ BIO 2.0 – Baseline Informatiebeveiliging Overheid

Normenkader voor informatiebeveiliging binnen de publieke sector.
Sinds 2025 verplicht kader voor onder andere gemeenten.
Gebaseerd op ISO 27001 en ISO 27002.

✅ NIS2 en de Cyberbeveiligingswet (Cbw)

Europese richtlijn voor netwerk- en informatiebeveiliging.
Sinds 2024 van kracht, nationale wetgeving sinds 2025.
Introduceert meldplicht, zorgplicht en bestuurlijke aansprakelijkheid.
Geldt ook voor onderwijs, zorginstellingen en gemeenten.

✅ AI Act

Europese wet voor verantwoord gebruik van kunstmatige intelligentie.
Geldt voor organisaties die AI inzetten voor besluitvorming, risicobeoordeling of geautomatiseerde processen.
Verplicht o.a. risicoanalyse (AI-DPIA), transparantie en menselijk toezicht bij hoog-risico toepassingen.

✅ Wet politiegegevens (Wpg)

Specifieke regels voor verwerking van persoonsgegevens bij opsporingstaken.
Geldt o.a. voor gemeenten en organisaties die werken met boa’s.
Jaarlijkse interne audit verplicht, externe audit minimaal elke vier jaar.

Waarom deze regels ertoe doen

Het doel van deze regelgeving is niet om te belemmeren, maar om organisaties te helpen:

Risico’s te verkleinen (zoals datalekken, reputatieschade of boetes);
Vertrouwen te behouden van burgers, cliënten of ouders;
Verantwoording af te leggen richting toezichthouders en samenleving;
Veilig te innoveren, ook met nieuwe technologie zoals AI.

Uitvoering, borging en randvoorwaarden

Wat is nodig om beleid in de praktijk te brengen?

Een goed strategisch beleid is belangrijk, maar zonder uitvoering blijft het een papieren tijger. Daarom is het essentieel dat privacy en informatiebeveiliging:

Leven in de organisatie;
Onderdeel zijn van het dagelijks werk;
Continu worden verbeterd.

Dat lukt alleen als er aan een paar belangrijke randvoorwaarden wordt voldaan.

Uitgangspunten voor een veilige organisatie

1. Bewustwording en training

Iedere medewerker moet begrijpen wat zijn of haar rol is bij het veilig omgaan met gegevens. Dat begint met:

Basiskennis van privacy en informatiebeveiliging;
Eenvoudige instructies voor het dagelijks werk;
Regelmatige training en herhaling.

Ook bestuur en management volgen verplichte opleidingen, o.a. vanwege de NIS2-richtlijn.

2. Heldere eigenaarschap per proces

Elk proces waarin persoonsgegevens worden verwerkt, moet een proceseigenaar hebben. Deze is verantwoordelijk voor:

Correcte verwerking van gegevens;
Beveiliging van systemen en informatie;
Het uitvoeren van risicoanalyses (zoals DPIA’s);
Betrekken van de CISO of FG bij wijzigingen.

3. Periodieke controles en actualisatie

Jaarlijks wordt geëvalueerd of het beleid nog actueel is.
Incidenten en datalekken worden geanalyseerd om van te leren.
Risicoanalyses leiden tot bijsturing waar nodig.
Auditresultaten (zoals ENSIA en WPG-audits) vormen input voor verbetering.

4. Gebruik van de PDCA-cyclus

De organisatie werkt volgens de Plan–Do–Check–Act methode:

Fase	Activiteit
Plan	Doelen en maatregelen vastleggen in beleid en uitvoeringsplan
Do	Uitvoeren van het beleid en de maatregelen
Check	Meten, controleren, auditen en toetsen
Act	Verbeteringen doorvoeren en bijsturen

Zo wordt er continu gewerkt aan verbetering en borging.

5. Risicogestuurde aanpak

Privacy- en beveiligingsmaatregelen worden afgestemd op risico’s.
Niet elk proces heeft dezelfde impact bij een datalek of fout.
Door risico’s goed in kaart te brengen, voorkom je over- of onderbeveiliging.

6. Voldoende middelen en capaciteit

Er moet voldoende budget zijn voor trainingen, tooling, ondersteuning en audits.
De organisatie stelt hiervoor mensen en middelen beschikbaar in het uitvoeringsplan.
IT, HR, beleid en lijnmanagement werken hierin samen.

Wie stuurt, controleert en houdt het actueel?

Besturen en leidinggeven aan privacy & informatiebeveiliging

Goed privacy- en informatiebeveiligingsbeleid vraagt om duidelijk leiderschap. Niet alleen op papier, maar ook in gedrag, sturing en voorbeeldfunctie. Daarvoor is binnen de organisatie een duidelijke governancestructuur nodig: wie is waarvoor verantwoordelijk?

Overzicht van rollen en verantwoordelijkheden

Rol	Verantwoordelijkheden
Bestuur en directie	Stellen beleid vast, maken middelen vrij, leggen verantwoording af.
Managementteam (MT)	Stuurt op uitvoering binnen afdelingen en processen. Ziet toe op naleving en risico's.
Concerncontroller / stafadviseur	Verbindt privacy & informatiebeveiliging aan risicobeheer en rechtmatigheid.
CISO (Chief Information Security Officer)	Coördineert informatiebeveiliging, adviseert, rapporteert, toetst en monitort.
Functionaris Gegevensbescherming (FG)	Toezichthouder op naleving privacywetgeving. Brengt onafhankelijk advies en jaarverslag uit.
Privacy-adviseur / -contactpersoon	Eerste aanspreekpunt in het team of de afdeling, ondersteunt bij vragen en risico’s.
Proceseigenaren / teamleiders	Verantwoordelijk voor veilige en rechtmatige gegevensverwerking binnen eigen proces.
Applicatiebeheerders	Zorgen voor veilige inrichting en beheer van IT-systemen. Signaleren risico’s en incidenten.
Iedere medewerker	Past procedures toe, signaleert bijzonderheden, meldt incidenten of datalekken.

Drie lijnen model (Three Lines)

De meeste organisaties gebruiken het ‘Three Lines’-model om verantwoordelijkheden te structureren:

Eerste lijn: proceseigenaren en medewerkers – voeren uit en signaleren
Tweede lijn: CISO, FG, privacyadviseurs – adviseren, toetsen, monitoren
Derde lijn: interne auditor, externe audits – beoordelen onafhankelijk en signaleren verbetermogelijkheden

Verantwoording en toezicht

Organisaties moeten kunnen aantonen dat ze privacy en informatiebeveiliging serieus nemen en op orde hebben. Daarom geldt:

Jaarlijkse audits (zoals ENSIA en eventueel WPG-audits);
Jaarverslag van de FG;
Rapportage door CISO aan bestuur en management;
Duidelijke communicatie van voortgang en verbeterpunten.

Omgaan met nieuwe wet- en regelgeving

Nieuwe wetten of updates van bestaande regels zijn onvermijdelijk. Denk aan:

De AI Act (geleidelijke invoering vanaf 2025);
De Cyberbeveiligingswet (Cbw) als nationale invulling van NIS2;
Nieuwe Nederlandse wetten zoals PARTA, WAMS en de Wet Gemeenschappelijke Samenwerkingsverbanden (WGS).

De organisatie volgt wetgevingskalenders actief en verwerkt relevante ontwikkelingen in beleid, procedures en bewustwordingsactiviteiten.

Tot slot: Beleid actueel houden

Het strategisch beleid wordt minimaal elke drie jaar herzien.
Het uitvoeringsplan wordt jaarlijks bijgewerkt op basis van audits, risicoanalyses en incidenten.
Medewerkers en leidinggevenden worden actief betrokken bij het signaleren van knelpunten en kansen.

📌 Een goed beleid leeft. Het wordt niet één keer vastgesteld, maar groeit met de organisatie mee.

Vraag vandaag nog een gratis demo aan van onze e-learnings en ontdek hoe je jouw organisatie veiliger maakt.

Gratis demo aanvragen