3.5 Bedrijfsvoering

Met betrekking tot informatieveiligheid en privacy, wordt blijvend gestuurd op het borgen van de vertrouwelijkheid van persoonsgegevens en bedrijfskritieke data. De belangrijke risico’s op het gebied van informatieveiligheid en privacy worden verder in beeld gebracht naar classificatie: waarbij de beschikbaarheid (continuïteit), de integriteit (betrouwbaarheid) en de vertrouwelijkheid (exclusiviteit) van informatie en systemen wordt meegewogen. Zo nodig worden aanvullende technische en of organisatorische maatregelen getroffen om de risico’s te beperken. De verantwoordelijkheid voor de uitvoering van het verbeterprogramma is halverwege 2020 direct bij het CMT neergelegd en wordt niet langer aangestuurd als een concernbrede opdracht. Informatieveiligheid en het bewaken van de privacy vraagt vanzelfsprekend wel een concernbrede aansturing, maar indien noodzakelijk ook een hiërarchische bevoegdheid. Die is nu scherper belegd dan in de afgelopen jaren. Minimaal twee keer per jaar wordt aan de Staten gerapporteerd over de voortgang op het gebied van informatieveiligheid en privacy.