Gemeenteblad van Bunschoten
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Bunschoten | Gemeenteblad 2016, 50087 | Overige besluiten van algemene strekking |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Bunschoten | Gemeenteblad 2016, 50087 | Overige besluiten van algemene strekking |
Beveiligingsplan Suwinet gemeente Bunschoten 2016
De gemeente Bunschoten heeft als uitvoerder van diverse wetten en regelingen te maken met veel registraties. Om de efficiency en de effectiviteit te verbeteren worden de laatste jaren steeds meer van die registraties gekoppeld en is samenwerking binnen verschillende ketens noodzakelijk. Op basis van de wet Structuur uitvoering werk en inkomen (Suwi) is BBS Werk en Inkomen één van die ketens. Ketenpartners zijn het Bureau Keteninformatisering werk en inkomen (BKWI), het Uitvoeringsinstituut Werknemersverzekeringen (UWV en het UWV WERKbedrijf), de stichting Inlichtingenbureau Gemeenten (IB) en gemeenten. Zij wisselen via een elektronische infrastructuur persoonsgegevens met elkaar uit. Dit is het Suwinet.
Suwinet is tevens het netwerk waarover we de klantgegevens uitwisselen voor het Digitaal Klant Dossier. Belangrijk aspect hierbij is de Wet eenmalige gegevensuitvraag (WEU), in werking getreden op 1 januari 2008. Bij de start van de WEU is vastgelegd dat gegevens niet meerdere malen mogen worden opgevraagd. De klantgegevens die beschikbaar zijn via Suwinet moeten dus optimaal hergebruikt worden.
Suwinet-inkijk is de applicatie die op Suwinet draait. Binnen deze applicatie worden gegevens op basis van onder andere het Burgerservicenummer (BSN) toegankelijk gemaakt voor bevoegde medewerkers. Het gaat over privacygevoelige gegevens zoals; inschrijvingen in de Basisregistratie Persoonsgegevens, arbeidsverleden, loon, uitkeringen en opleiding van burgers die in aanmerking (willen) komen voor een uitkering. Ook is een Verificatie Informatie Systeem (VIS module) opgenomen waarmee op basis van legitimatiebewijzen en vreemdelingendocumenten gegevens kunnen worden opgevraagd. De organisaties hebben die gegevens nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren.
Aanvullend wordt Suwinet gebruikt binnen de gemeente Soest bij de afdeling financiën bij het uitvoeren van de taken in het kader van de WOZ belasting.
Om de Suwi keten effectief te laten functioneren moeten partijen erop kunnen vertrouwen dat ‘hun’ gegevens door de partners in de Suwi-keten op een zorgvuldige en controleerbare wijze worden behandeld. De wetgever heeft bij de start van Suwinet in 2002 aangegeven dat gegevensbeveiliging noodzakelijk is. Voor alle ketenpartners is dit met beveiligingsvoorschriften uitgewerkt in artikel 6.4 en bijlage 1 van de regeling Suwi. Dit betekent dat bevoegde gebruikers van Suwinet over nogal wat privacygevoelige informatie van cliënten kunnen beschikken. Daarnaast neemt het aantal bronnen waarvan Suwinet gebruik kan maken alleen maar toe. Naast de Rijksdienst voor het Wegverkeer (RDW), Sociale Verzekeringsbank (SVB), UWV en de Dienst Uitvoering Onderwijs (DUO) is ook de Belastingdienst aangesloten op Suwinet.
Als gevolg van de Regeling Suwi is elke gemeente verplicht te beschikken over een actueel informatiebeveiligingsplan. In de Wet Bescherming Persoonsgegevens (WBP) is uitgebreid geregeld hoe met persoonsgegevens moet worden omgegaan. Ook staat hierin welke beveiligingsmaatregelen er moeten worden getroffen. Er zijn dus genoeg redenen om met regelmaat het Beveiligingsplan Suwinet voor BBS Werk en Inkomen te actualiseren.
Het Beveiligingsplan is geen statisch document; het is gebaseerd op diverse landelijke en sectorale uitgangspunten en documenten. De organisaties en de omgeving BBS Werk en Inkomen zijn voortdurend in ontwikkeling, onder andere door gewijzigde of vernieuwende inzichten en wetgeving of aanpassingen in de informatiesystemen. Dat betekent dat dit plan periodiek moet worden beoordeeld op actualiteit en dus mogelijk constante aanpassing behoeft.
Dit beveiligingsplan heeft veel raakvlakken met het algemene beveiligingsbeleid waarvoor wij als gemeente Bunschoten aanhaken bij het beleid vanuit Soest. Daarom moet dit plan in samenhang met het stuk ‘Informatiebeveiligingsbeleid 1.0’ van de gemeente Soest gelezen worden. Wat niet specifiek in het beveiligingsplan is geregeld, valt onder het algemene informatiebeveiligingsbeleid.
2. Verdeling verantwoordelijkheden
De directeur BBS Werk en Inkomen is eindverantwoordelijk voor het gebruik en de beveiliging van Suwinet-Inkijk. Zij geeft aan de gebruikersbeheerder van Suwinet aan wie en met welke rol krijgt tot Suwinet-inkijk. De gebruikersbeheerder geeft hierna het gebruik voor de medewerker vrij.
De functie van security-officer is voor BBS Werk en inkomen bij een specifieke medewerker bedrijfsvoering/vakspecialist A neergelegd. Gekozen is voor deze, ten opzichte van het vorige beveiligingsplan gewijzigde opzet, om te voorkomen dat er bij eventuele geconstateerde onrechtmatigheden een zorgvuldige afweging van de belangen van de betrokken medewerker kan plaatsvinden1. Daarmee krijgt de monitoring van de beveiliging van Suwinet een stevige permanente basis in het uitvoeringsproces.
De security-officer ziet toe op een correcte beveiliging van Suwinet. Hij is in zijn rol onafhankelijk, maar laat zich in de uitvoering uiteraard adviseren vanuit verschillende rollen en lagen in de organisatie. Naar aanleiding van periodieke controles en (eventueel tussentijdse) evaluatie worden eventueel aanvullende maatregelen genomen om de rechtmatigheid te borgen. Indien noodzakelijk stelt hij voor het beleid daarop aan te passen en ziet toe op juiste implementatie van de wijzigingen.
Bevordert en adviseert over de beveiliging van Suwinet, verzorgt rapportages over de status, controleert dat, met betrekking tot de beveiliging van Suwinet, de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de beveiliging van Suwinet.
3. Taken en verantwoordelijkheden
3.1 Rechten voor medewerkers algemeen
Er is een aantal functies binnen BBS Werk en Inkomen die geautoriseerd zijn om gebruik te maken van Suwinet-inkijk. Het gaat om de volgende functies:
Taken van de applicatiebeheerder:
Bij afwezigheid neemt de vervanger van de applicatiebeheerder deze taken over.
De autorisatierollen voor gebruikers zijn vormgegeven in zogenaamde stapelbare autorisaties waarbij aan een gebruiker meerdere autorisaties kunnen worden toegewezen. Met deze stapelbare autorisaties is BBS Werk en Inkomen zelf in staat per functionaris te bepalen welke informatie te raadplegen is voor welke taken (zie bijlage).
Het doel is te borgen dat het gebruik van de gegevens binnen Suwinet-Inkijk plaatsvindt binnen de wettelijke kaders en overeenkomstig de doelen die de organisatie hiertoe heeft geformuleerd
Er zijn verschillende functies waarin Suwinet-inkijk gebruikt wordt voor het raadplegen van cliëntgegevens/informatie. In het onderstaand overzicht volgt per functie in welke gevallen Suwinet-inkijk gebruikt mag worden. We spreken in die gevallen van geoorloofd gebruik. Wordt Suwinet om andere redenen gebruikt dan zoals hieronder verwoord, dan is er in principe sprake van ongeoorloofd gebruik.
Logging rapportages en controle op gebruik
Het Bureau Keteninformatisering Werk en Inkomen (BKWI) heeft rapportages ontwikkeld over de logging van het gebruik van Suwinet-inkijk. Het BKWI is verplicht om gegevens te loggen waarmee het gebruik van Suwinet-inkijk per medewerker van o.a. de gemeente kan worden nagegaan. De volgende gegevens worden gelogd:
Het doel van deze logging is tweeledig:
De gebruikers van Suwinet-inkijk moeten weten dat over hen gegevens worden verzameld en vastgelegd. Dit is een belangrijk onderdeel van de privacybescherming ten opzichte van deze medewerkers. Met het oog hierop moet de navolgende informatie worden verstrekt aan de medewerkers die (gaan) werken met Suwinet-inkijk:
Controle van het beveilingsplan Suwinet kan uitgevraagd worden t.b.v. de managementrapportages en het jaarlijkse accountantsverslag. Het betreft de volgende gegevens: inkijkacties; opvragingen unieke burgerservicenummer; geldige ten opzichte van ongeldige rollen; inlogpogingen; administrator accounts; accounts per status; opvragingen per pagina; geregistreerde ten opzichte van actieve accounts.
De logginggegevens worden door de security-officer beoordeeld en gerapporteerd aan de directeur, die de desbetreffende medewerker(s) bij ongeoorloofd gebruik daarop aanspreekt en gepaste maatregelen neemt.
5. Tien gouden regels bij beveiliging van persoonsgegevens
Regels bij beveiliging van persoonsgegevens in relatie tot verkregen Suwi gegevens Voor het werken met en de omgang met persoonsgegevens zijn vanuit de overheid een aantal regels opgesteld, die zijn verwoord in verschillende wet- en regelgeving. Concreet kunnen deze regels in relatie tot de SUWI wetgeving als volgt worden vertaald:
De gebruiker moet het door de administrator uitgegeven wachtwoord wijzigen zodra de eerste inlog plaatsvindt. Vervolgens vervalt dat wachtwoord iedere keer na 32 dagen (is standaard ingesteld vanuit de applicatie).
De gebruiker heeft dus het eigen beheer over het wachtwoord.
Zodra een medewerker de gemeente verlaat, wordt het aanmeldaccount voor Suwinet voor deze persoon verwijderd door de applicatiebeheerder.
2. Melden van beveiligingsincidenten
Het is belangrijk dat eventuele beveiligingsincidenten binnen Suwinet worden gemeld bij de applicatiebeheerder. Algemene beveiligingsincidenten worden gemeld bij de functionaris genoemd in het informatiebeveiligingsplan van de gemeente Soest.
Voorbeelden van dergelijke incidenten zijn: een virusmelding op het systeem of een inbraak of poging tot inbraak.
Binnen onze dienst wordt met persoonsgegevens gewerkt. Voor het werken met en de omgang met persoonsgegevens zijn vanuit de overheid een aantal regels opgesteld, die zijn verwoord in de Wet bescherming persoonsgegevens. In de wet SUWI en in de Collectieve Arbeidsovereenkomst (CAO) zijn geheimhoudingsbepalingen opgenomen. Daarin wordt aangegeven dat de persoonsgegevens niet verder bekend mogen worden gemaakt dan voor de uitoefening van de functie noodzakelijk is.
4. Gedragscode internetgebruik
Onze dienst heeft een protocol voor gebruik van internet. In dit protocol is aangegeven hoe de medewerkers behoren om te gaan met internet op de werkplek. Tevens bevat dit protocol regels voor de manier waarop het gebruik van internet wordt geobserveerd. Het protocol is voor medewerkers te raadplegen op het gemeentelijke Intranet.
5. Kennisnemen van het informatiebeveiligingsbeleid van BBS zowel als van het centrale informatiebeveiligingsbeleid
Het binnen BBS Werk en Inkomen geldende informatiebeveiligingsbeleid (inclusief instructies en protocollen) is op iedereen binnen de afdelingen van toepassing die gebruik maakt van Suwinet-Inkijk.
Gebruikers van Suwinet-Inkijk moeten weten dat over hen gegevens worden vastgelegd en verzameld. Dit is een belangrijk onderdeel van de privacybescherming ten opzichte van deze medewerkers. In het beveiligingsplan is hier uitgebreid aandacht aan besteed.
Jaarlijks, bij de evaluatie van dit beveiligingsplan, wordt dit onderwerp ook geagendeerd voor de teamoverleggen van BBS.
6. Gegevensverstrekking aan derden via de telefoon
Het uitgangspunt is dat er met terughoudendheid aan verzoeken om telefonische informatie over betrokkenen wordt tegemoetgekomen.
Het voeren van telefoongesprekken brengt namelijk de risico’s met zich mee dat de identiteit van de gesprekspartner verkeerd wordt vastgesteld of dat persoonsgegevens worden verstrekt aan personen die geen recht op informatie hebben.
In principe wordt er dan ook geen telefonische informatie over klanten verstrekt aan personen of instanties die beweren namens betrokkene te bellen. In die gevallen kan er een schriftelijk verzoek worden ingediend, voorzien van een machtiging.
7. Clear desk en clear screen policy
De vertrouwelijke omgang met persoonsgegevens houdt onder andere in dat elke werkplek zodanig is ingericht, dat onbevoegden niet de beschikking kunnen krijgen over deze informatie. Vertrouwelijke gegevens mogen niet onbeheerd op het bureau achterblijven.
Dossiers worden bewaard in een kast die na werktijd wordt gesloten. Bezoekers dienen zich bij binnenkomst in het gemeentehuis eerst te melden bij de receptie. De kans is daarom gering dat onbevoegden zonder te worden opgemerkt toegang krijgen tot de werkplek van de medewerkers. Clear screen betekent dat het werkstation moet worden vergrendeld met behulp van schermbeveiliging (met wachtwoord). De screensaver is zodanig ingesteld dat na een paar minuten de schermbeveiliging intreedt. Dit is voor iedere medewerker standaard ingesteld.
8. Geen vertrouwelijke gegevens in de prullenbak
De correcte omgang met vertrouwelijke gegevens – waaronder persoonsgegevens – is erg belangrijk binnen BBS Werk en Inkomen en de gemeente Bunschoten. Ook het vernietigen van deze gegevens moet op een veilige manier plaatsvinden. De vertrouwelijke gegevens die moeten worden vernietigd worden regelmatig aangeleverd bij het vernietigingsbedrijf.
9. Aanspreken van onbekende personen
In het geval dat een medewerker een voor hem/haar onbekende persoon op de afdeling tegenkomt waar officieel geen publiek zonder begeleiding mag komen, dient de medewerker deze persoon aan te spreken, zichzelf voor te stellen en de persoon in kwestie te vragen wat hij/zij hier doet.
10. De dagelijkse werkzaamheden t.a.v. informatiebeveiliging
Informatiebeveiliging is uitermate belangrijk voor het werk binnen BBS Werk en Inkomen en de gemeente Bunschoten waar veelvuldig met privacygevoelige informatie wordt gewerkt en hoort dan ook bij de professionele en bekwame uitvoering van het werk. Ook klanten vertrouwen op een zorgvuldige wijze van verwerken van hun gegevens. Reden waarom middels de interne overleggen geregeld aandacht aan dit onderwerp wordt besteed.
Het nieuwe werken, flexibel werken
Binnen BBS Werk en Inkomen is het van essentieel belang om op een correcte wijze om te gaan met vertrouwelijke gegevens, waaronder persoonsgegeven. Tevens is dit een belangrijk aandachtspunt voor het thuiswerken. Specifiek voor het thuiswerken zijn er interne richtlijnen. Hierin staat onder andere dat we in het oog van de privacy gevoelige informatie goed moeten blijven beveiligen. Dit betekent geen dossiers mee naar huis en geen Suwinet raadplegen thuis.
Bijlage 1 Inwerkprogrammamedewerkers
Inwerkprogramma Werk en Inkomen Baarn Bunschoten Soest
Bijlage 2 Geheimhoudingsverklaring
Ondergetekende, geautoriseerd tot het opvragen van gegevens uit de al dan niet geautomatiseerd toegankelijke gemeentelijke gegevensbestanden, BRP en Suwinet, verklaart zijn/haar werkzaamheden te zullen verrichten onder de volgende voorwaarden:
Wanneer ondergetekende de laatste is die aan het einde van de werkdag de ruimte verlaat waarin het werkstation is opgesteld dat toegang geeft tot de gegevensbestanden, zal hij/zij er voor zorg dragen dat ramen en deuren worden gesloten en dat alle werkstations zijn afgemeld en zonodig zijn uitgezet.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2016-50087.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.