Inleiding

In onze digitale samenleving zijn we zeer afhankelijk van (digitale) informatie. We delen zeer veel informatie met elkaar, met inwoners en bedrijven en andere instanties. Hierdoor ontstaan ook risico’s. De vraag hoe we onze informatievoorziening willen en kunnen beschermen beschrijven we in dit beleid informatieveiligheid en privacy. Dit beleid is van toepassing op de gehele organisatie, alle processen, organisatieonderdelen, objecten, informatiesystemen en gegevens(verzamelingen). Een integraal onderdeel van de Informatieveiligheid is privacy; een bestaand fenomeen, maar in de afgelopen jaren, mede door de digitalisering en brede uitwisseling (ketensamenwerking) van informatie en de AVG veel actueler geworden. Het raakt de persoonlijke levenssfeer van inwoners en vereist een andere houding en invulling van de overheid. Gemeentes zijn niet alleen verantwoordelijk voor het borgen van de privacy van hun inwoners, maar ook deels voor het zorgvuldig omgaan met persoonsgegevens in de ketens die zij regisseren en de netwerken waarin ze samenwerken. Vanuit dit oogpunt is het noodzakelijk een visie op privacy en beleid daarvoor te formuleren, zodat deze gebruikt kan worden als kapstok om de diverse uitvoeringszaken, zoals bijvoorbeeld de regie op eigen gegevens, vorm te geven. Daarbij is het kunnen voldoen aan de AVG leidend.

Dit document bevat algemene beleidsuitgangspunten over informatieveiligheid en privacy. Die hebben een sterk normerend karakter en geven keuzes weer. Verder beschrijft dit document welke rollen betrokken zijn bij informatieveiligheid en welke maatregelen genomen worden om informatie te beschermen. Dit zijn maatregelen op het vlak van huisvesting, ICT, maar houden ook werkafspraken en proceduremaatregelen in. Het beleid geldt dan ook niet alleen voor beheerders van informatie of voor gebouwbeheerders, maar ook voor medewerkers en managers. Iedereen in de organisatie gaat met informatie om. Voor een groot deel is dit document een beschrijving van bestaande uitgangspunten, normen en maatregelen. De verschillende maatregelen en normen zijn wel eenduidig gemaakt en binnen één geheel geplaatst.

Het beleid informatieveiligheid en privacy is een onderdeel van het informatiebeleid van de gemeente Wageningen. Het is een zoveel mogelijk generiek plan. Buiten dit plan vallen specifieke procesbeschrijvingen (waarborgen voor betrouwbaarheid/integriteit van gegevens), het backup-, herstel- en uitwijkdraaiboek (waarborgen voor continuïteit van gegevens) en beleidsplannen en procedures die niet rechtstreeks met informatiebeveiliging en privacy te maken hebben, zoals het agressieprotocol. Buiten dit plan vallen ook specifieke handboeken, regelingen en verordeningen die vanuit wet- en regelgeving of audits opgesteld moeten worden. Al deze plannen hebben een relatie met dit plan.

Dit document is een geactualiseerde versie van het informatiebeveiligingsbeleid, dat vastgesteld is in 2016, en vervangt dat document dan ook.

 

H1 Bescherming van waardevolle informatie

Informatiebescherming draait om bescherming van de waardevolle informatie. Hoe meer waarde bepaalde informatie heeft voor de gemeente Wageningen, hoe meer beschermingsmaatregelen we nemen. De waarde van informatie wordt hieronder gesplitst in drie soorte

 

1.1 Beschikbaarheid van informatie

Informatie heeft waarde wanneer het continue beschikbaar moet zijn. Wanneer de informatie niet toegankelijk is en/of niet gebruikt kan worden, heeft dit een impact op de dienstverlening en op kosten. Dit is een verlies van efficiëntie. Het belang van beschikbaarheid is niet voor alle informatiebronnen en systemen hetzelfde. Wanneer het belang van beschikbaarheid hiervan hoog is, wordt deze als bedrijfskritisch bestempeld en worden er aanvullende maatregelen genomen om bedreigingen op dit vlak tegen te gaan. De beoordeling van deze waarde moet worden gedaan door de eigenaar van de informatie.

Bedreigingen voor de beschikbaarheid van informatie zijn onder andere:

 

• 1.

  Wijzigingen van software en netwerk die bewust, als aanval, of onbedoeld de beschikbaarheid van een informatiebronnen en systeem negatief beïnvloeden. Bij onvoldoende bescherming is de kans hierop vrij groot.

• 2.

  Bedoeld, als aanval, of onbedoeld, door ondeskundig gebruik, verwijderen of vernietigen van informatie(bronnen). Bij onvoldoende bescherming is de kans hierop vrij groot.

• 3.

  Te beperkte netwerkcapaciteit (snelheid, opslag) bij het gebruik van het netwerk of aanvallen gericht op het vastlopen van het netwerk. De kans op dit soort aanvallen is beperkt, maar netwerkcapaciteit moet continu in de gaten gehouden worden, want de kans op “bottlenecks” is vrij groot.

• 4.

  Uitval van nutsvoorzieningen en elektriciteit (regionale of landelijke blackout). De waarschijnlijkheid hierop wordt door de VGGM ingeschat op 1x in de 50 jaar.[1]

• 5.

  Brand (1x in de 100 jaar).

• 6.

  Overstroming of evacuatie bij kans hierop (1x in de 12,5 jaar).

 

1.2 Integriteit van informatie

Informatie heeft waarde wanneer veranderingen ervan impact hebben op de organisatie. Dit betekent dat de “integriteit” van informatie beschermd moet worden. Integriteit van informatie betekent: “de mate waarin de gegevens in overeenstemming zijn met het afgebeelde deel van de realiteit, waarbij niets ten onrechte is toegevoegd, verdwenen of achtergehouden”.Het belang van integriteit van informatie is niet voor alle informatie hetzelfde. Zo zal de boodschap van e-mail nog steeds overkomen als een komma verkeerd staat. Bij financiële gegevens kunnen de gevolgen van verlies van integriteit een stuk groter zijn. Bij archiefdocumenten (authenticiteit) en dossiers (volledigheid) speelt integriteit ook een grote rol. Informatiebronnen zijn bedrijfskritisch wanneer het belang van de integriteit van informatie hoog is. Aanvullende maatregelen zijn nodig om bedreigingen tegen te gaan.

• 1.

  Bedreigingen voor de integriteit van informatie zijn onder meer:

• 2.

  Bedoeld (als fraude of diefstal) of onbedoeld (door ondeskundig gebruik) wijzigen van informatie(bronnen);

• 3.

  Onbedoelde veranderingen aan informatie door vervanging en conversie van informatie, van bijvoorbeeld papier naar digitaal of van de ene applicatie naar de andere;

• 4.

  Fouten in programmatuur (applicaties, databases en koppelingen) die gegevens beïnvloeden.

 

1.3 Vertrouwelijkheid van informatie

Informatie heeft ook waarde als ongeoorloofde toegang ertoe al impact heeft op de organisatie. Wanneer de toegang tot informatie impact kan hebben, wordt informatie als vertrouwelijk of gevoelig bestempeld. Vertrouwelijkheid betekent dat een gegeven alleen te benaderen is door iemand die daarvoor gemachtigd is. Vertrouwelijkheid speelt vooral bij de omgang met persoonsgegevens en naar communicatie buiten de gemeente. De gemeente kiest ervoor om geen beperkingen op vertrouwelijkheid van informatie toe te kennen, met uitzondering van persoonsgegevens waar rechten van inwoners beschermd moeten worden. Buiten de organisatie kan de impact van een (te vroegtijdige) openbaarmaking van informatie groter zijn voor de gemeente, zoals speculatie van grond en vastgoed of (politieke) imagoschade. Informatie waarbij vertrouwelijkheid een rol speelt worden in dit document als gevoelig bestempeld.

Bedreigingen voor de vertrouwelijkheid van informatie zijn onder meer:

• 1.

  Onjuiste autorisaties en machtigingen in informatiesystemen;

• 2.

  Misbruik van andermans identiteit (identiteitsfraude) of doorbreken en omzeilen van autorisaties (hacking);

• 3.

  Bedoeld of onbedoeld “lekken” van informatie.

De kans dat de bovenstaande bedreigingen optreden is vrij groot, maar geldt maar voor een deel van de informatie van de gemeente Wageningen. Er is dus maar een deel van de informatie dat bescherming nodig heeft.

 

1.4 Privacy-gevoeligheid van informatie

Privacy gaat over het beschermen van personen in relatie tot informatie die van of over hen bekend is en/of ten aanzien van hen wordt toegepast. Dit wordt ook wel bescherming van persoonsgegevens (of: gegevensbescherming) genoemd en is verankerd in de Grondwet en verder uitgewerkt in de AVG en de Uitvoeringswet AVG.

Binnen de gemeente Wageningen wordt veel gewerkt met persoonsgegevens van inwoners, medewerkers en (keten)partners. Persoonsgegevens worden voornamelijk verzameld bij de inwoners voor het goed uitvoeren van de gemeentelijke wettelijke taken. In onze hedendaagse samenleving kunnen persoonsgegevens voor allerlei (illegale) doeleinden ingezet worden. De inwoner moet er daarom op kunnen vertrouwen dat de gemeente zorgvuldig en veilig met de persoonsgegevens omgaat. In deze tijd gaat ook de gemeente mee met nieuwe ontwikkelingen. Nieuwe technologische ontwikkelingen, innovatieve voorzieningen, globalisering en een steeds meer digitale overheid stellen andere eisen aan de bescherming van gegevens en privacy. De gemeente is zich hier van bewust en zorgt dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole. Het bestuur en management spelen een cruciale rol bij het waarborgen van privacy. De gemeente Wageningen geeft middels dit beleid richting aan privacy en laat zien dat zij de privacy waarborgt, beschermt en handhaaft. Dit beleid is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van de gemeente.

Bij de verwerking van persoonsgegevens staat respect voor de persoonlijke levenssfeer van de betrokkene(n) voorop. Voorkomen moet worden dat er onnodige of te vergaande inbreuken worden gemaakt. De Algemene Verordening (hierna: AVG) biedt hiervoor het wettelijk kader. De AVG heeft als doel om de privacy van alle Europese inwoners te beschermen.

Als algemene regel geldt dat persoonsgegevens op behoorlijke en zorgvuldige wijze moeten worden

verwerkt. De AVG bepaalt verder dat persoonsgegevens alleen voor een specifiek doel mogen worden verzameld en gebruikt. Maar ook dat deze gegevens niet langer mogen worden bewaard dan noodzakelijk om het doel waarvoor ze zijn verzameld, te realiseren.

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming officieel gaan gelden en kan de Autoriteit Persoonsgegevens als toezicht houdende instantie een boete opleggen van maximaal € 20.000.000,- of 4% van de wereldwijde omzet.

 

H2 Beleidsuitgangspunten

De gemeente Wageningen hanteert een aantal belangrijke uitgangspunten in haar beleid informatieveiligheid en privacy. De principes in dit hoofdstuk dienen ook buiten de beschreven maatregelen toegepast te worden.

2.1 Doel en scope beleid informatieveiligheid en privacy

• 1.

  Informatieveiligheid is het geheel van maatregelen, procedures en processen die de waarde van informatie beschermen voor de gemeente Wageningen. Hierbij staat de mens steeds meer centraal.

• 2.

  De informatieveiligheid dient de volgende waarden van informatie van en/of binnen de Gemeente Wageningen te waarborgen: beschikbaarheid, integriteit, vertrouwelijkheid en privacy.

• 3.

  In het beleid informatieveiligheid en privacy van de gemeente Wageningen worden de uitgangspunten op dit terrein weergegeven, wat de verschillende verantwoordelijkheden zijn van betrokken personen en welke maatregelen de gemeente Wageningen neemt om waardevolle informatie te beschermen.

• 4.

  De maatregelen om informatie te beschermen moeten in verhouding zijn met de waarde die de gemeente Wageningen wil beschermen en moeten effectief en efficiënt zijn. De maatregelen dienen zo min mogelijk ten koste te gaan van andere sturingsprincipes van de gemeente Wageningen, zoals flexibiliteit en klantgerichtheid.

• 5.

  De ambitie van het beleid informatieveiligheid en privacy ligt vooral op externe controles (audits), privacygevoelige gegevens en hoge risico’s (bijv. informatiesystemen die geheel of deels buiten het netwerk liggen).

• 6.

  Specifieke procesbeschrijvingen en handboeken die voor een beperkt deel van de organisatie interessant zijn vormen geen onderdeel van het informatiebeveiligingsbeleid, maar dienen er wel mee samen te hangen.

• 7.

  Het informatiebeveiligingsbeleid minimaal eens in de 3 jaar geëvalueerd en indien nodig geactualiseerd. Dit is conform de landelijke richtlijnen.

 

2.2 Wetgeving/compliancy

• 1.

  De informatieveiligheid dient te voldoen aan de relevante wet- en regelgeving die eisen stelt aan de betrouwbaarheid (beschikbaarheid, integriteit, vertrouwelijkheid) en privacy-facetten van informatie.[2] 

• 2.

  Persoonsgegevens zijn een belangrijke uitzondering. Op dit type gegeven is het tegengestelde principe van toepassing: „least privilege‟ of „need to know‟; toegang is er pas na het vaststellen van de juiste machtiging.

• 3.

  Bedrijfskritische en gevoelige informatiebronnen en –systemen hebben extra beschermingsmaatregelen nodig. Hoewel toegang vrij kan zijn, geldt hier het principe „open, tenzij‟ niet voor het hebben van bewerkingsbevoegdheden. Daarnaast worden deze informatiebronnen en -systemen in principe niet via internet ontsloten als dat via andere manieren mogelijk is (bijvoorbeeld via een directe lijn) of tenzij deze met extra veiligheidsmaatregelen omkleed zijn (zoals bijv. via een VPN-verbinding). Dit geldt ook voor de verbinding tussen het Wageningse netwerk en het informatiesysteem dat zich buiten het netwerk bevindt.

• 4.

  Voor de communicatie tussen het eigen netwerk en andere netwerken geldt ook het tegengestelde principe “dicht, tenzij..”.

 

2.4 Persoonsgegevens

Omgang met persoonsgegevens

• 1.

  Inwoner-Persoonsgegevens worden alleen verwerkt voor het uitvoeren van bepaalde wettelijke taken en vastgestelde regelingen. Dit ter uitvoering van de AVG voorgeschreven doelbinding en proportionaliteit. Dit houdt in dat persoonsgegevens alleen voor specifieke, uitdrukkelijke en legitieme doeleinden mogen worden verzameld en dat er niet meer persoonsgegevens worden verwerkt dan voor het doel nodig is.

  • 1.

    De wet bepaalt verder dat er voor elke verwerking van persoonsgegevens een wettelijke grondslag moet zijn (Artikel 6.1 AVG). Dat betekent dat de verwerking alleen mag plaatsvinden in de volgende gevallen:

    • 1.

      de betrokkene heeft toestemming gegeven voor de specifieke verwerking;[3]

    • 2.

      voor de uitvoering van een overeenkomst waarbij de betrokkene partij is;[4]

    • 3.

      om een verplichting na te komen die in de wet staat;

    • 4.

      om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;

    • 5.

      voor de goede vervulling van een gemeentelijke taak.

• 2.

  Verstrekking van persoonsgegevens gebeurd in het merendeel van de gevallen door de betrokkene zelf. Wanneer het mogelijk is, en de wet dit toestaat, worden gebruikte gegevens of al bekende gegevens die zijn opgenomen in basisregistraties of andere authentieke bronnen daaruit opgevraagd.[5]

• 3.

  Wat er precies met verzamelde persoonsgegevens gebeurt, is afhankelijk van het doel waarvoor ze verzameld worden. Meestal worden ze in een informatiesysteem opgenomen waar ze alleen toegankelijk zijn voor de medewerkers die belast zijn met het uitvoeren van de taak.

• 4.

  De gemeente zorgt ervoor dat de persoonsgegevens juist zijn en zorgt dat ze zo nodig worden geactualiseerd. Alle redelijke maatregelen worden genomen om de persoonsgegeven die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn onverwijld worden gewist of worden gerectificeerd.

• 5.

  Gegevens worden niet zonder toestemming van de betrokkene of wettelijke grondslag gedeeld of verzameld.

• 6.

  Om te zorgen voor passende technische en organisatorische beveiligingsmaatregelen zorgt de gemeente dat de Informatiesystemen voldoen aan de eisen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG).

• 7.

  Bijzondere gegevens worden niet verwerkt (tenzij dit nodig is voor het uitvoeren van een wettelijke taak of regeling).[6] Zo kunnen op grond van de Jeugdwet of de Wet maatschappelijke ondersteuning medische- en gezondheidsgegevens worden gebruikt bij de behandeling van een hulpvraag of een ondersteuningsverzoek.

• 8.

  Persoonsgegevens worden niet langer bewaard dan waarvoor zij worden verwerkt noodzakelijk is.

• 9.

  Alle verwerkingen van persoonsgegevens staan vermeld in het op de website van de gemeente Wageningen gepubliceerde register van verwerkingsactiviteiten.

• 10.

  De rechten die betrokkenen hebben ten aanzien van de verwerkingen die staan in het register van verwerkingsactiviteiten staan benoemd in de privacyverklaring op de site van de gemeente Wageningen.

• 11

  Wanneer er een inbreuk in verband met persoonsgegevens (datalek) waarschijnlijk een risico inhoudt voor de rechten en/of vrijheden van natuurlijke personen worden de betrokkene en de Autoriteit Persoonsgegevens tijdig geïnformeerd.

  •  

     

H3 Taken en verantwoordelijkheden

• 1.

  Informatiebeveiliging is ieders verantwoordelijkheid. Er wordt van alle medewerkers (ook ingehuurde) verwacht dat ze zich „fatsoenlijk‟ gedragen en als de zaak er om vraagt geheimhouding betrachten. Dit staat beschreven in de gedragscode voor ambtenaren.

• 2.

  De gemeentesecretaris draagt de algemene eindverantwoordelijkheid voor informatieveiligheid en deelaspecten ervan, zoals privacybescherming en de bedrijfscontinuïteit. De burgemeester draagt de bestuurlijke verantwoordelijkheid voor deze onderwerpen.

• 3.

  Alle informatiebronnen en -systemen die gebruikt worden door de gemeente Wageningen hebben een interne eigenaar die de waarde bepaalt van de informatie die ze bevatten. De primaire verantwoordelijkheid binnen de gemeente Wageningen voor de bescherming van informatie ligt dan ook bij de eigenaar van de informatie. Deze eigenaar is altijd een teammanager. Bij extern beheerde informatiebronnen en –systemen heeft de eigenaar de rol van opdrachtgever.

• 4.

  De eigenaar ziet er op toe dat het beleid informatieveiligheid en privacy en de deelaspecten ervan, zoals het beleid op ICT-bedrijfscontinuïteit en privacybescherming, overeenkomstig wettelijke eisen en met inachtneming van bedrijfsvoeringsbelangen wordt uitgevoerd voor de informatiebronnen en –systemen waar deze eigenaar van is.

• 5.

  Elke teammanager is (mede-)verantwoordelijk voor de integrale informatiebeveiliging van en privacybescherming binnen zijn of haar organisatieonderdeel. Dit is in de teams belegd als onderdeel van de clusterplannen. Daarin geeft elk cluster aan op welke manier zij informatieveiligheid en privacy borgen.

• 6.

  Applicatie-, systeem, facilitaire, gegevens- en archiefbeheerders zijn geen proceseigenaren maar zijn uitvoeringsverantwoordelijk voor een belangrijk deel van de informatiebeveiliging. Deze beheerders kunnen verstrekkende bevoegdheden hebben op basis van hun beheerrol. Deze bevoegdheden zijn in mandateringen en aanstellingen vastgelegd.

• 7.

  De eigenaar en beheerder bevorderen en adviseren over informatiebeveiliging en de deelaspecten ervan, verzorgen rapportages over de status ervan, controleren dat de maatregelen worden nageleefd, evalueren de uitkomsten en doen voorstellen tot implementatie c.q. aanpassing van het beleid informatieveiligheid en privacy voor de aspecten die hun beheers- of eigenaarsrol raken.

• 8.

  Er is een Chief Information and Security Officer aangesteld door het College. Deze functionaris ziet er op toe dat, samen met de Privacy Officer, het beleid informatieveiligheid en privacy wordt opgesteld en geïmplementeerd. De informatiebeveiligingscoördinator bevordert en adviseert over informatieveiligheid (en deelaspecten ervan) in samenspraak met eigenaren en beheerders, controleert dat de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van het beleid informatieveiligheid en privacy. De functionaris rapporteert hierover eenmaal per jaar rechtstreeks aan het College (nadat de rapportage afgestemd is met de betrokkenen). Hierbij wordt ook aangegeven in welke mate de gewenste garanties en waarborgen voor de BRP en Suwinet zijn bereikt.

• 9.

  Er is een Functionaris Gegevensbescherming aangesteld door het College. Deze functionaris heeft een controlerende functie en komt op voor de belangen van de betrokkenen waarvan de gemeente persoonsgegevens verwerkt. De Functionaris Gegevensbescherming rapporteert eenmaal per jaar rechtstreeks aan het College (nadat de rapportage afgestemd is met de betrokkenen).

• 10.

  Er is een Privacy Officer aangesteld door het College. Deze functionaris ziet er op toe dat, samen met de Chief Information and Security Officer, het beleid informatieveiligheid en privacy wordt opgesteld en geïmplementeerd. De Chief Information and Security Officer bevordert en adviseert over informatieveiligheid (en deelaspecten ervan) in samenspraak met eigenaren en beheerders, controleert dat de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van het beleid informatieveiligheid en privacy. De functionaris rapporteert hierover eenmaal per jaar rechtstreeks aan het College (nadat de rapportage afgestemd is met de betrokkenen).

• 11

  Taken, verantwoordelijkheden en bevoegdheden van medewerkers zijn zo geregeld dat medewerkers elkaars taken kunnen overnemen wanneer de continuïteit van informatievoorziening in gevaar komt.

• 12

  Er zijn functiescheidingen en controle-mechanismes aangebracht in bedrijfskritische informatiesystemen. Beheerders hebben geen uitvoerende (gebruikers-)taken rond bedrijfskritische informatiesystemen waar ze beheerstaken voor uitvoeren. De informatiebeveiligingscoördinator heeft in deze informatiesystemen geen beheerdersrechten. Beslissingen worden in gezamenlijkheid genomen en in het uiterste geval door de eigenaar, de gemeentesecretaris of de burgemeester.

• 13

  Er kunnen altijd uitzonderingen gemaakt worden op het beleid informatieveiligheid en privacy. Dit moet in een wijzigingsoverleg besproken worden met de eigenaar, betrokken beheerder(s) en de algemene informatiebeveiligingscoördinator. Deze uitzonderingen worden vastgelegd in een formulier (zie bijlage) en ondertekend door de eigenaar.

  •  

3.2 Informatiebeveiliging en medewerkers

• 1.

  Al het personeel van gemeente Wageningen moet een eed of belofte afleggen, waarmee ook de gedragscode voor ambtenaren ondertekend wordt. Ingehuurd personeel moet een integriteitverklaring ondertekenen.

• 2.

  Medewerkers zijn opgeleid in het gebruik van informatiesystemen en andere informatiebronnen en weten wat van hen verwacht wordt in het kader van informatieveiligheid en privacy. Informatieveiligheid en privacy is periodiek een onderwerp van gesprek in teamoverleggen wanneer binnen teams met bedrijfskritische of anderszins gevoelige informatie wordt gewerkt. Medewerkers kennen de waarde van informatie en handelen daarnaar. Van hen wordt verwacht dat ze actief bijdragen aan de veiligheid van informatiesystemen en de daarin opgeslagen informatie.

• 3.

  Wanneer medewerkers bedreigd worden of vinden dat ze onder druk gezet worden door andere personen om inbreuk te plegen op het beleid informatieveiligheid en privacy wordt dit geuit bij de betrokken teammanager of een medewerker bij team POJ. Het team POJ hanteert hiervoor de leidraad “Agressie en geweld op het werk”. De bovengenoemde personen zullen in onderling overleg actie ondernemen

• 4.

  Wanneer beveiligingsincidenten (zoals onterechte gegevensverstrekkingen of schending van privacy(datalek)) plaatsvinden wordt dit gemeld bij de betrokken teammanager en de ICT-servicedesk. Zij ondernemen naar aanleiding van dit incident actie:

  • 1.

    Bij externe meldingen wordt gehandeld conform de op de website gepubliceerde proclaimer en richtlijn responsible disclosure.[7]

  • 2.

    Bij interne meldingen van een potentieel beveiligingsincident of datalek dientzo snel mogelijk doorgegeven te worden. Op het moment dat een potentieel datalek wordt geconstateerd door een medewerker van de gemeente moet dit gemeld worden aan de Chief Information and Security Officer of Privacy Officer. Deze moet binnen 72 uur vaststellen of dit inderdaad een datalek is en is wettelijk verplicht om dit binnen dezelfde tijdspanne formeel te melden bij de Autoriteit Persoonsgegevens.

Indien het een ernstig datalek betreft dan wordt de Taskforce Privacy ingeschakeld. De Taskforce Privacy is een ad-hoc projectorganisatie binnen de gemeente Wageningen.

De Taskforce bestaat tenminste uit: één of meerdere relevante teammanagers, I&A-adviseur, Chief Information and Security Officer, privacy officer, communicatie adviseur, ICT-adviseur, teammanager(s) waar het datalek zich heeft voorgedaan.

• 1.

  De ICT- servicedesk informeert de CISO en Privacy Officer, zij handelen het beveiligingsincident of datalek af.

• 2.

  Het beveiligingsincident wordt vastgelegd door de CISO en Privacy Officer. Zij maken in overleg met de betrokkenen een verbeterplan.

• 3.

  Indien nodig kan de CISO/Privacy Officer, in overleg met de manager van de betrokken medewerk(st)er, het College van B&W adviseren om disciplinaire maatregelen te nemen.

• 4.

  Indien nodig kan de teammanager van de betrokken medewer(st)er het incident in het goede gesprek bespreken.

• 1.

  Wanneer gevoelige gegevens in handen van derden gekomen zijn of wanneer er sterke aanwijzingen hiervoor zijn, wordt dit op een open manier gecommuniceerd met betrokken personen en instanties.

   

3.3 Vastleggen verantwoordelijkheden bij uitbesteding

• 1.

  Voorafgaand aan het afsluiten van een overeenkomst voor uitbesteding, samenwerking of externe inhuur is bepaald welke waarde en gevoeligheid de informatie heeft waarmee de derde partij in aanraking kan komen en een risicoanalyse gedaan.

• 2.

  Afspraken met externe partijen worden door de opdrachtgever (eigenaar) vastgelegd in een (verwerkers)overeenkomst. Hierin is onder meer (indien van toepassing) opgenomen:

  • 1.

    De garantie van de leverancier dat de betrokken applicatie of gegevensverwerking aan relevante wet- en regelgeving voldoet, zal blijven voldoen en dat gebleken afwijkingen of tekortkomingen in dit opzicht door de leverancier op zo kort mogelijke termijn zullen worden hersteld. Verder dat de externe partij zelfstandig aansprakelijk is voor schade die door hem is veroorzaakt en kan worden toegerekend en dat de verantwoordelijke een regresrecht heeft (vrijwaringsbepaling). Dit heeft ook een relatie met de in 1.4 genoemde boete die opgelegd kan worden door het AP.

  • 2.

    Dat gepaste beveiligingsmaatregelen worden genomen en dat beveiligingsincidenten worden gerapporteerd aan de opdrachtgever (eigenaar).

  • 3.

    De contactgegevens van de FG staan in de overeenkomst.

  • 4.

    Bij structurele (geautomatiseerde) gegevensuitwisseling tussen de gemeente Wageningen en andere organisaties, waarbij gebruik wordt gemaakt van intern opgeslagen gegevens, dient te worden vastgelegd onder wiens verantwoordelijkheid deze uitwisseling plaats vindt (bij het verwerken van persoonsgegevens krijgen de betrokken partijen die niet verantwoordelijk zijn de status van verwerker). Hier staat ook in aan welke kwaliteiten de uitwisseling moet voldoen en welke maatregelen vanuit het oogpunt van beveiliging door de partijen moeten worden getroffen.

  • 5.

    Welke verwerkingen de verwerker precies moet doen (bij een verwerking van persoonsgegevens) en evt. ook wat de verwerker (in ieder geval) niet mag doen. De verwerker mag de persoonsgegevens uitsluitend bewerken in opdracht van de opdrachtgever (eigenaar) en niet zelfstandig besluiten om de persoonsgegevens op een andere manier te verwerken.

  • 6.

    Dat de opdrachtgever (eigenaar) de mogelijkheden heeft om te controleren dat de externe partij zich (geheel) aan de overeenkomst houdt.

• 3.

  Het naleven van de afspraken met externe partijen wordt gecontroleerd.

 

3.4 Specifieke verantwoordelijkheden rond Suwinet

• 1.

  Voor het informatiesysteem “Suwinet” is de eigenaar de teammanager Bedrijfsvoering Samenleving. De eigenaar is er verantwoordelijk voor dat Suwinet gebruikt wordt volgens de gestelde normen.

• 2.

  De informatiebeveiligingscoördinator is aangemeld als “Security Officer” bij de beheerder van Suwinet. De eerder genoemde taken van de informatiebeveiligingscoördinator zijn ook van toepassing op Suwinet.

• 3.

  De applicatiebeheerder van Suwinet is verantwoordelijk voor het verlenen van autorisaties, instructie aan medewerkers en controle op logging, en rapporteert hierover aan de eigenaar en de informatiebeveiligingscoördinator.

 

H4 Maatregelen

Informatiebeveiliging wordt gevormd door beschermingsmaatregelen. Per onderdeel wordt hieronder beschreven wat de gemeente Wageningen doet om haar waardevolle informatie te beschermen.

 

4.1 Toegang tot en gebruik van informatie

• 1.

  Voordat toegang verleend wordt tot informatie en informatiesystemen wordt bepaald of en welke identificatie, authenticatie en autorisatie vereist is. Medewerkers krijgen alleen toegangsrechten tot de applicaties en persoonsgegevens die noodzakelijk zijn ter uitoefening van hun werkzaamheden.

• 2.

  Alleen geautoriseerde medewerkers en bezoekers hebben toegang tot het netwerk van de gemeente. Zij hebben een beveiligd inlogaccount nodig dat ze krijgen van het team Automatisering. De wachtwoorden zijn beveiligd en bestaan uit minimaal 8 posities met een combinatie (3 van de 4 categorieën) van hoofd- en kleine letters, cijfers en/of speciale tekens. Het wachtwoord kan niet (onderdelen groter dan 3 tekens van) de eigen inlognaam bevatten en kan niet eerder gebruikt zijn. De wachtwoorden worden eens in de 60 dagen gewijzigd. De gebruiker wordt geblokkeerd na drie keer het verkeerde wachtwoord te hebben ingetypt. Het systeem maakt hier melding van. Daarnaast hebben servers, databases en bedrijfskritische en gevoelige informatiesystemen (incl. testomgevingen) een eigen vorm van toegangsbeveiliging. Bij deze informatiesystemen mogen geen groepsaccounts gebruikt worden. Standaard accountnamen en wachtwoorden moeten aangepast worden. Bedrijfskritische en gevoelige informatie wordt niet onbeheerd op werkplekken achtergelaten en/of zichtbaar gemaakt voor onbevoegden. Wachtwoorden zijn niet op te vragen. Toegang tot het netwerk via niet door de gemeente beheerde apparaten wordt alleen via 2-weg authenticatie verleend (token en wachtwoord) en aangevuld met extra veiligheidsmaatregelen.

• 3.

  De toegang tot gebouwen van de Gemeente Wageningen is voorbehouden aan geautoriseerde medewerkers en bezoekers. Hiervoor beschikken ze over een badge. Bezoekers worden altijd opgehaald en begeleid door eigen personeel. De toegang tot het gebouw buiten kantooruren is slechts voorbehouden aan medewerkers van het team Facilitair Management, Automatisering en een calamiteiten kernteam. Een gedeelte van het gebouw is daarnaast ‟s avonds tijdens raadsvergaderingen open voor raadsleden, college en bezoek. Bedrijfskritische onderdelen van het gebouw hebben een aparte toegangscontrole die alleen toegang geeft aan specifieke geautoriseerde (gebaseerd op functie van) medewerkers. Bij stroomuitval werken de buitendeuren slechts met behulp van een sleutel. Sleutelafgifte voor toegang van buitenaf is zeer beperkt. Er is een toegangscontrolesysteem voor alle locaties waarmee toegang gereguleerd wordt. De actualiteit ervan wordt periodiek bewaakt. Onbevoegd gebruik van kopieerapparaten en scanners is niet mogelijk.

• 4.

  Toegangsrechten en autorisaties voor alle informatiesystemen en gebouwen worden actief onderhouden en eens per maand opgeschoond of inactief gezet. Bij tijdelijke medewerkers worden toegangsrechten zoveel mogelijk met een einddatum toegekend. Bij ontslag en vertrek van een medewerker of wijziging van functie of team meldt de betrokken teammanager dit via een formulier en worden zijn/haar account en autorisaties direct gewijzigd of geblokkeerd. Als een maand geen gebruik wordt gemaakt van autorisaties of de toegangspas, doet de betrokken beheerder een melding aan de betrokken teammanager met de vraag of toegangsrechten en autorisaties ingetrokken kunnen worden of dat ze verlengd moeten worden. Naast accountgegevens worden ook gegevens in bijvoorbeeld mailboxen, verkenner-omgeving en inrichting van applicaties (bijv. workflows) opgeschoond.

• 5.

  De gemeente Wageningen analyseert periodiek (afhankelijk van het risiconiveau) het gebruik van informatiesystemen die gevoelige informatie zoals persoonsgegevens bevatten. Activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen worden hiertoe vastgelegd in logbestanden. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. Er vindt controle plaats op de opslag van logbestanden.

• 6.

  Informatie, (delen van) applicaties, computers en gegevensdragers van de Gemeente Wageningen die geen gebruikswaarde meer hebben worden zoveel mogelijk verwijderd, vernietigd of uitgeschakeld. Dit geldt bijvoorbeeld voor gegevens op mobiele gegevensdragers, voor informatie op de website en voor vernietiging vatbaar archiefmateriaal. Verwijdering en vernietiging van informatie en gegevensdragers gebeurt volgens daarvoor geldende wet- en regelgeving.

• 7.

  Bij het opzetten van een verbinding voor interne datacommunicatie is de identiteit van de betrokken zend- en ontvangstpunten verzekerd door identificatie van de terminal en het aansluitpunt.

• 8.

  Bij het opzetten van een verbinding voor externe datacommunicatie is de identiteit van de betrokken zend- en ontvangstpunten verzekerd door terminal identificatie. Dit gaat via drie gescheiden loginprocedures voor VPN, terminal servers, bedrijfskritische en gevoelige applicaties en via de firewalls en routers. De controle op authenticiteit is niet door onbevoegden te onderscheppen. Bij het extern verzenden van bedrijfskritische of gevoelige gegevens worden de gegevens via cryptografische methoden versleuteld. Handelingen van derden die van buiten het netwerk op het netwerk van de gemeente Wageningen worden verricht (inbellen) worden alleen op verzoek toegestaan. Dit is afhankelijk van de bevoegdheden en mogelijkheden van de inbeller (raadplegen/wijzigen) door applicatiebeheer en/of systeembeheer. Wanneer inbellers bevoegdheden of mogelijkheden hebben om gegevens te veranderen kijkt een betrokken beheerder mee.

• 9.

  Het buiten de gemeente versturen van bedrijfskritische, vertrouwelijke of anderszins gevoelige informatie vindt uitsluitend plaats indien dit voor de uitoefening van de functie noodzakelijk is en dient altijd omkleed te zijn met gepaste beschermingsmaatregelen Onder “buiten de gemeente versturen” wordt verstaan: “buiten de gemeente meenemen, het fysiek of per mail versturen of het plaatsen op internettoepassingen”. Wanneer dit soort gegevens extern verstuurd worden, moet de verstuurder controleren dat de gegevens in goede staat aangekomen zijn bij de afnemer. Bij versturing via fysieke post kan dit door deze aangetekend te versturen, bij digitale verzending door een vorm van ontvangstbevestiging.

• 10.

  Wanneer informatie omgezet wordt van medium (papier naar digitaal), bestandsformaat (bijv. van tiff naar jpeg) of van applicatie (bijv. via een koppeling) worden maatregelen genomen om de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie te verzekeren.

  

4.2 Technische maatregelen

• 1.

  Er wordt alleen gewerkt met geautoriseerde versies van (legale) programmatuur. Voor alle applicaties die (voor een deel) buiten het netwerk van de gemeente Wageningen staan zijn servicepacks en (beveiligings)patches geïnstalleerd en deze worden volgens een beheerst proces doorgevoerd. Dit ligt vast in een overeenkomst. Bedrijfskritische applicaties (deels) buiten het netwerk van de gemeente Wageningen periodiek onderworpen aan een penetratietest en een scan op kwetsbaarheden.

• 2.

  Apparatuur en andere hulpmiddelen die van belang zijn voor informatiesystemen (bijv. kabels) worden zo geplaatst en beschermd dat risico‟s van schade, storing en ongeoorloofde toegang beperkt zijn.

• 3.

  Mobiele/verwijderbare gegevensdragers, zoals mobiele telefoons, usb-opslag, tapes en CD-rom’s, dienen goed beheerd worden indien deze gevoelige gegevens bevatten. Gevoelige gegevens hierop dienen beveiligd te zijn.

• 4.

  De netwerkbeveiliging gaat uit van beveiliging in lagen (“layered defense, defense-in-depth”). De lagen zijn zo ontworpen dat het falen van één laag niet leidt tot het falen van het geheel. Hierbij wordt gebruik gemaakt van een Demilitarised Zone (DMZ), waarbij compartimentering wordt toegepast en de verkeersstromen tussen deze compartimenten wordt beperkt tot alleen de hoogst noodzakelijke.

• 5.

  Er zijn, indien mogelijk, maatregelen getroffen voor detectie en preventie van virussen, spyware, spam en phishing-programmatuur, ook op mobiele apparatuur. Er wordt stelselmatig gecontroleerd op de aanwezigheid van dit soort programmatuur. Dit geldt voor zowel het netwerk van de gemeente Wageningen als verkeer met informatiesystemen en apparatuur die in verbinding staat met het netwerk van de gemeente Wageningen, zoals usb-sticks.

• 6.

  Er zijn firewalls op het netwerk van de gemeente Wageningen. Deze zijn zo geconfigureerd dat alle poorten die (in productie) niet noodzakelijk zijn worden gesloten. Er wordt gebruik gemaakt van Intrusion Detection. Bij inloggen van buitenaf wordt de verbinding en toegang tot het netwerk afgeschermd tegen indringen van buitenaf. Wijzigingen in de firewall die beperkend werken moeten van te voren aangekondigd, besproken en getest worden met betrokken functioneel applicatiebeheerders. Het netwerk wordt periodiek onderworpen aan een penetratietest en gescand op kwetsbaarheden.

• 7.

  Het beheer en de opslag van gegevens zijn zodanig, dat het risico op verlies van informatie beperkt is. De ICT-omgeving is dubbel (gespiegeld) uitgevoerd. Minimaal iedere werkdag worden alle gemuteerde gegevens (via back-up) veiliggesteld. Daarnaast wordt ieder weekend alle gegevens veiliggesteld. Iedere maand, kwartaal en jaar worden deze backup-gegevens extern opgeslagen. Een nader aan te wijzen deel van de gebouwen is voorzien van een noodstroomvoorziening, in ieder geval de serverruimtes van de afdeling automatisering. De gemeente Wageningen gebruikt een NAS-systeem. Dit systeem bevat meerdere schijven. Als een schijf crasht neemt de “reserveschijf” de taken van de uitgevallen schijf over (RAID). Het NAS-systeem beschikt over vijf reserveschijven. Een kapotte schijf wordt volgens contract binnen 24 uur vervangen. Ook databasegegevens worden op een RAID 5 systeem opgeslagen met vergelijkbare veiligheidsmaatregelen.

• 8.

  Voor bedrijfskritische onderdelen van de ICT-omgeving zijn er voorzieningen om interne uitwijk mogelijk te maken bij calamiteiten. Er zijn onderhoudscontracten afgesloten bij leveranciers die een snelle en goede ondersteuning bij calamiteiten garanderen. De backup-, herstel- en uitwijkconfiguratie wordt tenminste eenmaal per twaalf maanden getest op actualiteit en juiste werking. Van deze test wordt een verslag opgesteld.

• 9.

  Gebouwen zijn beveiligd tegen inbraak. Er zijn op verschillende plekken overval alarmknoppen geplaatst. Wanneer de gebouwen niet in bedrijf zijn, is het inbraakmeldsysteem ingeschakeld. Het gebouw is opgesplitst in meerdere zones. Het uitschakelen van dit systeem is voorbehouden aan medewerkers van het team Facilitair Management, Automatisering en raadsleden (deze laatste groep alleen voor een beperkt deel van het gebouw). Inbraak- en storingsmeldingen komen binnen bij een particuliere alarmcentrale. In het geval van calamiteiten wordt de dienstdoende bode/huismeester gewaarschuwd, alsmede de surveillant van een particuliere beveiligingsdienst. In de publiekshal van het gebouw is (zichtbaar en aangekondigd) cameratoezicht. De beelden worden na 5 dagen overschreven en zijn slechts in te zien door de gebouwbeheerders. Er worden geen andere gegevens vastgelegd dat datum en tijdstip.

• 10.

  Gebouwen zijn beveiligd tegen brand. De gebouwen van de gemeente zijn voorzien van een NEN-gecertificeerd branddetectiesysteem. Afhankelijk van de te beveiligen objecten signaleert dit systeem op basis van rook of warmte. Buiten kantooruren worden brand- en storingsmeldingen rechtstreeks gemeld aan de meldkamer van de regionale brandweer en de servicecentrale van de leverancier van het detectiesysteem. In geval van calamiteiten wordt daarnaast de bode/huismeester gewaarschuwd. Het systeem wordt maandelijks getest. Verder is het gehele gemeentehuis voorzien van kleine blusmiddelen. Deze staan aangegeven op het ontruimingsplan en worden één maal per jaar getest en onderhouden door het bedrijf dat de middelen geplaatst heeft. Op een aantal plaatsen hangen brandslangen (haspels). De ruimte waar de computerhardware (servers/patchpanel) staat is voorzien van een airco om hoge temperaturen terug te dringen. De ruimte is voorzien van een temperatuurmelder die de bode/huismeester alarmeert via een telefoonkiezer wanneer de temperatuur te hoog wordt. Eenmaal per jaar wordt een ontruiming geoefend.

• 11

  Fysieke documenten die gevoelige gegevens bevatten of van bedrijfskritisch belang zijn worden in beveiligde ruimtes bewaard. Dit is de archiefruimte of archiefbewaarplaats/kluis, afhankelijk van niveau van gevoeligheid of bedrijfskritisch belang. De archiefbewaarplaats voldoet aan daarvoor geldende wettelijke eisen. In geval van wateroverlast of brand bieden de deuren van de archiefbewaarplaats voldoende bescherming door een afdichtende strip die geactiveerd wordt bij oververhitting of contact met water. In geval van brand sluiten de deuren automatisch via kleefmagneten. De archiefbewaarplaats wordt ook gebruikt voor interne opslag van back-up media.

  •  

4.3 Nieuwe systemen en wijzigingen

• 1.

  Bij wijzigingen van de informatievoorziening wordt vanaf de start rekening gehouden met informatiebeveiliging en privacybescherming. Voor de procedure van het wijzigingenproces wordt verwezen naar het Informatiebeleid van de Gemeente Wageningen.

• 2.

  Installatie van systemen verloopt volgens de instructies van de leverancier.

• 3.

  Aanschaf, installatie en onderhoud van informatiesystemen mag geen afbreuk doen aan het niveau van veiligheid van de totale informatievoorziening.

• 4.

  Alle wijzigingen worden altijd eerst getest voordat deze in productie worden genomen. Een acceptatietest geldt als ingangscontrole op de eisen, die aan de ontwikkeling en het onderhoud gesteld zijn.

• 5.

  Bij de geautomatiseerde informatievoorziening zijn scheidingen aangebracht tussen de testomgeving en de productieomgeving.

• 6.

  Updates/patches voor kwetsbaarheden waarvan de kans op misbruik hoog is en waarvan de potentiële schade hoog is worden zo spoedig mogelijk doorgevoerd, echter minimaal binnen één week. Minder kritische beveiligings-updates/patches worden ingepland bij de eerst volgende onderhoudsronde.

  •  

  •  

4.4 Specifieke maatregelen basisregistraties

• 1.

  De technische en organisatorische inrichting van de door de gemeente beheerde basisregistraties is zodanig van aard en opzet dat de gegevens daarin volledig zijn opgenomen, juist en actueel zijn en voldoen aan hiervoor geldende richtlijnen. Hiervoor zijn instructies en procesbeschrijvingen met betrekking tot het invoeren van gegevens, het controleren van gegevens en het wijzigen van de ingevoerde gegevens opgesteld. Betrokken teammanagers (eigenaren) zien minimaal één keer per jaar toe op de naleving van de instructies. Minimaal één keer per jaar worden producties c.q. controleprogramma’s gedraaid voor het beheersen van de integriteit van de gegevens. De door de gemeente gebruikte applicatie voor het beheren van de basisregistraties voldoet aan hiervoor geldende richtlijnen. 

• 2.

  Registratie van gegevens voor de basisregistraties Personen (BRP) en Adressen en Gebouwen (BAG) gebeurt op basis van originele brondocumenten.

• 3.

  De verantwoordelijke personen en teams treffen maatregelen dat op ieder gewenst moment en periodiek de gegevens in de basisregistraties kunnen worden gecontroleerd. Brondocumenten voor de BAG kunnen binnen 3 uur getoond worden.

• 4.

  Kritische onderdelen van informatiesystemen voor basisregistraties worden binnen 48 uur hersteld en overige delen binnen 72 uur. De voorzieningen zijn zodanig dan maximaal één werkdag aan geautomatiseerde gegevensverwerking verloren kan gaan.

• 5.

  In het geval van een calamiteit zijn er voorzieningen getroffen voor het BAG. Binnen vier weken kunnen de meest noodzakelijke activiteiten plaatsvinden op een andere locatie.

• 6.

  Bronnen die sinds de laatste back-up gebruikt zijn voor de mutaties in de basisregistraties worden bewaard. Door het opnieuw invoeren of inlezen van de mutaties wordt aansluiting gevonden met de datum en het tijdstip van de laatste back-up.

 

4.5 Specifieke maatregelen bedrijfskritische webapplicaties

• 1.

  Voor webapplicaties met DigiD wordt al het bezoek via logging actief gecontroleerd.

• 2.

  Beheer- en productieverkeer van bedrijfskritische webapplicaties zijn van elkaar gescheiden.

• 3.

  Bedrijfskritische webapplicaties valideren alle invoer, inclusief HTTP-verzoeken, aan de serverzijde. De applicaties controleren voor elke invoer en http-verzoek of de initiator geauthenticeerd is en de juiste autorisaties heeft. Invoerdata wordt voor validatie genormaliseerd. Webapplicaties met DigiD staan geen dynamische file includes toe of beperken de keuze mogelijkheid bij invoer.

• 4.

  Voor het raadplegen en/of wijzigen van gegevens in de database gebruiken bedrijfskritische webapplicaties alleen voorgedefinieerde zoekvragen.

• 5.

  Bedrijfskritische webapplicaties coderen dynamische onderdelen in de uitvoer en maken gebruik van versleutelde (HTTPS) verbindingen. Cookies worden versleuteld. Cookie attributen van webapplicaties met DigiD staanop „HttpOnly‟ en „Secure‟. Gevoelige gegevens op webapplicaties met DigiD worden versleuteld opgeslaan. Sleutels hiervan zijn niet onversleuteld op de servers te vinden.

• 6.

  Voor bedrijfskritische webapplicaties worden periodiek (geautomatiseerde) blackbox scans uitgevoerd.

• 7.

  Beheermogelijkheden voor bedrijfskritische webapplicaties worden zoveel mogelijk beperkt. Beheer van bedrijfskritische webapplicaties buiten het netwerk van de gemeente Wageningen is alleen toegestaan vanaf vooraf gedefinieerde IP-adressen. Hierbij worden complexe wachtwoorden en/of sterke authenticatiemechanismen gebruikt.

  

4.6 Specifieke maatregelen Suwinet

• 1.

  Toegang tot Suwinet is beperkt tot een aantal functies die vanuit een publiekrechtelijke taak gegevens nodig hebben uit de suwi-keten. Toegangsrechten voor Suwinet worden vastgelegd in een autorisatiematrix. Hierin wordt een relatie gelegd tussen gebruikersgroepen en specifieke functies in Suwinet. Het aantal accounts waarbij gebruikers kunnen zoeken met meerdere zoeksleutels dan het BSN (zware autorisaties) is zeer beperkt (minder dan 20% van het totaal).

• 2.

  Nieuwe functionaliteiten binnen Suwinet worden na het beschikbaar komen actief uitgezet bij gebruikers van Suwinet en verwerkt in de autorisatiematrix.

• 3.

  Toegangsrechten worden maandelijks gecontroleerd. Deze controle wordt schriftelijk vastgelegd en gedeeld met de Security Officer voor Suwinet.

• 4.

  Het gebruik van Suwinet wordt gelogd en periodiek gecontroleerd. De logginggegevens worden door de applicatiebeheerder beoordeeld. Bij twijfel of vermoedens van ongeoorloofd gebruik wordt direct overleg gevoerd door de betrokken teammanager met de betreffende medewerker. Worden twijfels of vermoedens in het gesprek onvoldoende weggenomen, dan wordt het ongeoorloofd gebruik als beveiligingsincident bestempeld en vastgelegd.

• 5.

  Als overheidsorganisaties (via Suwinet) of inwoners (via internet) daar om vragen levert de gemeente Wageningen via DKD binnen 15 seconden de gevraagde gegevens. Gegevensoverdracht wordt actief gelogd en gecontroleerd.

• 6.

  Het gebruik van Suwinet vindt slechts plaats via beveiligde verbindingen. Alleen verkeer uit het eigen netwerk van de Suwi-partij wordt via firewalls aangeboden aan het Suwi-Koppelpunt. Bij koppelingen van de Suwi-partij aan de Suwinet-infrastructuur wordt filtering toegepast, waarmee alleen geautoriseerd netwerkverkeer tussen de Suwi-partijen wordt doorgelaten. De inrichting van de externe koppeling is voorzien van afzonderlijke beveiligingzones.

• 7.

  Ketenpartijen binnen suwinet hebben afgesproken om elkaar te e-mailen middels suwimail daar waar het om privacygevoelige informatie gaat. De gemeente Wageningen heeft zich hier aan gecommitteerd.

 

4.7 Specifieke maatregelen AVG

• 1.

  Om te waarborgen dat persoonsgegevens alleen voor welomschreven gerechtvaardigde (dat wil zeggen op grond van de juiste rechtsgrond) en uitdrukkelijke doeleinden worden verzameld worden alle verwerkingen bij de gemeente Wageningen vastgelegd in een register van verwerkingsactiviteiten. Dit register wordt periodiek gecontroleerd en waar nodig aangevuld. In het kader van transparantie wordt dit register gepubliceerd op de website van de gemeente Wageningen (te vinden op de pagina van de privacy verklaring). Tenminste eenmaal per jaar wordt de meest actuele versie gepubliceerd.

• 2.

  Om te waarborgen dat verwerkingen toereikend, ter zake dienend en beperkt zijn tot “minimale gegevensverwerking” (tot wat noodzakelijk is voor de doeleinden waarvoor gegevens worden verwerkt) worden alle in het register van verwerkingsactiviteiten opgenomen verwerkingen juridisch getoetst aan de beginselen genoemd in de AVG.

• 3.

  Om te waarborgen dat bij verwerkingen van persoonsgegevens passende organisatorische en technische beveiligingsmaatregelen worden getroffen moet de organisatie zich conformeren aan de normen zoals deze zijn gesteld in de BIG. Middels het uitvoeren van de Eenduidige Normering Single Information Audit (ENSIA) controleert de organisatie jaarlijks of zij voldoet aan de normen uit de BIG.

• 4.

  Om te waarborgen dat betrokkenen de mogelijkheid hebben hun rechten ten aanzien van persoonsgegevens uit te kunnen oefenen, dienen er protocollen en procedures inzake deze rechten te worden vastgesteld. Tevens dient de technische infrastructuur zo ingericht te worden dat de benodigde informatie binnen een redelijke termijn opgezocht, aangepast of verwijderd kan worden. Daarnaast dienen betrokken tijdig en juist te worden geïnformeerd over hun rechten. Hiertoe dient er te allen tijde een juiste, makkelijk bereikbare en makkelijk leesbare privacy verklaring op de website van de gemeente Wageningen te staan waar de rechten van betrokkene ten aanzien van persoonsgegevens staan beschreven.

• 5.

  Om te waarborgen dat verwerkingen van persoonsgegevens voldoen aan de hierboven drie genoemde punten, dient er, bij het opzetten van elke nieuwe of aangepaste verwerking een pre-Privacy Impact Assessment en Privacy Impact Assessment uitgevoerd worden. Daartoe dienen de nodige protocollen en procedures gemaakt en geïmplementeerd worden.

• 6.

  Om te waarborgen dat derde partijen (zogenoemde verwerkers) op een correcte manier met persoonsgegevens omgaan, worden persoonsgegevens pas doorgegeven als formeel afdoende garanties zijn vastgelegd en aangetoond kan worden dat er aan de eisen uit de AVG wordt voldaan. Dit wordt vastgelegd en moet worden aangetoond door zogenoemde verwerkersovereenkomsten. Zie hiervoor ook 3.3. Vastleggen verantwoordelijkheden bij uitbesteding.

  •  

     

4.8 Vastleggen maatregelen

• 1.

  Er wordt een inventaris bijgehouden van alle informatiesystemen en andere middelen die informatie bevatten. Deze informatie wordt beschermd tegen ongeoorloofde toegang. Hierin moet in ieder geval vastgelegd zijn:[8]

  • 1.

    Eigenaar

  • 2.

    Beheerder

  • 3.

    Type computer(s)

  • 4.

    Besturingssysteem van de gebruikte computers

  • 5.

    Locatie van opslag en type database(s)

  • 6.

    Niveau waarop toegangsbeveiliging voor toegang is geregeld: applicatie, besturingssysteem, database en/of internet

  • 7.

    Bestandsinformatie

  • 8.

    Licenties

  • 9.

    Informatie over backup en evt. uitwijk

  • 10.

    Belang voor de organisatie

  • 11

    Voor iedere nieuwe versie van de applicatie worden de volgende zaken bijgehouden:

    • 1.

      datum van binnenkomst nieuwe versie

    • 2.

      versie

    • 3.

      begin datum van de test

    • 4.

      akkoord van de applicatiebeheerder

    • 5.

      installatie datum op de productieserver

    • 6.

      paraaf installateur

    • 7.

      Voor specifieke bedrijfskritische of anderszins risicovolle systemen wordt schriftelijk vastgelegd welke beveiligingsmaatregelen van kracht zijn en worden instructies, procesbeschrijvingen, rapportages, verslagen van tests en controles in een dossier verzameld. Dit geldt vooral voor systemen die onderhevig zijn aan externe controles en gemeentelijke systemen buiten het netwerk van de gemeente Wageningen.

    • 8.

      Bij gebruik door medewerkers van draagbare computers en telefoons van de gemeente Wageningen, zoals laptops, tablets en mobiele telefoons en bij gebruik van specifieke ICT-diensten op afstand (zoals webmail) wordt een gebruiksovereenkomst getekend. Hierin wordt ook ingegaan op informatiebeveiliging.

    • 9.

      Maatregelen die genomen moeten worden om beschikbaarheid en integriteit van informatie te waarborgen bij calamiteiten worden vastgelegd in een integraal uitwijkdraaiboek, waarin alle taken, verantwoordelijkheden en acties zijn vastgelegd. Dit draaiboek is altijd beschikbaar, ook wanneer de reguliere locaties niet bereikbaar zijn.

       

[1]Veiligheids- en gezondheidsregio Gelderland-midden, Risicoprofiel Gelderland Midden, 2011-2014.

[2] Dit zijn onder meer (incl. onderliggende regelgeving):

• 1.

  Grondwet (algemene eisen m.b.t. persoonlijke levenssfeer, briefgeheim)

• 2.

  Algemene Verordening Gegevensbescherming (eisen m.b.t. bescherming persoonsgegevens)

• 3.

  Auteurswet (eisen m.b.t. bescherming intellectueel eigendom)

• 4.

  Telecommunicatiewet (eisen m.b.t. gebruik digitale media)

• 5.

  Wet elektronische handtekeningen (eisen m.b.t. ondertekenen documenten)

• 6.

  Archiefwet (eisen m.b.t. beschikbaarheid en integriteit documenten)

• 7.

  Ambtenarenwet (art. 125a, lid 3: eis m.b.t. geheimhouding)

• 8.

  Gemeentewet (art. 25, art. 55: eis m.b.t. geheimhouding)

• 9.

  Wet Openbaarheid Bestuur (eisen m.b.t. vertrouwelijkheid informatie)

• 10.

  Wet BRP (eisen m.b.t. kwaliteit gemeentelijke basisadministratie)

• 11

  Wet Suwi (eisen m.b.t. omgaan persoonsgegevens sociale keten)

[3] Deze rechtsgrond is vanwege de scheve machtsverhouding overheid-inwoner bijna nooit van toepassing.

[4] Deze rechtsgrond speelt bij gemeenten nauwelijks een rol.

[5] Dit zijn gegevens zoals persoonsgegevens, gezinssamenstelling, adresgegevens, bedrijfsgegevens, inkomen, uitkeringen, onderwijsgegevens, zorgindicaties etc.

[6] Zie artikel 9 t/m 11 AVG

[7] http://www.wageningen.nl/Configuratie/Proclaimer_elektronische_communicatie

http://www.wageningen.nl/Configuratie/Responsible_Disclosure

[8] In document wordt gesproken van een nieuwe versie van een applicatie wanneer er voor de invoering ervan installatiewerkzaamheden nodig zijn.