Gemeenteblad van Haarlem
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Haarlem | Gemeenteblad 2024, 301814 | ander besluit van algemene strekking |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Jaargang en nummer | Rubriek |
---|---|---|---|
Haarlem | Gemeenteblad 2024, 301814 | ander besluit van algemene strekking |
Informatiebeveiligingsplan BRP en waardedocumenten
Dit informatiebeveiligingsplan is een actualisering van het plan dat op 22 januari 2013 door burgemeester en wethouders is vastgesteld onder nummer DV/PBO/2013001739.
Het plan is herschreven, minder beschrijvend en meer toegespitst op het onderkennen van veiligheidsrisico's en het nemen, uitvoeren en onderhouden van passende of verplichte beveiligingsmaatregelen in de uitvoeringspraktijk van de BRP en waardedocumenten. Daarvoor sluit het plan aan op het ISO kwaliteitssysteem van de afdeling.
1.3 Wettelijk kader en verantwoordelijken
1.3.1 Toepasselijke wet- en regelgeving
De AVG vormt het algemeen kader voor de verwerking van persoonsgegevens. De verplichting tot beveiliging van persoonsgegevens is geregeld in artikel 5, lid 1 onder f van de AVG.
Naast het algemeen kader van de AVG zijn voor dit plan specifiek de Wet BRP, de Paspoortwet, de PUN en het RR van toepassing. De AVG is beperkt van toepassing op de verwerking van persoonsgegevens en gegevens over waardedocumenten in de gemeentelijke onderdelen van de BRP. Zie hiervoor artikel 40 van de beheerregeling BRP.
Het te beveiligen object (zie voor nadere uitleg par. 1.4.1) staat als informatievoorziening niet op zichzelf, maar is ingebed in het geheel van de gemeentelijke informatievoorziening en landelijke voorzieningen. Dit plan is een tactische uitwerking van het strategisch gemeentelijk informatiebeveiligingsbeleid en het Privacyreglement Haarlem voor het te beveiligen object.
De BIO beschrijft het basisnormenkader voor informatiebeveiliging van overheden gebaseerd op standaarden en kwaliteitseisen.
De verantwoordelijke bestuursorganen voor de BRP zijn burgemeester en wethouders. De Paspoortwet en het Reglement rijbewijzen vallen onder de verantwoordelijkheid van de burgemeester.
De afdelingsmanager Klantcontactcentrum is door burgemeester en wethouders gemandateerd als beheerder van de BRP en de waardedocumenten, alsmede aangewezen als informatiebeheerder BRP (Beheerregeling BRP) en in die hoedanigheden verantwoordelijke voor de uitvoering van dit plan.
De beveiligingsbeheerder BRP en de beveiligingsfunctionaris waardedocumenten worden door het college van burgemeester en wethouders, respectievelijk de burgemeester van Haarlem aangewezen en zijn belast met het toezicht op de naleving van dit plan. De rol en bevoegdheden van de beveiligingsbeheerder BRP staan beschreven in de artikelen 31 tot en met 35 van de beheerregeling BRP. Voor de beveiligingsfunctionaris waardedocumenten staan taken en bevoegdheden in hoofdstuk 4 van dit plan.
De AP kan de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens, bij gemeenten het college van B&W of de burgemeester, aanspreken op het niveau van de maatregelen ter beveiliging van de verwerking van persoonsgegevens, en op de wijze waarop het stelsel van maatregelen is geïmplementeerd en wordt nageleefd.
Medewerkers in de taakuitvoering van het te beveiligen object werken volgens de beschreven werkprocessen. Hierin zijn veiligheidsmaatregelen in de vorm van procedures en -instructies vastgelegd. Deze procesbeschrijvingen zijn eenvoudig raadpleegbaar in het KZS ter ondersteuning van de medewerker tijdens de taakuitvoering.
Het object van beveiliging betreft:
Deze taken betreffen het registreren, onderhouden en actualiseren van persoonsgegevens; het verstrekken van persoonsinformatie aan betrokkenen, belanghebbenden met een gerechtvaardigd belang en geautoriseerde in- en externe afnemers; alsmede het vaststellen van identiteit en het afgeven, innemen en registreren van waardedocumenten.
Het doel van dit plan is om beveiligingsmaatregelen te treffen die mogelijke veiligheidsrisico's voor de continuïteit en het gewenste kwaliteitsniveau van het object van beveiliging terug brengen naar een aanvaardbaar niveau. Beveiligingsmaatregelen richten zich daarvoor op de volgende vier algemene beheersaspecten van de bedrijfsvoering:
2. Beheersing veiligheidsrisico's
2.2 Risicoanalyse en dreigingsprofiel
De veiligheidsrisico's voor het te beveiligen object brengt het lijnmanagement jaarlijks in kaart door de dreigingscategorieën te kwantificeren. Daarvoor wordt de kans dat een dreiging zich voordoet en de gevolgen daarvan ingeschat volgens de formule: Risico = Kans x Gevolg.
Hieruit ontstaat een dreigingsprofiel waarop de verantwoordelijke maatregelen voor verzachting van de veiligheidsrisico's neemt en van prioriteit voorziet. De BIO is te gebruiken als hulpmiddel bij het bepalen van relevante, proportionele beveiligingsmaatregelen.
De risicoanalyse en de daaruit volgende maatregelen zijn onderdeel van de uitvoeringsagenda en acties van het kwaliteitssysteem van de afdeling. Input voor de risicoanalyse komt onder meer uit:
2.3 Risicobeperkende maatregelen
2.3.1 Uitvoering risicobeperkende maatregelen
De risicobeperkende maatregelen leiden ertoe dat medewerkers in de taakuitvoering van het te beveiligen object de voorgeschreven veiligheidsprocedures en -instructies volgen.
3. Normenkader en controlesystematiek
Normen voor kwaliteits- en veiligheidsmaatregelen komen uit wet- en regelgeving, het strategisch informatiebeveiligingsbeleid, de BIO en/of de accountantsopdracht.
De BIO formuleert op basis van generieke schades standaard BBN’s met bijbehorende beveiligingsnormen en eisen. Per uitvoeringsproces van het te beveiligen object bepaalt verantwoordelijke het BBN (1, 2 of 3). De BIO biedt daarvoor een BBN-toets. Te nemen veiligheidsmaatregelen worden gebaseerd op BBN 2 bij het ontbreken van wettelijke normen.
3.2.1 Zelfevaluatie Basisregistratie Personen (BRP) door gemeenten
Jaarlijks voert verantwoordelijke de verplichte 'Zelfevaluatie BRP uit. Het onderzoek bestaat uit vragenlijsten, bestandscontrole en inhoudelijke controle waarvan de vragen worden verwerkt in de kwaliteitsmonitor. Grondslag is artikel 4.3 wet BRP. Zie voor meer informatie: https://www.rvig.nl/brp/zelfevaluatie-brp
Op basis van te lage of te hoge scores op de verschillende onderdelen van de Zelfevaluatie kan de RvIG besluiten een gemeente te monitoren met als doel de oorzaken daarvan te analyseren en te werken aan verbetering.
Jaarlijks verantwoordt het bestuur zich en aan de gemeenteraad over beveiliging van de systemen waarin persoonsgegevens worden opgeslagen. Dit betreft daarmee ook reisdocumenten. Dit gaat volgens de verplichte ENSIA-methodiek. Tegelijk legt de gemeente hiermee verantwoording af aan de rijksoverheid. Zie voor meer informatie: Wat is ENSIA? - ENSIA en ENSIA Cybersecurity - Digitale Overheid
3.2.3 Zelfevaluatie Reisdocumenten
Jaarlijks voert verantwoordelijke de Zelfevaluatie Reisdocumenten uit. De vragen worden verwerkt in de Kwaliteitsmonitor van de Rijksdienst voor identiteitsgegevens (RvIG). Zie voor meer informatie: https://www.rvig.nl/reisdocumenten/zelfevaluatie-reisdocumenten
3.2.4 Aanbevelingen Zelfevaluaties
De RvIG analyseert de resultaten van de Zelfevaluaties. Uit deze analyse ontstaat een beeld van de inrichting, de beveiliging en de verwerking van gegevens van de BRP. Op basis van het landelijke beeld bepaalt het ministerie van BZK de acties die het jaar na de evaluatie worden ondernomen om de kwaliteit van de BRP te verbeteren.
3.2.5 Accountantscontrole Rijbewijzen
Ook de procedures rond het verstrekken van rijbewijzen zijn onderwerp van controle. Op grond van artikel 128 lid 7 van het Reglement Rijbewijzen moeten de maatregelen zoals genoemd in artikel 128 lid 1 van dit reglement jaarlijks onderdeel uitmaken van de accountantscontrole. De bij de jaarlijkse evaluatie van het beheerproces rond Waardedocumenten (reisdocumenten en rijbewijzen) geconstateerde tekortkomingen worden schriftelijk vastgelegd en de daarop betrekking hebbende rapportages worden 5 jaar bewaard. Op de eventueel geconstateerde tekortkomingen wordt actie ondernomen.
Verantwoordelijke kan self-assessments uitvoeren om te bepalen in hoeverre veiligheidsmaatregelen voor het object van dit plan bestaan en voldoen aan het bepaalde in de AVG en de BIO. Dit kan bijvoorbeeld zijn een 'privacy self-assessment' of een DPIA.
Een DPIA is een instrument om (vooraf) de privacyrisico’s van een gegevensverwerking in kaart te brengen en om daarna maatregelen te kunnen nemen om de veiligheidsrisico’s te verkleinen. De AP heeft een lijst met gegevensverwerkingen opgesteld waarvoor een DPIA verplicht is om uit te voeren, bv voor het grootschalig verwerken van biometrische gegevens voor identificatie van een persoon.
Concerncontrol kan interne controles op essentiële bedrijfsprocessen prioriteit geven om sluimerende bedrijfsrisico's op de continuïteit te detecteren.
De landelijke jaarplanningen voor de zelfevaluaties en accountantscontrole zijn leidend op de jaaragenda van het kwaliteitssysteem. De toepassing van de overige controle-instrumenten plant verantwoordelijke naar behoefte in als daar een noodzaak voor is, blijkend uit bijvoorbeeld de jaarlijkse risicoanalyse of een advies van de beveiligings- of privacyfunctionarissen. Verbeteracties en aanbevelingen voortkomend uit de diverse controles en analyses neemt verantwoordelijke mee als input op de jaarlijkse risicoanalyse en de daaruit voortvloeiende beveiligingsmaatregelen.
4. Beveiligingsfunctionaris waardedocumenten
De aanwijzing van de beveiligingsfunctionaris reisdocumenten en rijbewijzen geschiedt met een aanwijzingsbesluit door de burgemeester en wordt via het standaarddocument B5 gemeld aan de RvIG. (Zie hiervoor: Toelichting B- en C- formulieren | Reisdocumenten | Rijksdienst voor Identiteitsgegevens (rvig.nl)
Functiescheiding bij het verstrekken van waardedocumenten en het vaststellen of wijzigen van BRP-gegevens verkleint de kans op in- of externe fraude. Functiescheiding staat beschreven of komt tot uiting in de procesbeschrijvingen en besluiten bij de taken waarvoor functiescheiding is bepaald. De uitwerking in de dagelijkse praktijk is onderdeel van de werkverdeling. De mate van naleving blijkt uit de toetsing van processen aan de praktijk.
5.1.1 Functiescheiding in taken reisdocumenten
Ter uitvoering van het bepaalde in artikel 93 van de PUN over functiescheiding bestaan en werken de volgende functiescheidingen in de taakuitvoering:
Tussen de beveiligingsfunctionaris reisdocumenten en degenen die belast zijn met uitvoerende en beheertaken met betrekking tot reisdocumenten. De beveiligingsfunctionaris reisdocumenten mag niet betrokken zijn bij, of verantwoordelijkheid dragen voor de procedures rondom reisdocumenten. Dit voorkomt dat de beveiligingsfunctionaris reisdocumenten zijn eigen werk controleert.
5.1.2 Functiescheiding in taken rijbewijzen
Ter uitvoering van het bepaalde in artikel 128, lid 1, 2 en 3 van RR bestaat en werkt de volgende functiescheiding in de taakuitvoering:
A. Statusoverzicht risicobeperkende maatregelen
B. Basisbeveiligingsniveaus van de Baseline Informatiebeveiliging Overheden
Vertrouwelijkheidsniveau hoog (BBN3):
Verlies van informatie heeft een grote impact, waarvan niet uit te leggen is als deze niet gerubriceerd is en beschermd wordt op het niveau van BBN3;
Vertrouwelijkheidsniveau midden (BBN 2):
Bescherming van gegevens en andere te beschermen belangen in de processen van de overheid, waar o.a. vertrouwelijkheid aan de orde is, omdat het om gevoelige informatie gaat.
Het openbaar worden van de gegevens, kan leiden tot:
Vertrouwelijkheidsniveau laag (BBN1):
Kennisname van informatie door ongeautoriseerden (buitenstaanders) is niet gewenst, maar leidt niet tot schade van enige omvang. Het gaat hier om ongerubriceerde informatie. Het openbaar worden van deze informatie kan leiden tot:
Vertrouwelijkheidsniveau openbaar (BBN0):
verwaarloosbare schade of niet van toepassing.
Het gaat hierbij om openbare gegevens. De gegevens hoeven niet afgeschermd te worden. Geen enkele beveiliging op de gegevens is noodzakelijk. Het is juist zaak dat deze gegevens openbaar worden gemaakt voor publicatie.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/gmb-2024-301814.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.