Jaarverslag informatieveiligheid en privacybescherming gemeente Zaanstad Periode: 2017

Transcriptie

1 2018/12688 Jaarverslag informatieveiligheid en privacybescherming gemeente Zaanstad Periode: 2017

2 Inhoudsopgave 1 Versiebeheer Verspreiding Doel en scope Personele wisseling Verantwoording en zelfevaluaties Verantwoording Zelfevaluatie ENSIA Zelfevaluatie BRP en Waardedocumenten ICT-assessments DigiD Suwinet Implementatie BIG Beveiliging van SCADA systemen Project Identity en Accessmanagement Information Security Management Systeem (ISMS) Interne audits informatieveiligheid Locatiebezoeken wijkteams Kwetsbaarhedenscans Informatiebeveiligingsincidenten Privacy Centralisering Privacybeleid Aanstelling Functionaris voor de Gegevensbescherming Meldplicht datalekken Procedure datalekken Datalekken gemeente Zaanstad Verwerkersovereenkomsten Register van Verwerkingen van Persoonsgegevens Rechten van betrokkenen op basis van de Wbp Regionale/landelijke ontwikkelingen privacy Contacten met de Autoriteit Persoonsgegevens Datapakhuis Onderzoek ZRM Bewustwording Nieuwe medewerkers Rubber Ducky Lezing Privacy Inspiratiesessie cybersecurity Eyes wide open Mirror Room Bijlage 1 Managementsamenvatting zelfevaluatie ENSIA Uitkomsten Baseline Informatieveiligheid Gemeenten Uitkomsten SUWInet IT auditvragen Uitkomsten DigiD Aansluiting Webformulieren Zaanstad Aansluiting Schuldhulpverlening Aansluiting Gemeente Zaanstad Parkeren Aansluiting Mijn inkomen

3 1 Versiebeheer Versie Datum Opstellers Reden wijziging oktober Agatha Smeeing Verslaglegging informatiebeveiliging februari Frank Kerkhoven Verslaglegging privacybescherming maart Agatha Smeeing Gereed maken voor besluitvorming maart Agatha Smeeing Bijlage 1 en 10.5 toegevoegd maart Agatha Smeeing Definitieve versie 2 Verspreiding Dit jaarverslag wordt vastgesteld in het overleg informatieveiligheid en privacy en als bijlage bij de jaarrekening ter kennisname verstuurd aan directie, aan het college van B&W en de gemeenteraad. 3 Doel en scope Dit jaarverslag bevat een overzicht van de uitgevoerde activiteiten en voorgedane grotere incidenten met betrekking tot de onderwerpen informatieveiligheid en privacybescherming bij de gemeente Zaanstad over het jaar De rapportage is in overeenstemming met het door de directie vastgestelde beleidsplan informatiebeveiliging en privacy opgesteld. 4 Personele wisseling In 2017 heeft er een personele wisseling plaats gevonden binnen de rol van coördinator informatieveiligheid/ciso. In juli 2017 is er afscheid genomen de CISO en is haar opvolgster half september 2017 gestart. In de tussenliggende periode heeft de Functionaris Gegevensbescherming incidenten afgehandeld en urgente beveiligingstaken uitgevoerd. 3

4 5 Verantwoording en zelfevaluaties 5.1 Verantwoording De horizontale verantwoording over informatieveiligheid en privacybescherming aan het college van B&W en het gemeentebestuur vindt door middel van dit jaarverslag plaats. Daarnaast heeft de gemeente in 2017 voor het eerst volgens de methodiek ENSIA gerapporteerd. De antwoorden van de ENSIA zelfevaluatie, de daaruit verkregen collegeverklaring en door een onafhankelijke auditor opgestelde assuranceverklaring voor de DigiD koppelingen en Suwinet worden gebruikt voor de verticale verantwoording op het gebied van informatieveiligheid. ENSIA heeft tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid, dat is gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). ENSIA helpt gemeenten om in één keer slim verantwoording af te leggen over informatieveiligheid. De verantwoordingssystematiek over de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet) is samengevoegd en gestroomlijnd. 5.2 Zelfevaluatie ENSIA Proceseigenaren van de (deel)processen DigiD-aansluitingen (Webformulieren, Parkeren, Schuldhulpverlening en Inkomen), Suwinet, BRP, PUN, BAG, BGT, ICT, inkoop, facilitair en personeel hebben de vragen in de zelfevaluatie ENSIA voor hun processen beantwoord. Een deel van de zelfevaluatie vragen werden waren van toepassing op meerdere processen. De verschillende antwoorden zijn in de projectgroep behandeld en tot slot zijn de ENSIA vragenlijsten ter vaststelling voorgelegd aan de stuurgroep informatieveiligheid en privacybescherming. Voor de uiterste inleverdatum van 31 december 2017 heeft de gemeente Zaanstad de zelfevaluatie ingeleverd bij de landelijke toezichthouders. 5.3 Zelfevaluatie BRP en Waardedocumenten De zelfevaluatie BRP en waardedocumenten (PUN) is wat betreft de informatiebeveiligingsvragen opgenomen in ENSIA, naast de kwaliteitsmonitor van het ministerie. De verantwoording aan het ministerie Binnenlandse Zaken en Koninkrijksrelaties vond nog eenmalig voor 1 oktober 2017 plaats via de ENSIA tool en de kwaliteitsmonitor. In de verantwoording over 2018 loopt de zelfevaluatie voor BRP/PUN gelijk mee in de lijn van de ENSIA verantwoordingsmethodiek. 5.4 ICT-assessments DigiD Sinds 2013 moeten alle organisaties die DigiD gebruiken aan bepaalde beveiligingsrichtlijnen voldoen. Jaarlijks wordt daarvoor voor elke DigiD-aansluiting een verplichte audit uitgevoerd. In Zaanstad betreft dit een DigiD-audit voor de volgende aansluitingen: 4

5 Webformulieren Het betreft hier aanvraagformulieren voor afdeling Burgerzaken en het opvragen van WOZ-taxatieverslagen; Parkeren Hierbij gaat het om het aanvragen van een parkeervergunning; Schuldhulpverleningsportaal Dit betreft een digitaal portaal waar cliënten hun gegevens kunnen inzien. In 2017 zijn de drie DigiD-assessments over 2016 afgerond. Voor twee daarvan was een heraudit nodig om aan alle vereisten te voldoen. Hiervoor zijn aparte rapportages uitgebracht. De ICT-assessments DigiD over 2017 zijn onderdeel van de ENSIA zelfevaluatie methodiek. Een onafhankelijk auditor toetst begin 2018 de zelfevaluatie voor de DigiD-aansluitingen. In 2017 heeft voor de nieuwe DigiD-aansluiting voor Mijn Inkomen een aansluitaudit plaatsgevonden. De resultaten uit de audit waren aanleiding voor het opstellen van een verbeterplan. Na de heraudit werd aan alle eisen voldaan. 5.5 Suwinet De zelfevaluatie van Suwinet maakt onderdeel uit van ENSIA. Begin 2018 komt een onafhankelijk auditor Suwinet toetsen. De bevindingen hiervan zijn onderdeel van de ENSIA assurancerapportage. 5

6 6 Implementatie BIG De GAP analyse die tot nu toe jaarlijks werd uitgevoerd om de status van de invoering van de beveiligingsmaatregelen uit de BIG in kaart te brengen, is in 2017 niet uitgevoerd omdat de GAP analyse vervangen is door de ENSIA zelfevaluatie. De ENSIA vragenlijst geeft inzicht in de status van informatiebeveiliging conform BIG. De zelfevaluatie ENSIA beoordeelt de implementatie van de BIG gedetailleerder dan de GAP analyse. Naar aanleiding van de zelfevaluatie is een interne vertrouwelijke rapportage opgesteld waaruit blijkt waar verbeteringen op het gebied van informatieveiligheid nodig zijn. De managementsamenvatting van deze interne vertrouwelijke rapportage is als bijlage 1 toegevoegd aan dit jaarverslag. 6.1 Beveiliging van SCADA systemen In 2017 is er gestart met een inventarisatie van het niveau van beveiliging rondom de industriële automatiseringssystemen (SCADA systemen) zoals brugbediening, rioolpompen, gemalen, verkeerslichtinstallaties, openbare verlichting etc. Het doel van de inventarisatie is om te kunnen verantwoorden dat er alles aan gedaan is om incidenten bij SCADA systemen te voorkomen en te beheersen. Per definitie is elk informatiesysteem te hacken. 6.2 Project Identity en Accessmanagement Eén van de doelstellingen van het project Identity en Accessmanagement is de informatieveiligheid en privacybescherming verbeteren. Het verbeteren van het toekennen, wijzigen en intrekken van rechten tijdens het in-, door- en uitstroomproces draagt bij aan het beheer van toegangsrechten van gebruikers ( 11.2 uit de tactische BIG). De coördinator informatieveiligheid draagt hieraan bij voor de invulling van de kaders op het gebied van informatieveiligheid. 6.3 Information Security Management Systeem (ISMS) Voor het ontwikkelen, onderhouden en constant verbeteren, in het kader van bedrijfsactiviteiten en risico s van de organisatie op het gebied van informatiebeveiliging, heeft de organisatie een ISMS aangeschaft. Er is voor gekozen om het ISMS in het in gebruik zijnde risicomanagementsysteem binnen de gemeente op te nemen. Met als doel om aan te sluiten bij de bestaande P&C Cyclus. Door middel van de PDCA cyclus (Plan, Do, Check, Act) worden de beheersmaatregelen op het gebied van informatieveiligheid en privacybescherming onderhouden en verbeterd. 6

7 7 Interne audits informatieveiligheid 7.1 Locatiebezoeken wijkteams In 2017 zijn door de CISO en de FG een groot deel van de locaties van gemeente Zaanstad bezocht. Dat ging met name om de Sociale Wijkteams en de Jeugdteams, maar ook twee locaties van de afdeling Uitvoering. We deden ons voor als toevallige bezoekers, zonder van tevoren te hebben aangekondigd dat we zouden komen. De bevindingen zijn over het algemeen positief te noemen: - Toegang was overal in orde. Altijd was er een gecontroleerde toegang en werden we te woord gestaan door medewerkers. - Altijd was er iemand (vooral bij de Jeugdteams) die ging navragen met wie we een afspraak hadden - Slechts op één locatie hebben we een papiertje gevonden met de toegangscodes voor het netwerk. - Tijdens alle gesprekken bleek privacybescherming en informatieveiligheid te leven bij de medewerkers Kwetsbaarhedenscans De informatiebeveiligingsdienst voor gemeenten (IBD) doet via melding van dreigingen en kwetsbaarheden in applicaties die door de gemeente worden gebruikt. De gemeente Zaanstad neemt elke melding op in het helpdesksysteem, waarna de ICT-medewerkers een afweging maken van de impact, het risico en een herstelmaatregel plannen. In 2016 is intern steekproefsgewijs getoetst op toegang tot bestanden, lang niet gebruikte gebruikersprofielen en rechten op de ICT-systemen. Verbeteringen om kwetsbaarheden te verminderen zijn opgenomen als onderdeel van het project Identity en Access Management, dat in 2017 in uitvoering was en begin 2018 gefaseerd live gaat. 8 Informatiebeveiligingsincidenten Er hebben zich in 2017 geen grote informatiebeveiligingsincidenten voorgedaan. Begin 2017 is er extra tooling op het netwerk geïnstalleerd waardoor de gemeente in staat is vroegtijdig malware, spam- en phishing s te detecteren en daar actief naar te handelen. 7

8 9 Privacy In de wereld waarin we leven is de digitale verwerking van persoonsgegevens niet meer weg te denken. In 2018 wordt de huidige Wet Bescherming Persoonsgegevens vervangen door de Algemene Verordening Gegevensbescherming. Veel van onze activiteiten staan dus in het teken om te zorgen dat we klaar zijn voor de in werking treding van de AVG op 25 mei Een greep van wat er al is gerealiseerd: De centralisering van privacybeleid is gerealiseerd en het Informatiebeveiligings- en Privacybeleid is vastgesteld door het College en loopt tot eind Per 1 januari 2017 is de Functionaris Gegevensbescherming in functie. De meldplicht datalekken is geïmplementeerd en Procesbeschrijving is op intranet terug te vinden. Verder is dat afgestemd met de Servicedesk van Zaanstad. Er is veel werk gemaakt van awareness in de organisatie. Contracten met ketenpartners en leveranciers worden beoordeeld. Er is een start gemaakt met het project Invoering AVG in Zaanstad waarin de governance rond de AVG zal worden ingericht, het Register van verwerkingen van persoonsgegevens wordt opgepakt en de rechten van betrokken worden ingericht. 9.1 Centralisering Privacybeleid Was er tot voor kort met name focus op het Maatschappelijk Domein als het gaat om privacy, dat is nu gemeentebreed getrokken. Het Informatiebeveiligings- en Privacybeleid is vastgesteld voor de hele gemeente. De realisatie van dat beleid wordt dan ook vanaf nu gemeentebreed uitgevoerd. 9.2 Aanstelling Functionaris voor de Gegevensbescherming Er is een Functionaris voor de Gegevensbescherming aangesteld voor de hele gemeente. De FG zal uiteindelijk de toezichthouder zijn voor de privacy en rapporteren aan het college. Tot nu toe is er ook nog een grote aandacht nodig van de FG voor advisering aan de organisatie. Te verwachten valt dat de FG zich medio 2018 meer kan gaan richten op toezicht houden. Iedereen snapt wel dat ook Zaanstad zich nog in een opbouwsituatie bevind. Daarmee wordt een fors aandeel van de tijd van de FG besteed aan activiteiten die eigenlijk thuishoren in de lijn bij een Privacy Officer. 9.3 Meldplicht datalekken Sinds 1 januari 2016 is in Nederland de meldplicht datalekken in werking getreden. Er is sprake van een datalek als er als gevolg van een beveiligingsincident kans is op verlies of onrechtmatige verwerking van persoonsgegevens. Het doel van deze meldplicht is het beperken van schade voor de betrokkenen (te weten de personen van wie de gegevens gelekt zijn) en als het mogelijk is het beperken van de omvang daarvan. Een datalek moet gemeld worden aan de Autoriteit Persoonsgegevens en aan de betrokkenen. Niet melden of nalatigheid kan leiden tot hoge boetes. Door het melden van datalekken bij de Autoriteit Persoonsgegevens kan ook lering getrokken worden uit wat er mis ging om te voorkomen dat nogmaals zo n datalek plaatsvindt Procedure datalekken De gemeente heeft een procedure opgesteld voor het melden en afhandelen van een datalek. De Functionaris voor de Gegevensbescherming is hierbij de contactpersoon richting de Autoriteit 8

9 Persoonsgegevens en verantwoordelijk voor die procedure. Eind 2017 is er een interne audit op de procedure datalekken gestart. In 2018 zullen de verbeterpunten daaruit worden geïmplementeerd Datalekken gemeente Zaanstad Wij hebben in 2017 drie keer een melding gedaan van een datalek aan de Autoriteit Persoonsgegevens. Er was geen aanleiding om ons daarover vragen te stellen. De datalekken hebben niet geleid tot grote schade aan betrokkenen en er zijn organisatorische maatregelen genomen om herhaling te voorkomen. Over datalekken word regelmatig verslag uitgebracht aan de Stuurgroep Informatiebeveiliging en Privacy. 9.4 Verwerkersovereenkomsten De contracten met ketenpartners en derde partijen die persoonsgegevens worden verder geïnventariseerd. Voor zover ze beschikbaar zijn worden ze geëvalueerd en voorbereid op de komst van de AVG. Er word gewerkt aan de decentrale verantwoordelijkheid voor het bijhouden en opleveren van deze contracten. Er is een standaard model-bewerkersovereenkomst beschikbaar in de groep Informatieveiligheid en Privacy op intranet die voldoet aan de landelijke normen (naar het model van de IBD). Zodra er nieuwe versie uitkomt zullen die daar beschikbaar komen. 9.5 Register van Verwerkingen van Persoonsgegevens In 2017 is er begonnen met het samenstellen van een voorlopige versie van het Register van Verwerkingen van persoonsgegevens. We doen dat op basis van het model dat beschikbaar is gekomen na samenwerking met VNG realisatie en het Stappenplan voor het Sociaal domein waarin de activiteiten in het Maatschappelijk domein worden beschreven aan de hand van de concrete activiteiten van het SWT / JT tot en met de backoffice. Alle verwerkingen moeten worden gemeld aan de FG van Zaanstad. Daartoe is er op intranet een meldingen-formulier beschikbaar dat iedereen kan gebruiken voor het melden van een bestaande of nieuwe verwerking. Het format en een stuk van de initiële vulling zijn gedaan. Er is nog veel werk nodig om het register totaal gevuld te krijgen. We zullen ons daarbij eerst op de hoog risico verwerkingen en die met een groot volume richten. 9.6 Rechten van betrokkenen op basis van de Wbp In 2017 zijn er nauwelijks inzageverzoeken geweest van burgers die wilden weten welke gegevens de gemeente van hen verwerkt en in welke documenten hun persoonsgegevens zijn gebruikt. De verwachting is dat dat snel gaat veranderen omdat de boete bij de WOB verzoeken zijn verdwenen. Op de inzageverzoeken op basis van de Wbp en in de toekomst de AVG staan die boetes nog wel. In het nog te starten project Invoering AVG in Zaanstad worden de rechten van betrokkenen beter ingericht. Het recht op inzage, verwijdering, dataportabiliteit, correctie en verzet, voor zover toepasselijk in de gemeentelijke context, zullen naast een digitale voorkant ook een goed ingerichte processtructuur hebben met een proceseigenaar en procesbeheerder. 9

10 9.7 Regionale/landelijke ontwikkelingen privacy De gemeenten in Zaanstreek-Waterland hebben zich verenigd in een regionaal samenwerkingsverband op het gebied van Informatiebeveiliging en Privacy (het PIB). Daar wordt veel gesproken over zaken die ons allen bezighouden. Voorbeelden zijn bijvoorbeeld veilig mailen, ENSIA, verwerkersovereenkomsten en nog veel meer. Daarnaast heeft Zaanstad zich aangesloten bij de Stuurgroep (Kennisgroep) Privacy waarin ongeveer 50 gemeenten uit heel Nederland participeren. Hier worden vragen beantwoord en wordt kennis overgedragen. Ook de VNG is hierin vertegenwoordigd. Zaanstad werkt en denkt zeer regelmatig mee aan handreikingen en opinie stukken in samenwerking met VNG realisatie. Een voorbeeld is het beschikbaar komen van een model Register van Verwerkingen van persoonsgegevens 9.8 Contacten met de Autoriteit Persoonsgegevens Datapakhuis In 2017 is er een bezoek gebracht op dwingend verzoek van de Autoriteit Persoonsgegevens over onze activiteiten in het kader van de ontwikkeling die we doormaken met het op orde brengen van onze gegevenshuishouding middels het Datapakhuis. Via het datapakhuis wordt het mogelijk om datasets te produceren die deels gepubliceerd worden op Dataplatform.nl als het gaat om Open Data, of intern als bijvoorbeeld stuurinformatie. Omdat er veel raakvlakken met Privacy zijn, hebben wij onze plannen en ontwikkeling gepresenteerd aan de AP. Dat was een interessante bijeenkomst waarbij de AP met name gecharmeerd was van onze insteek dat alle ontwikkelingen gedaan worden met Privacy by default en by design. Verder hebben ze ons nog wat tips gegeven om te zorgen dat er niet per ongeluk toch iets geproduceerd wordt dat herleidbaar is naar natuurlijke personen Onderzoek ZRM De Autoriteit Persoonsgegevens heeft onderzoek gedaan naar het gebruik van de Zelfredzaamheidsmatrix in de Sociale Wijkteams van onze gemeente. In juli 2016 is het onderzoek gedaan, en in september 2017 is het rapport met de voorlopige bevindingen aan ons gepresenteerd. Er zijn bij gemeente Zaanstad (en Nijmegen) 10 dossiers bekeken en in 4 van de 10 zijn zaken aangetroffen die volgens de AP niet in overeenstemming zijn met de wet. In tegenstelling tot de ministeries beoordeelt de AP de dossiers heel strikt. Er is in overleg met leiding van de SWT s gekeken naar de bevindingen uit het rapport. Er is geconstateerd dat er inderdaad in een aantal dossiers teveel is opgeschreven. De Autoriteit heeft terecht opgemerkt dat gemeente Zaanstad verantwoordelijk is voor het uitvoeren van de WMO en de SWT s dat in mandaat namens gemeente Zaanstad uitvoeren. Dat houdt ook in dat gemeente Zaanstad nauwkeuriger instructies moet geven over de dossiervorming en dat ook regelmatig moet controleren. De insteek tot dusver is anders geweest, maar daar wordt nu aan gewerkt. In 2018 zal het definitieve rapport beschikbaar komen. 10

11 10 Bewustwording Informatiemanagers en projectleiders zijn op de hoogte van het belang van het voldoen aan de privacy wetgeving. Zij zitten aan de bron van alle belangrijke nieuwe ontwikkelingen. De centrale afdeling Inkoop en contracten en die van Maatschappelijke Ontwikkeling zijn op de hoogte van de vereisten die aan contracten moeten worden gesteld als er door de partijen persoonsgegevens worden verwerkt (en dat is bijna altijd zo). Gebleken is dat het nog niet altijd eenvoudig is te bepalen hoe die contracten er uit moeten zien, maar we enten steeds meer op de door Zaanstad geadapteerde landelijke standaarden, dan die van de leverancier te accepteren. Een toename in de bewustwording is ook te merken uit de talloze verzoeken om advies aan de FG. Die monden vaak uit in een bezoek aan de afdeling of een bijgestelde werkwijze. Heel positief. Er is een start gemaakt met het project Invoering AVG in gemeente Zaanstad. Met unanieme steun vanuit het Directeuren Overleg, waarbij het gehele DO zich stuurgroep heeft verklaard voor dit project! Tijdens de landelijke cybersecuritycampagne Alert Online zijn er in oktober via intranet tips en trucs gedeeld Nieuwe medewerkers Nieuwe medewerkers worden in een welkomst geattendeerd op de 7 gouden regels voor informatiebeveiliging op intranet. In de training digitale leermiddelen waar alle nieuwe medewerkers voor uitgenodigd worden, wordt informatiebeveiliging behandeld. Onderwerpen die aanbod komen zijn beveiligde wifi, wachtwoordbeleid, updaten van de mobiele telefoon, schermvergrendeling en de intranet groep informatiebeveiliging en privacy Rubber Ducky In april is een nog tamelijk onbekende variant van phishing, namelijk USB-phishing onder de aandacht gebracht. De USB-stick staat bekend onder de naam Rubber Ducky en is een venijnigen succesvol- instrument om een systeem te misbruiken door kwaadwillenden. Binnen de organisatie zijn er diverse Rubber Ducky s verspreid. Het gebruik van de USB-stick werd gemonitord. De bevindingen voor Zaanstad waren als volgt: In de beveiligde zone in het stadhuis is een USB-stick achtergelaten. De USB-stick is vervolgens door iemand meegenomen maar niet gebruikt. Er is geen activiteit van de USB-stick gedetecteerd. De USB-stick is als gevonden voorwerp niet ingeleverd bij de coördinator informatieveiligheid of ICT Servicedesk Lezing Privacy Donderdag 19 januari vond in de raadszaal de lezing Je hebt wel iets te verbergen door onderzoekers van de Correspondent plaats. Tijdens deze lezing werden de aanwezigen in de zaal meegenomen op wat voor manieren persoonsgegevens over je verzameld worden en hoeveel gegevens je zonder het te weten weggeeft. Tijdens de lezen kwamen tips aanbod wat je zelf kunt doen om het spoor van gegevens die je achterlaat te beperken. 11

12 10.4 Inspiratiesessie cybersecurity Eyes wide open Dinsdag 25 november kwamen een cybersecurityadviseur en ethisch hacker ons bewust maken van de kroonjuwelen die je hebt, zowel zakelijk als privé om vervolgens de vraag te stellen of je het idee hebt dat je kroonjuwelen goed beveiligd zijn. 100% veiligheid is een illusie maar als je vervolgens via een live demonstratie je realiseert hoe eenvoudig je webcam wordt overgenomen zonder dat je het zelf door hebt!!! En dat alleen maar na het aan klikken van een ogenschijnlijk betrouwbare link in een ontvangen . De sessie werd afgesloten met tips en tricks Mirror Room Donderdag 28 september tijdens de Zaanse Braderie waar professionals uit de Sociale Wijkteams, Jeugdteams, Centra Jong en gemeente samenkomen om kennis met elkaar uit te wisselen stonden de functionaris gegevensbescherming en de coördinator informatieveiligheid met de MIRROR ROOM. De MIRROR ROOM is een afgesloten ruimte waarin één bezoeker per keer een persoonlijke en indrukwekkende ervaring ondergaat. Poëtisch en confronterend. In de ruimte wordt de bezoeker, aan de hand van een persoonlijk scenario, letterlijk een spiegel voorgehouden. Na deze bijzondere ervaringen ontstonden mooie gesprekken over privacy en de bescherming van persoonlijke gegevens, niet alleen van jezelf maar ook van de persoonsgegevens van burgers waar we in het werk mee in aanraking komen. 12

13 11 Bijlage 1 Managementsamenvatting zelfevaluatie ENSIA 2017 Dit rapport geeft de uitkomsten weer van de gemeentebrede (horizontaal) uitgevoerde zelfevaluatie informatieveiligheid over het jaar Deze zelfevaluatie is gebaseerd op de Baseline Informatieveiligheid Gemeenten (BIG) 1. Of we voldoen aan deze Baseline is getoetst door middel van een zelfevaluatie die is uitgevoerd in de periode 12 oktober t/m 22 december Wij kunnen als gemeente Zaanstad nu op één moment in het jaar rapporteren over de status van onze informatieveiligheid. De methodiek heet ENSIA en staat voor Eenduidig Normatiek Single Information Audit. Vanuit deze horizontale (gemeente brede) zelfevaluatie wordt eveneens de verantwoording aan de stelselhouders afgeleid, de zogenaamde verticale verantwoording. Zo zijn de informatieveiligheidsvragen over de Basisregistratie Personen (BRP) en de Paspoortuitvoeringsregeling (PUN) per 1 oktober uit ENSIA automatisch overgeheveld en ingevoegd bij de kwaliteitsmonitor voor verantwoording aan RvIG. En voor de Basisregistratie Adressen en Gebouwen (BAG) en de Basisregistratie Grootschalige Topografie (BGT) verantwoording worden data automatisch naar het Ministerie van I&W 2 opgeleverd vanuit ENSIA. Voor het jaar 2017 geldt dat de verantwoording Suwinet en DigiD aan de stelselhouders (Ministerie van SZW en Logius) wordt verantwoord door middel van een Collegeverklaring. De Collegeverklaring is opgesteld op basis van de bevindingen uit onze zelfevaluatie en deze is getoetst door een IT auditor. Met de vastgestelde collegeverklaring en het assurancerapport voldoen wij aan de verantwoordingsplicht voor Suwinet en DigiD. Voor de verslaglegging is deze rapportage opgesteld conform de BIG hoofdstukindeling. In elk hoofdstuk is een korte samenvatting over de achtergrond van het hoofdstuk opgenomen en zijn de resultaten uit onze zelfevaluatie uitgewerkt. Naast het gemeente brede beeld zijn de resultaten voor de IT auditvragen vanuit Suwinet en de DigiD zelfevaluatie opgenomen Uitkomsten Baseline Informatieveiligheid Gemeenten Op hoofdlijnen zijn de uitkomsten van de BIG zelfevaluatie conform onderstaande status omschrijving opgenomen in deze managementsamenvatting en worden ze in de vertrouwelijke interne verantwoordingsrapportage ENSIA specifieker uitgewerkt. De status wordt als volgt weer gegeven: Symbool Omschrijving Voldoet aan de norm Voldoet gedeeltelijk aan de norm Voldoet niet aan de norm 1 Gemeenten hebben met aanname van de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente in november 2013 deze Baseline Informatieveiligheid Nederlandse Gemeenten (BIG) als hét gemeentelijk basisnormenkader voor informatieveiligheid omarmd. 2 De BAG en BGT kennen elk in ENSIA ook een domeinspecifieke vragenlijst en een specifieke rapportage. Deze wordt separaat voorgelegd aan het College ter vaststelling en aangeboden aan het Ministerie van I&W. 13

14 De normen zijn in de BIG op heel abstract niveau beschreven en zijn voor meerdere interpretaties vatbaar. Door voor het eerst deze diepgaande zelfevaluatie uit te voeren, waarbij naast werking ook gekeken wordt naar de aantoonbaarheid van de maatregel (opzet en bestaan), is een goed overzicht verkregen waar verbeteringen in de organisatie nodig zijn. Veel maatregelen worden in de praktijk uitgevoerd maar waarbij de formele vastlegging van de procedure/werkinstructie ontbreekt. Deze constatering verklaart waarom bepaalde normen in de score lager uitkomen dan in het verleden in de uitgevoerde GAP analyse. De verbeteringen voor de normen worden in een integraal jaarplan opgenomen waarbij als eerste de focus komt te liggen op het implementeren van het Information Security Management Systeem zodat de monitoring om de voortgang van de verbeteringen beter plaats kan vinden en er gewerkt wordt met de Plan, Do, Check, Act cyclus op de normen. De normen waar we nu wel (grotendeels) aan voldoen, moeten frequent onderworpen worden aan de controle cyclus of ze nog steeds voldoen. Aandacht voor de menselijke aspecten voor informatiebeveiliging, het maken van afspraken over informatiebeveiliging binnen normenkaders met samenwerkingspartners, het maken van keuzes op basis van risicobeoordelingen, het optimaliseren van de techniek naar de actuele dreigingen, borging van de bedrijfscontinuïteit en de borging van de naleving worden verwerkt in het jaarplan Big Hoofdstuk Omschrijving Status Prioriteit 3 Implementatie van de Tactische Baseline (oa ISMS) 1 4 Risicobeoordeling en risicoafweging bij 2 samenwerkingsverbanden 5 Beveiligingsbeleid 2 6 Organisatie van de informatiebeveiliging 1/2 7 Beheer van Bedrijfsmiddelen 1 8 Personele beveiliging 2/4 9 Fysieke beveiliging 2 10 Beheer van communicatie en bedieningsprocessen 1/2/4 11 Toegangsbeveiliging 1/2 12 Verwerving, ontwikkeling en onderhoud van 1/2 informatiesystemen 13 Beheer van informatiebeveiligingsincidenten 2/3 14 Bedrijfscontinuïteitsbeheer 3 15 Naleving Uitkomsten SUWInet IT auditvragen Suwinet is het systeem van informatie-uitwisseling in de keten van werk en inkomen. De gemeente Zaanstad maakt gebruik van Suwinet voor uitvoering van de volgende taken: Suwinet voor de Participatiewet, IOAZ en IOAW Onze gemeente maakt hiernaast gebruik van Suwinet door de volgende niet-suwi partijen: Suwinet voor Burgerzaken Suwinet voor Gemeentelijk gerechtsdeurwaarders De gemeente Zaanstad is voor Suwinet voor RMC (Regionaal Meldpunt Coördinatie voortijdig schoolverlaters) aangesloten bij de gemeente Amsterdam. 14

15 De verbeterpunten voor de normen op het gebied van autorisatie die naar voren zijn gekomen tijdens de zelfevaluatie zijn opgenomen in een verbeterplan Uitkomsten DigiD De gemeente Zaanstad beschikt over 4 DigiD aansluitingen Aansluiting Webformulieren Zaanstad. Leverancier Mozard biedt de functionaliteit aan waarvoor DigiD aansluiting Gemeente Zaanstad webformulieren voor authenticatie gebruikt via de website Deze functionaliteit wordt geboden door de webapplicatie Mozard. Deze omgeving wordt binnen de gemeente Zaanstad gehost waardoor in de zelfevaluatie een uitgebreide set aan de DigiD normen is getoetst. Voor een aantal normen is tijdens de zelfevaluatie geconstateerd dat er verdere verbetering of uitwerking nodig is om te voldoen aan de DigiD-normen. Voor het verbeteren van deze normen is een verbeterplan opgesteld Aansluiting Schuldhulpverlening Leverancier Innovadis biedt de functionaliteit aan waarvoor DigiD aansluiting Schuldhulpverlening voor authenticatie wordt gebruikt via de website mijnschulden.zaanstad.nl. Deze functionaliteit wordt geboden door de webapplicatie Allegro. Gemeente Zaanstad heeft een deel van DigiD webomgeving uitbesteed aan Innovadis. Als gevolg hiervan zijn er een aantal maatregelen belegd bij deze service organisatie. Het onderzoeken van deze maatregelen is dan ook uitgevoerd door de IT auditor van deze service organisatie. In de zelfevaluatie zijn de op de gebruikersorganisatie van toepassing zijnde normen getoetst. Aan deze normen wordt door de gemeente Zaanstad voldaan Aansluiting Gemeente Zaanstad Parkeren Sigmax ICT Specialisten B.V. biedt de functionaliteit aan waarvoor DigiD aansluiting Gemeente Zaanstad Parkeren voor authenticatie wordt gebruikt voor het aanvragen/wijzigen of beëindigen van parkeervergunningen via de website parkeren.zaanstad.nl. Deze functionaliteit wordt geboden door de webapplicatie CityPermit. In de zelfevaluatie zijn de op de gebruikersorganisatie van toepassing zijnde normen getoetst. Voor een aantal normen is tijdens de zelfevaluatie geconstateerd dat er verdere verbetering of uitwerking nodig is om te voldoen aan de DigiD-normen. Voor het verbeteren van deze normen is een verbeterplan opgesteld Aansluiting Mijn inkomen De aansluiting Mijn inkomen van leverancier Centric is in mei 2017 actief geworden. Voor deze aansluiting heeft een externe auditor vastgesteld dat aan de aansluitvoorwaarden voor DigiD wordt voldaan. Deze nieuwe aansluiting valt in 2017 buiten de scope van ENSIA. 15

16 16