Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad

Transcriptie

1 Informatieveiligheid & Privacy Hardinxveld- Giessendam Duiding ten behoeve van Gemeenteraad Gemeente Hardinxveld-Giessendam Bas Verheijen (CISO) 12 oktober 2017

2 Introductie Bas Verheijen, CISO (Chief Information Security Officer) GR Drechtsteden, Bureau CIO Coördinator / controller informatieveiligheid binnen de regio Delen expertise bij regionale vraagstukken Faciliteren gemeenten en GR en op gebied van informatieveiligheid door ondersteuning de lokale informatiebeveiligers

3 Agenda 1) Aanleiding 2) Informatiebeveiliging 3) Privacy 4) Verantwoordelijkheden 5) Stand van zaken 6) Gemeenteraad 7) Vragen en discussie

4 Aanleiding

5 Het belang van informatieveiligheid en privacy voor gemeenteraadsleden

6 Informatieveiligheid: een 2 eeuwen oude overheidsverantwoordelijkheid Hoofdstuk 1 artikel 10, lid 1 en 2 van de Grondwet Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens. Wet bescherming persoonsgegevens (Wbp) De verantwoordelijke [voor privacygevoelige informatie] legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Meldplicht datalekken (Wbp, artikel 34a)

7 Ontwikkelingen 1) Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Normenkader (inclusief beleid), basis voor ENSIA 2) Eenduidige Normatiek Single Information Audit (ENSIA) Verantwoordingstool informatieveiligheid (horizontaal en verticaal) 3) Algemene Verordening Gegevensbescherming (AVG) Europese Privacy verordening met directe werking per 25 mei 2018 Opvolger van / basis voor de Wet bescherming persoonsgegevens (Wbp) Registreren, analyseren, melden datalekken (vanaf 2016) Privacy = Compliance met vertrouwelijkheid Informatiebeveiliging = Maatregelen die randvoorwaardelijk om invulling te kunnen geven aan die compliance

8 Informatieveiligheid

9 Informatieveiligheid bedreigd

10

11 Cyberaanvallen wereldwijd Live te volgen wat de hoeveelheid digitale aanvallen zijn die er permanent plaatsvinden (van wie ze komen en wie het slachtoffer zijn)

12 Oorsprong van dreigingen Beroepscriminelen Vreemde mogendheden Terroristen Hactivisten Cybervandalen Scriptkiddies Zie video van de Taskforce over bestuurlijke verantwoordelijkheid

13 Risico s voor gemeenten die zaken niet op orde hebben Vertrouwen van de burger wordt beschadigd Reputatieschade / politieke consequenties Verlies van informatie / hoge herstelkosten Schade aan / verlies van ICT-systemen Zware boetes van toezichthouder

14 Privacy

15 Informatiebeveiliging versus Privacy Beschikbaarheid Integriteit Informatiebeveiliging Vertrouwelijkheid Privacy Aansprakelijkheid

16 Privacy vanuit informatiebeveiligingsperspectief Privacy = Compliance met vertrouwelijkheid Informatiebeveiliging zijn de maatregelen die randvoorwaardelijk om invulling te kunnen geven aan die compliance Overlap bij het invoeren van maatregelen

17 Rechten betrokkene Recht van inzage (artikel 15 AVG) Recht van rectificatie (artikel 16 AVG) Recht op vergetelheid (artikel 17 AVG) Recht op beperking van de verwerking (artikel 18 AVG) Recht op overdraagbaarheid (artikel 20 AVG) Recht op bezwaar (artikel 21 AVG) Aansprakelijk stellen (artikel 82 AVG)

18 Gewone versus Bijzondere Persoonsgegevens Persoonsgegeven: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4.1 AVG) Bijzondere persoonsgegevens (artikel 9.1 AVG) godsdienst/levensovertuiging ras politieke opvattingen gezondheid/medisch seksuele leven lidmaatschap vakbond strafrechtelijke gegevens genetische/biometrische gegevens + BSN!!!

19 Boetebeleid (art. 83 AVG) Boete is doeltreffend, evenredig en afschrikkend Max euro of 4% wereldwijde jaaromzet (momenteel nog euro) Eerst waarschuwing/berisping (artikel 58 AVG) Eventueel met verbeteropdracht, daarnaast eventuele boete

20 Te organiseren t.b.v. privacy Registreren, analyseren en melden datalekken Aanstellen: 1) Functionaris Gegevensbescherming (FG) 2) Privacy Officer (PO) Opstellen & implementeren beleid Opzetten van dynamisch verwerkingenregister Kennisoverdracht aan procesverantwoordelijken Aanpak & doorlichten werkprocessen Juridische ondersteuning bij vragen & knelpunten

21 Wat is daarvoor nodig? Formeel belegd eigenaarschap van procesverantwoordelijken Om de werkprocessen mee te kunnen doorlopen En tot een verantwoorde (opzet en implementatie van het) privacy-beleid te komen

22 Verantwoordelijkheden

23 Wie is verantwoordelijk voor informatieveiligheid? Bestuur: College van B&W: beleid en uitvoering Gemeenteraad houdt toezicht dat het effectief/efficiënt gebeurd Ambtelijke organisatie en individuele medewerkers dragen ieder een eigen verantwoordelijkheid voor het veilig werken met de informatie binnen hun eigen processen Verantwoordelijkheid voor een privacy-compliant / privacy-proof werkwijzen ligt bij het College van B&W

24 Normen en verantwoording Code van Informatiebeveiliging = ISO Ingevulde binnen de gemeentelijke context door de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) Basis is een normenkader van 303 minimale maatregelen Startpunt voor het Information Security Management Systeem Borging in de P&C-cyclus (Plan-Do-Check-Act-cyclus) Jaarlijkse verantwoording over BIG door het College B&W richting de Gemeenteraad en Ministeries daarover door middel van ENSIA (Eenduidige Normatiek Single Information Audit)

25 Stappenplan Informatieveiligheid Drechtsteden 1) Creëren van ibewustzijn bij alle medewerkers 2) Structureren van inspanningen a. Periodiek Informatiebeveiligings Overleg Drechtsteden (2015) b. Informatiebeveiligingsbeleid (2015) c. Informatiebeveiligingsplan (2016) d. BIG-gapanalyse en implementatie (gestart eind 2016) e. Implementatie missende maatregelen (nog te starten) f. Business / Privacy Impact Analyses (pilots gedaan, maar nog te starten) a. Per proces bepalen of er aanvullende maatregelen nodig zijn g. Rapportage over voortgang via reguliere P&C-cyclus & Verantwoording richting de ministeries & gemeenteraad (via ENSIA )

26 BIG-verdeling tussen Hardinxveld-Giessendam & GRD Totaal aantal BIG-normen per verantwoordelijke voor de realisatie Aantal CISO 15 Gemeentesecretaris / Directeur 45 Huisvesting 25 I&A 172 Inkoop 8 JKC 3 P&O 18 Proceseigenaar

27 Rolverdeling tussen gemeenten & GRD Uitgangspunt is de gemeente zelf verantwoordelijk is voor informatieveiligheid & privacy als geheel binnen de gemeente De gemeente zou derhalve zelf in staat moet zijn om informatie te beveiliging op het voor haar gewenste niveau College: Integraal bestuurlijk verantwoordelijk (kaderstelling) MT: Ambtelijke invulling én sturing op het beleid voor gemeente Afdelingshoofden/proceseigenaren: Uitvoering van en controle op naleving informatiebeveiliging binnen eigen afdeling / proces Kennis van de processen en de benodigde informatie daarin liggen immers binnen de organisatie (bij de proceseigenaren)

28 Ter voorkoming van misverstanden Veel voorkomende misverstand is Informatieveiligheid is vooral een zaak van ICT en is technisch Informatieveiligheid is voor 80% mensenwerk; iedereen binnen de organisatie kan de zwakste schakel vormen Vraagt bewustwording en sturing binnen de gehele gemeentelijke organisatie van Hardinxveld-Giessendam Startpunt is de vastlegging van alle gegevensverwerkingen / processen (privacy)

29 Risicogebaseerde aanpak Procesrisicoanalyse (BIA) 1) Uitgangspunt is een vastgelegd proces Op informatie detailniveau Procesondersteuningstool 2) Definieer risico s voor de informatie/het proces voor de volgende kwaliteitseisen: Beschikbaarheid Integriteit en Vertrouwelijkheid / Privacy 3) Koppelen aan beheersingsmaatregelen

30 Stand van zaken

31 Stand van zaken in Drechtsteden Door de GRD uitgevoerd: 2014: Security risk assessment 2014: Raamwerk (strategisch visiedocument) informatieveiligheid vastgesteld met werkplan voor 3 jaar 2015: Informatieveiligheidsbeleid Drechtsteden, vastgesteld door alle colleges van B&W binnen Drechtsteden 2015/2016: Bewustwordingscampagne, te beginnen met directie teams / MT s en Drechtraad 2016: Informatiebeveiligingsplan voor Drechtsteden opgesteld 2016 heden: Start regionale coördinatie BIG-gapanalyses 2017 heden: Vanaf 1 juli ondersteuning bij inrichten ENSIA

32 Winter-actie

33 Winter-actie

34 Stand van zaken in gemeente Hardinxveld- Giessendam Visitatiecommissie van VNG heeft in 2016 Hardinxveld-Giessendam bezocht en constateert volgende kwetsbaarheden: Delen van wachtwoorden Geen beheer van mobiele apparaten Onveilig gebruik van openbaar Wi-Fi Nog geen regionale en lokale BIG-gapanalyse uitgevoerd Beveiligingsincidenten gemeente Hardinxveld-Giessendam Veel phishing s Vanaf echte beveiligingsincidenten geregistreerd, waaronder 3 (kleine) datalekken en 4 virusmeldingen 2 WOB-verzoeken gerelateerd aan informatiebeveiliging

35 Stand van zaken in gemeente Hardinxveld- Giessendam (2) Vanaf 2017: BIG-gapanalyse: Wat is er al en wat moet nog gerealiseerd worden? Plan van aanpak: Op welke volgorde worden de maatregelen genomen (prioritering?) Uitvoeren van zelfevaluatie informatieveiligheid ENSIA Rapporteren over informatieveiligheid in het gemeentelijk jaarverslag Afleggen van verantwoording aan de raad (toezichthouder gemeente)

36 Gemeenteraad

37 Gemeenteraad Hardinxveld-Giessendam Zet informatieveiligheid periodiek op de bestuurlijke agenda Portefeuille informatieveiligheid binnen college B&W en opnemen in collegeprogramma Woordvoerderschap fractie voor informatieveiligheid Verantwoording via P&C-cyclus en als onderdeel van jaarverslag (ENSIA) Beperk u tot controle op hoofdlijnen, uitvoering en details is verantwoordelijkheid bestuur en ambtelijk apparaat Spreek goede procedures af met betrekking tot uitwisselen van vertrouwelijke informatie Geef griffiers ondersteunende rol bij informatieveiligheid Hoe gaat u zelf om met privacygevoelige gegevens op bijvoorbeeld uw telefoon en tablet?

38