;,/rit Gemeente Delft

Transcriptie

1 Bestuur ;,/rit Gemeente Delft Controlling bezoekadres: Stationsplein BV Delft IBAN NL21 BNGH t.n.v, gemeente Delft Retouradres : Postbus 78, 2600 ME Delft de leden van de commissie voor Rekening en Audit Behandeld door mw. H. Koenen hkoenen@delft.nl Internet Telefoon VERZONDEN 2 2 NOV Datum Ons kenmerk Uw brief van Onderwerp Agenda lnformatiebeveiliging en privacybescherming 2019 Uw kenmerk Bijlage 2 Geachte commissieleden, Bijgaand sturen wij u de halfjaarlijkse rapportage over de stand van informatiebeveiliging en privacybescherming, ten behoeve van bespreking in uw Commissie zoals gebruikelijk. Tevens zenden wij u de Agenda lnformatiebeveiliging en privacybescherming Dit werkplan op hoofdlijnen geeft aan wat wij van plan zijn op te pakken in 2019, welke prioriteiten daarbij worden gesteld en hoe we de aanbevelingen van de Delftse Rekenkamer in het rapport lnformatiebeveiliging binnen de gemeente Delft (2018) denken te gaan uitvoeren. Eventuele financiële consequenties worden aan de orde gesteld in het Bestuursprogramma. Hiermee geven wij invulling aan onze toezegging de raad periodiek te informeren over dit beleidsterrein. Hoogachtend, het college v/6t1~emee ter en wethouders van Delft, ~ I _/1'-~rgerrreeste.r. J M van Bijsterveldt-Vliegenthart, secretaris dr. M. Berger, l.s.

2 Rapportage 2018 Q2/Q3 Informatiebeveiliging & Privacybescherming

3 Indeling Vervolg op de rapportage R&A Dreigingsbeeld. Incidenten. Spam en phishing. Informatiebeveiligingsbeleid: stand van zaken. Privacybescherming: stand van zaken. Datalekken. Verzoeken van betrokkenen. Verwerkersovereenkomsten. Data Protection Impact Assessments. Informatie naar de Raad. 2

4 Dreigingsbeeld Rapport DRK geeft inzicht in risico s op grond van testen Wat hebben we gesignaleerd? Slimmere phishing (voorbeeld Rijswijk). Nog geen ransomware dit jaar. Toename DDOS-aanvallen. Menselijke fouten. Schaarste op de arbeidsmarkt. 3

5 Incidenten 4

6 Spam en phishing 5

7 Informatiebeveiligingsbeleid Prioriteiten Planning 2018 (begroting ) Verder implementeren BIG. Gegevensclassificatie. Versterken technische informatiebeveiliging. Uitbreiden risico-analyse. ENSIA (horizontale en verticale verantwoording). Stand van zaken 1-10 Nog geen BIG-projecten afgerond. Veel capaciteit besteed aan het DRK-onderzoek, vooral door de technische informatiebeveiligings-specialist. In dat kader risico-analyse en versterking TI gerealiseerd. Gegevensclassificatie stopgezet in afwachting van capaciteit (o.a. FG). ENSIA loopt conform planning. 6

8 Datalekken / Alle interne meldingen (33) meldingen Werkse!; 2 specifieke meldingen; 11 meldingen over Intranet; 20 Meldingen aan de autoriteit persoonsgegevens (6) 3,5 3 2,5 2 1,5 1 0,5 0 Waarvan 2 ingetrokken Voorbeeld: testomgevingen 7

9 alle gegevens WMO Jeugdwet Participatiewet Schuldhulpverlening Personeelsadministratie Veiligheidskamer Delft Verzoeken van betrokkenen om inzage gegevens 25 mei oktober 2018 Er zijn 63 verzoeken gedaan door 27 verzoekers. 12 verzoeken betroffen alle gegevens, de overige verzoeken betroffen één of meer specifieke gebieden Reeks1 8

10 Verzoeken van betrokkenen om inzage gegevens 25 mei oktober 2018 Opvallend: Geen reactie op aanbod dossiers te bekijken of met FG te spreken. Geen verzoeken om aanpassing van de verwerking (zoals verwijdering, recht om vergeten te worden). In een lopend onderzoek van de vakgroep Cybersecurity van de TU Delft, kwamen de onderzoekers met de volgende bevinding: When participants were asked which of the responses they thought were best in the interview, two criteria emerged throughout: the completeness of the data, and in different forms, the feeling of being taken seriously. The completeness was appreciated, in terms of sheer quantity, the coverage in time, and the precision in describing the origin of the data. But the much more striking aspect that participants judged was the tone and the implied willingness to provide transparency of the interactions. (Mahieu e.a. Collectively exercising the right of access, 2017) 9

11 Verwerkingsovereenkomsten stand nog niet gestart; 4 onder handen; 21 afgesloten; 57 Aangemeld door de organisatie (bijvoorbeeld bij aanbesteding) of door de leverancier; systematische scan pas in het kader van doorontwikkelen verwerkingsregister. Dynamisch proces: voortdurend komen er overeenkomsten bij en gaan er weer af. 10

12 Data protection impact assessments Er zijn 3 DPIA s opgeleverd door de interne IT-auditor: Applicatie Suite for Sociaal Domein (SSD). Applicatie Key2JongerenMonitor. Applicatie AFAS van Werkse! m.b.t. gegevensverwerking in het kader van de Participatiewet. Lopende DPIA s: Postproces gemeente-werkse! (auditteam). Informatiestromen tussen gemeente en Delft Support (uitbesteed aan externe auditor), in het kader van deelproject Privacy binnen hoofdproject Delft Support. 11

13 Informatie naar de raad Standaardrapportage 2x per jaar. Voortgang en bijstelling planning. Nieuwe ontwikkelingen en dreigingen. Informatie over incidenten, datalekken, verzoeken,.. ENSIA-rapportage bij de jaarrekening. Informeren van de raad bij calamiteiten op informatiegebied. Wat? Wanneer? Protocol? 12

14 1 Agenda Informatiebeveiliging en privacybescherming 2019 Uitgangspunten Uitgangspunten voor de agenda Informatiebeveiliging en privcaybescherming in 2019 zijn: het actuele dreigingsbeeld, mede op basis van de risico-analyses het voldoen aan wet- en regelgeving (compliance) de gewenste opvolging van de aanbevelingen van de Delftse Rekenkamer in zijn rapport over Informatiebeveiliging binnen de gemeente Delft. Met Rijswijk wordt nauw samengewerkt op het gebied van IT-beheer in de GRB Delft-Rijswijk. Ontwikkelingen die beide partners raken, worden gezamenlijk opgepakt en betaald. Het streven is om ook de bestuurlijke trajecten bij deze ontwikkelingen zoveel mogelijk synchroon te laten verlopen. Dreigingsbeeld extern Zowel de Informatiebeveiligingsdienst van de VNG (verder: IBD) als het Nationaal Cyber Security Centrum (NCSC) geven periodiek een algemeen dreigingsbeeld af voor Nederlandse gemeenten respectievelijk heel Nederland. Volgens het cybersecuritybeeld Nederland 2018 van NCSC neemt de digitale dreiging in Nederland toe in omvang en ernst, en is permanent. Uit beide dreigingsbeelden blijkt het volgende: Weerbaarheid van individuen en organisaties blijft achter bij de groei van de dreiging Mensen maken fouten Cyberaanvallen zijn profijtelijk, laagdrempelig en weinig riskant voor de aanvallers. De gevolgen van aanvallen en uitval kunnen groot zijn en zelfs maatschappij-ontwrichtend. Cybercriminaliteit houdt aan. Cyberaanvallen die een grote maatschappelijke impact hebben, zijn laagdrempelig uit te voeren. Denk aan ransomware en DDOS (distributed denial of service). Internet (of Things) is kwetsbaar. Basismaatregelen ontbreken. Er zijn nog steeds onveilige producten en diensten, omdat bekende kwetsbaarheden niet tijdig zijn opgelost. In dat verband versterkt ook het steeds vaker werken met mobile devices (telefoon, tablet, laptop) de kwetsbaarheid, omdat deze devices moeilijker te beschermen zijn.

15 2 Gemeenten zijn kwetsbaar omdat ze veel bijzondere gegevens hebben, maar soms over onvoldoende kennis of middelen beschikken om zich te beschermen. Gemeenten meten te weinig wat er gebeurt op hun netwerk. Ook voor Delft zijn dit reële dreigingen, waartegen de organisatie zich moet wapenen. Zo laten eigen analyses een toename van DDOS-aanvallen zien en worden de phishing mails ingenieuzer. Bijvoorbeeld DDOS-aanvallen hebben een grote impact op de dienstverlening van de gemeente. Aanvallen zijn goedkoop, maar de protectie daartegen niet. Analyses op grond van meldingen van datalekken en incidenten laten vooral fouten van mensen als verklaring zien. Compliance Voor Informatiebeveiliging en privacybescherming wordt de regelgeving, waaraan moet worden voldaan, in hoofdzaak gevormd door BIG (Baseline Informatiebeveiliging Gemeenten)en AVG. Niet voldoen aan regelgeving kan leiden tot kwetsbaarheden in het IT-huis en bedreiging van de bedrijfscontinuïteit en integriteit, en tot privacy schendingen en verlies van vertrouwen bij de inwoners van Delft. En in de sfeer van verantwoording tot boetes, het niet verkrijgen van een goedkeurende verklaring van een auditor en het verlies van instrumenten zoals DiGiD en Suwinet. Aanbevelingen Delftse Rekenkamer In september 2018 is door de Delftse Rekenkamer (DRK) een rapport uitgebracht over Informatiebeveiliging binnen de gemeente Delft. In dit rapport worden risico s gesignaleerd en aanbevelingen gedaan, waarvan het college in de bestuurlijke reactie heeft gesteld deze te zullen opvolgen, of dat al doet. Prioriteit Prioriteit wordt bepaald door het College aan de hand van weging van de risico s. Op basis van de risico-analyse wordt prioriteit gegeven aan de (technische) informatiebeveiliging tegen externe dreigingen vanwege het belang van bedrijfscontinuïteit en integriteit van de bedrijfsgegevens, en de grote impact die dergelijke inbreuken kunnen hebben, en aan sterkere bewustwording van medewerkers op het gebied van informatiebeveiliging en privacybescherming door het vergroten van kennis, weerbaarheid en gevoel van verantwoordelijkheid. Snel reageren op incidenten en datalekken, en binnen wettelijke termijn afhandelen van verzoeken van inwoners en andere betrokkenen heeft daarnaast prioriteit in de dagelijkse praktijk. Planning Over de uitvoering van deze agenda wordt 2x per jaar gerapporteerd aan college en raad. Dat is ook het moment voor bijstelling van de planning.

16 Bewustwording 3 In het risicoprofiel komt duidelijk naar voren dat de onwetende of slordige gebruiker van IT één van de belangrijkste beveiligingsrisico s is. Door middel van voorlichting en vorming wordt al enkele jaren geprobeerd om het beveiligingsbewustzijn bij medewerkers te bevorderen en aan te sturen op veilig gedrag van medewerkers. In het onderzoek van de Delftse Rekenkamer wordt geconcludeerd dat de eigen verantwoordelijkheid die managers en medewerkers voelen voor informatieveiligheid groter moet worden. Ze weten echter niet altijd wat er van ze verwacht wordt en waar ze op aan gesproken kunnen worden. Er is nog geen goede vertaling gemaakt van de algemene principes van informatiebeveiliging en privacybescherming naar hun werkprocessen. Voorlichting Er komt een Informatie-Communicatieplan. Hierin wordt ook de communicatie over informatiebeveiliging en privacybescherming opgenomen. Er is een Intranetpagina met alle informatie over dit beleidsterrein. In 2019 wordt een boekje (analoog en digitaal) uitgebracht met de belangrijkste huisregels op het gebied van informatiebeveiliging en privacybescherming, bedoeld voor alle huidige en nieuwe medewerkers. Vorming Het vorming en opleidingsprogramma bestaat uit 3 delen: Programma voor alle managers om hun verantwoordelijkheid voor informatiebeveiliging en privacybescherming scherp te krijgen, als onderdeel van een groter programma over i-ontwikkelingen Training Veilig werken met informatie voor alle medewerkers Specifieke sessies voor afdelingen met een gemengd karakter- deels risico-inventarisatie en deels voorlichting -, gericht op het specifiek werkproces van die afdeling (alleen voor risicovolle afdelingen) 1. Communicatieplan informatiebeveiliging en privacybescherming opstellen, uitvoeren Q1 Q1/Q4 2. Vorming en opleidingsplan voor managers voorbereiden, uitvoeren Q1 Q2 3. Training Veilig werken met informatie voor alle medewerkers Q1/Q4 4. Specifieke sessies voor afdelingen, beperkt en op verzoek Q1/Q4 Met de bestaande capaciteit en budget kan beperkt aan algemene voorlichting worden gewerkt.

17 4 Om een continu programma aan te kunnen bieden in de komende jaren is voor het vorming- en opleidingsprogramma structureel nodig. Om nu versneld een inhaalslag voor alle medewerkers te doen is incidenteel nodig.

18 5 Informatiebeveiliging Technische informatiebeveiliging Uit het risicoprofiel blijkt duidelijk dat door toegenomen externe dreigingen de technische informatiebeveiliging versterking behoeft. Ook het rapport van DRK wijst op de noodzaak om de technische informatiebeveiliging op een hoger niveau te brengen. Voor 2019 wordt met name ingezet op de inrichten van een Security Operations Center (SOC), een team van specialisten die op incidenten reageren (incident response), (mogelijke) incidenten analyseren en maatregelen bedenken. Als instrument daarvoor wordt een SIEM (security information and event management systeem) geïnstalleerd, dat de mogelijkheid biedt om real-time analyses te doen van veiligheidswaarschuwingen die de netwerksystemen en applicaties afgeven. De kwetsbaarheden scan wordt geïntensiveerd. Er zal worden geoefend in crisisbeheersing en verdediging tegen aanvallen. Als het risicoprofiel wijzigt en er zijn andere maatregelen nodig om dreigingen te keren, dan komen we daar tussentijds op terug. Daarnaast is de aanbeveling van de DRK om regelmatig door een extern bureau te laten testen hoe sterk de beveiliging is door middel van PEN-testen (ethisch hacken), nep-phishing mails etc, naast de specifieke PEN-test in het kader van de ENSIA/DiGiD-audit. Ook krijgen hackers met verantwoordelijkheidsgevoel de gelegenheid om de gemeentelijke IT van buitenaf te testen via Responsible Disclosure. Alle acties op dit deelgebied hebben direct gevolg voor de dienstverlening aan Rijswijk via de Gemeenschappelijke Regeling Bedrijfsvoering inzake IT-beheer. 5. Inrichten SOC Uitvoeren Incident response, analyses en preventieve maatregelen Q1 Q1/Q4 6. Installeren en operationeel maken SIEM Q1 7. Intensiveren kwetsbaarheden scan Q1/Q4 8. Oefenen in crisisbeheersing (red teaming) Q1/Q2 9. PENtest en andere onderzoeken Q2 10. Inrichten Responsible Disclosure Q1

19 6 Technische informatiebeveiliging wordt nu uitgevoerd met het huidige IT-budget en IT-capaciteit. De intensivering van technische informatiebeveiliging door inrichting van het SOC vergt extra capaciteit voor IT ( structureel). Onderzoeken en pentests door externe bureau s vergt extra budget ad per jaar. Beleid Technische en organisatorische ontwikkelingen en een gewijzigd risicoprofiel maken het noodzakelijk om nieuw beveiligingsbeleid vast te stellen of bestaand beleid te heroverwegen. Een van de grote risico s die landelijk zijn gesignaleerd, is het toenemend gebruik en de veranderende functie van mobile devices (telefoon, tablet, laptop) waaraan grotere en andere beveiligingsrisico s zijn verbonden dan aan vaste apparatuur. In 2018 zijn de eerste stappen gezet om het beschikbaar stellen van mobile devices aan de gemeentelijke organisatie te regelen. In 2019 staat de beveiliging centraal. Dit project wordt samen met Rijswijk uitgevoerd, omdat te maken keuzen invloed kunnen hebben op de gemeenschappelijke basis. Door de Delftse Rekenkamer is in zijn rapport aanbevolen om een aantal werkwijzen binnen de gemeente te heroverwegen omdat aspecten van informatiebeveiliging of privacybescherming onvoldoende zijn meegenomen bij het instellen van deze werkwijzen. Inde bestuurlijke reactie is toegezegd om deze werkwijzen nogmaals tegen het licht te houden en daarbij de beveiligingsaspecten uitdrukkelijk mee te nemen. Daarnaast vindt de DRK dat Delft een systeem voor Identity en Access-management nodig heeft. In de bestuurlijke reactie is toegezegd om nut en noodzaak van zo n veelomvattend systeem te onderzoeken. Punten 13, 14 en 15 hebben raakvlakken met de inrichting van systemen voor Rijswijk, en zullen gezamenlijk worden opgepakt. Toegezegd is verder naar aanleiding van de bevindingen uit het Mystery Guest onderzoek in opdracht van DRK dat er een nieuw beveiligingsbeleid komt voor gemeentelijke (kantoor)gebouwen. 11. Project Mobile Device Management (MDM) Q1/Q2 12. Heroverwegen Open mappen structuur Q2 13. Heroverwegen Thuiswerken met gevoelige gegevens Q3 14. Shadow IT: werken buiten de IT-structuur om Q4 15. Onderzoek Identity en Access-management Q4 16. Beveiligingsbeleid voor gemeentelijke kantoorgebouwen Q1

20 7 Beleid kan met de bestaande capaciteit worden gerealiseerd, mits gefaseerd. Voor het inschakelen van externe adviseurs (bijvoorbeeld voor Identity en Access-management) is incidenteel nodig. Implementatie BIG In de nota Informatiebeveiligingsbeleid is de BIG vertaald naar het gemeentelijk beleid. Op een aantal punten dient het informatiebeveiligingsbeleid verder uitgewerkt te worden in praktische concrete richtlijnen voor medewerkers. Daarnaast wordt een zogenaamde tactische toets ingericht om nieuwe voorstellen en ontwikkelingen te toetsen aan de afgesproken beleidslijnen. Ook de gegevensclassificatie moet nog verder worden ingericht en uitgevoerd, om de juiste beveiligingsniveau s te kunnen hanteren. De basis hiervoor wordt geleverd door het project Gegevensarchitectuur (zie Informatiestrategie). Bij gegevensclassificatie is een belangrijke rol weggelegd voor de Functionaris Gegevensbescherming (FG). Uitwerking van dit onderwerp kan pas worden voortgezet als de functie van FG definitief vervuld is. 17. Richtlijn Leveranciers Q1 18. Richtlijn Gebruik toepassingen in de cloud Q2 19. Richtlijn Werken in de keten Q3 20. Richtlijn gebruik USB-sticks Q1 21. Ontwikkelen en toepassen tactische toets Q1/Q4 22. Gegevensclassificatie verder uitwerken en operationaliseren Q3/Q4 als FG er is afhankelijk van afronden project Gegevensarchitectuur (basis van de classificatie) Deze activiteiten worden uitgevoerd met bestaande capaciteit. Adviezen en incidenten Relatief veel capaciteit gaat zitten in ad hoc adviezen bij voorstellen en incidenten. Ook de nazorg van vorige projecten zoals het project Beveiligde , kost capaciteit. De inzet van capaciteit voor adviezen en incidenten wordt gemonitord.

21 8 Privacybescherming 2018 heeft in het teken gestaan van de implementatie van de AVG. Op 25 mei stond de basis er, maar werd tevens al aangegeven dat een verdere verdiepingsslag, mede op basis van de ervaringen met deze regelgeving, zou moeten plaatsvinden op de verschillende onderdelen van de AVG. Voor 2019 zijn dat de volgende onderwerpen. Beleid In de nota Privacybeleid is aangegeven dat op sommige punten de principes van privacybeleid nader worden uitgewerkt in richtlijnen om ze hanteerbaar te maken voor de organisatie in hun dagelijks werk. Er is nog veel onduidelijkheid in het land over de uitleg van sommige principes in de AVG en wat dit concreet betekent voor werkprocessen. Op grond van de vragen vanuit de organisatie en de bevindingen van het rekenkamerrapport zullen de volgende richtlijnen worden opgesteld: 23. Richtlijn gebruik foto- en camerabeelden Q1 24. Richtlijn gebruik BSN Q2 25. Richtlijn anonimisering en pseudonimisering van persoonsgegevens Q3 De AVG is van oorsprong niet van toepassing op een aantal specifiek benoemde terreinen, waaronder de politiegegevens die onder de wet Politiegegevens vallen, en de Basisregistratie Personen. Inmiddels is de Aanvullingswet AVG van kracht geworden, die de BRP alsnog gedeeltelijk onder de AVG brengt. Voor beide wetten geldt dat verkend moet worden wat de relatie is met de AVG en wat nog geregeld moet worden om te voldoen aan de regelgeving. 26. Onderzoek verhouding wet Politiegegevens en AVG Q1 27. Onderzoek BRP onder de AVG Q1 Beleid kan binnen de bestaande capaciteit worden uitgevoerd, mits gefaseerd. Verwerkingsregister en verwerkingsovereenkomsten Er is in 2018 een register van verwerkingen ingericht op een basis niveau. In 2019 vindt inhoudelijke verdieping plaats en wordt het in 2018 geselecteerde systeem geïmplementeerd. Daarnaast wordt onderzocht hoe dit register (in beknopte vorm) toegankelijk kan worden gemaakt. In het register zijn de verwerkingen door derden opgenomen. Voor deze verwerkingen worden verwerkingsovereenkomsten en dataleveringsovereenkomsten afgesloten. Een

22 9 bijzondere vorm van deze laatste zijn de convenanten. In 2019 wordt gestaag doorgewerkt aan het afsluiten en herzien van verwerkingsovereenkomsten en convenanten, met aandacht voor handhaving. 28. Verdiepingsslag verwerkingsregister, implementatie systeem Q1/Q4 29. Publicabel maken systeem (in beknopte vorm op website, intern voor aanpassingen) Q2 30. Verwerkingsovereenkomsten afsluiten Q1/Q4 31. Convenant Veiligheidskamer herzien Q1 32. Verkenning handhavingsmogelijkheden verwerkingsovereenkomsten Q4 Punt 28 is afhankelijk van aanstellen van een vaste Functionaris Gegevensbescherming, en van het tot stand brengen van een gegevensarchitectuur. Hiervoor heeft de gemeente een gegevensarchitect aangetrokken. Na afronding van dit project en na definitieve invulling van de functie van FG wordt dit onderwerp verder opgepakt. Voor punt 28 en 29 is extra budget nodig, nl per jaar voor het nieuwe systeem. Verwerkingsovereenkomsten en convenanten worden met bestaande capaciteit gerealiseerd. Deelnemingen (100%) Werkse! heeft een eigen Functionaris Gegevensbescherming (FG) en heeft samen met de gemeente zelf de AVG geïmplementeerd. Met Werkse! zijn afspraken gemaakt en is een overleg ingesteld tussen de FG s van gemeente en Werkse!. Belangrijk aandachtspunt in de komende periode is het opstellen van een overkoepelende verwerkingsovereenkomst voor alle diensten die Werkse! voor de gemeente verricht. Dit betreft niet de publieke taken op het gebied van Werk en Inkomen, deze vallen onder gemeentelijk regime. Met het Integraal parkeerbedrijf (IPD) is een verwerkingsovereenkomst afgesloten. Periodiek overleg moet nog worden ingesteld. De overdracht van taken aan Delft Support is nog niet afgerond. Bij deze overdracht horen afspraken over de privacy-maatregelen die Delft Support zelf treft, over de maatregelen die de gemeente treft in samenwerking met Delft Support en een verwerkersovereenkomst tussen gemeente en Delft Support. Zie het onderdeel Projecten.

23 Inrichten en onderhouden relatie gemeente-werkse! op gebied van privacybescherming, met name afsluiten van een verwerkersovereenkomst Q1/Q4 Q1 34. Inrichten en onderhouden relatie gemeente-ipd op het gebied van privacybescherming, met name periodiek overleg opzetten Q1/Q4 35. Inrichten en onderhouden relatie gemeente Delft Support op het gebied van privacybescherming, waaronder een verwerkersovereenkomst Q1/Q4 Q1 Deze activiteiten worden met bestaande capaciteit uitgevoerd. Rechten van betrokkenen In mei is het digitale en schriftelijke loket geopend voor inzageverzoeken door betrokkenen in de verwerking van hun persoonsgegevens door de gemeente. De BRP valt hier niet onder en kent zijn eigen procedure voor inzage, hetgeen soms tot verwarring leidt. Het gebruik van deze mogelijkheid in de AVG in 2018 laat een bestendige, goed hanteerbare stroom van verzoeken zien van gemiddeld 10 verzoeken per maand, met wisselende complexiteit. Er zijn tot nu toe geen verzoeken tot aanpassing van gegevensverwerking gedaan (zoals het recht om vergeten te worden). 36. Evalueren proces en resultaten, zo nodig aanpassen proces Q1 37. Onderzoek inpassen verzoek om inzage BRP in de aanvraagprocedure Q1 38. Uitvoeren reguliere aanvragen Q1/Q4 Het afhandelen van aanvragen is gebonden aan wettelijke termijnen, en onderhevig aan beroep en bezwaar, en heeft daarom prioriteit. Deze taak wordt onder de aanname dat de stroom verzoeken op hetzelfde niveau blijft als in uitgevoerd met de bestaande capaciteit. Omdat het aantal aanvragen onvoorspelbaar is, wordt de inzet van capaciteit op dit onderdeel gemonitord. DPIA s Data protection impact assessments zijn wettelijk verplicht bij grote wijzigingen in gegevensverwerkingen. En worden ook uitgevoerd bij onderdelen waar de gemeente zelf een risico onderkent. DPIA s worden deels in huis uitgevoerd door de IT-auditor, deels uitbesteed, afhankelijk van urgentie, benodigde capaciteit en de behoefte aan een externe blik. Voor 2019 wordt een planning opgesteld van uit te voeren DPIA s op basis van risico-analyse en wordt het instrument DPIA verder uitgewerkt op basis van de opgedane ervaringen.

24 Doorontwikkelen instrument DPIA Q2 40. Opstellen planning DPIA s op basis van risico-analyse Q1 41. Uitvoeren DPIA s Q1/Q4 Het ontwikkelen en uitvoeren van DPIA s is belegd bij de interne IT-auditor (auditteam) binnen de beschikbare capaciteit voor deze taak. Voor punt 41 is een structureel budget nodig van , om DPIA s gedeeltelijk uit te kunnen besteden. Privacy by design en by default Privacy by design houdt in dat bij het inrichten van processen en systemen al rekening is gehouden met privacyregelgeving. Privacy by design en by default is een veelomvattend begrip. Enkele leveranciers hebben inmiddels hun systemen aangepast. Er is behoefte aan het precieser inkaderen wat het concept kan inhouden en hoe Delft concreet aan de slag kan met dit concept. 42. Verkenning Concept Privacy by Design en Privacy by Default Q4 Voor het inschakelen van een externe adviseurvoor dit onderwerp is incidenteel nodig. Projecten en adviezen Veel beschikbare capaciteit gaat zitten in ad hoc vragen om advies en projecten die privacy-aspecten hebben. De privacyregelgeving is nog niet uitgekristalliseerd en ook nog niet altijd geland in werkprocessen van medewerkers. Ook uit de voorlichtingssessies komen veel vragen die beantwoord moeten worden. Het is steeds de vraag of vragen en projecten wel of niet opgepakt kunnen worden, gezien de beschikbare capaciteit en de andere onderdelen van de agenda. Voor 2019 zijn er 2 grote projecten waarin privacy-aspecten een belangrijke rol spelen. Hiervoor wordt capaciteit vrij gemaakt. In 2018 is voorts een probleem gemeld met betrekking tot het gebruik van echte persoonsgegevens in testomgevingen. Dit is niet toegestaan maar soms onvermijdelijk omdat er anders niet getest kan worden (verplichting vanuit informatiebeveiligingsbeleid). Dit probleem wordt in 2019 opgepakt. Daarnaast worden de privacy-aspecten meegenomen in de tactische toets, zie de paragraaf informatiebeveiliging.

25 Delft Support ontvlechting en invlechting, deelproject Privacy Q1/Q2 44. Privacybescherming in ontwikkeling Business Intelligence Q1/Q3 45. Inrichten van testomgevingen met gebruik van persoonsgegevens Q1/Q2 Deze activiteiten worden uitgevoerd met bestaande capaciteit, maar wel zo veel mogelijk gefaseerd. Datalekken en incidenten Het proces voor afhandelen van datalekken en incidenten is een regulier proces met prioriteit. Het kan worden uitgevoerd met bestaande capaciteit mits de stroom incidenten en datalekken niet uitgroeit boven het huidige niveau. Het capaciteitsbeslag is slecht te voorspellen en wordt dus gemonitord. 46. Afhandelen datalekken en incidenten Q1/Q4

26 13 Besturing en verantwoording Governance Op het punt van governance dienen in 2019 de posities van Chief Information Security Officer (CISO) en Functionaris Gegevensbescherming (FG) verder ingeregeld te worden in een statuut, waarin met name hun bevoegdheden en onderlinge relatie worden afgebakend. Om het deze functionarissen mogelijk te maken om in control te zijn op het gebied van informatiebeveiliging en privacybescherming wordt een ISMS ( Information Security Management System) ingericht. Het hebben van een ISMS in enige vorm is een verplichting op grond van de BIG. Zie ook het rapport van de DRK. De nieuwe FG wordt zo snel mogelijk geworven. De OR heeft instemmingsrecht op onderdelen van het privacybeleid en informatiebeveiligingsbeleid die medewerkers raken. Met de OR zal worden gesproken over de bevoegdheden van CISO en FG. Daarnaast zal met de OR worden overlegd over zogenaamde personeelvolgsystemen. Dat zijn alle systemen die persoonsgegevens van medewerkers verwerken. Juist bij het intensiveren van controles op het gebruik van systemen om kwetsbaarheden op te sporen, kunnen belangen van medewerkers sneller geraakt worden. Goede afspraken met de OR zijn een voorwaarde om deze controles uit te kunnen voeren. Voor de lijnmanagers in de organisatie wordt een handreiking gemaakt over intern eigenaarschap van systemen, processen en gegevens en wat daarbij verwacht wordt van het lijnmanagement. Aan deze materie wordt aandacht besteed in het opleidingstraject van de managers (zie paragraaf Bewustwording). 47. Statuut voor CISO en FG vaststellen Q1 48. Aanstellen nieuwe FG Q1 49. Met OR afspraken maken over personeel volgsystemen en bevoegdheden CISO en FG Q1 50. Handreiking eigenaarschap systemen, processen, gegevens voor lijnmanagers Q1/Q2 De activiteiten met betrekking tot Governance worden uitgevoerd met bestaande capaciteit (CISO/FG a.i.).

27 14 Verantwoording De verantwoording over compliance aan de regelgeving verloopt jaarlijks via de IT-audit ENSIA (Eenduidig Normatief Single Information Audit). Deze audit omvat, naast de normen van de BIG en specifieke normen van vakdepartementen, inmiddels ook een aantal AVG-normen. De resultaten van ENSIA worden verwerkt in het ISMS, zodat de CISO periodiek de opvolging kan monitoren. Belangrijk onderdeel hiervan is het beschrijven en actueel houden van procedures, zodat kan worden voldaan aan de verplichtingen van wet- en regelgeving. Over de ontwikkelingen op het gebied van informatiebeveiliging en privacybescherming wordt 2x per jaar gerapporteerd aan college en raadscommissie R&A. Daarnaast wordt in het kader van de horizontale verantwoording van ENSIA bij de jaarrekening verslag gedaan onder meer van de zelfevaluatie van het college in ENSIA en de assurance rapportage van de externe auditor over DiGiD en Suwinet. 51. Uitvoeren ENSIA zelfevaluatie Q3/Q4 52. Rapportages ENSIA voor verticale en horizontale verantwoording Q1/Q2 53. Voortgangsrapportages aan College en Commissie R&A Q2/Q4 ENSIA wordt uitgevoerd onder coördinatie van de interne IT-auditor (Auditteam) binnen de bestaande capaciteit van de organisatie. Het inhuren van de externe auditor ten behoeve van de assurance wordt bekostigd door de GRB Delft-Rijswijk. Voor het aanschaffen en onderhouden van het ISMS inclusief de procedurebeschrijvingen is per jaar extra nodig.

28 Middelen en capaciteit 15 Veel onderwerpen in de planning kunnen worden uitgevoerd met beschikbare capaciteit, mits de activiteiten kunnen worden gefaseerd door het hele jaar heen en er geen grotere stroom aan incidenten, datalekken en aanvragen is dan waarmee rekening is gehouden in de planning. Is dat wel het geval, dan zal opnieuw een afweging in de planning moeten worden gemaakt. Op de onderdelen Bewustwording en Technische Informatiebeveiliging is structurele versterking nodig. Beheerssystemen dienen te worden aangeschaft en beheerd, om te kunnen voldoen aan wettelijke verplichtingen. Meer controle door middel van externe onderzoeken is gewenst. Voor sommige onderwerpen is externe kennis nodig, omdat we die niet in huis hebben. Het rapport van de Delftse Rekenkamer onderschrijft deze noodzakelijke versterking.

29 16 Voor de uitvoering van deze agenda zijn de volgende middelen extra nodig: 1. Bewustwording Vorming, opleiding, voorlichting permanent in huis S extern I 2. Informatiebeveiliging Versterken technische informatiebeveiliging in huis S Externe onderzoeken: PENtests en fishingtests extern S Onderzoek Identity en Accessmanagement systeem extern I 3. Privacybescherming Uitvoeren DPIA's extern S Systeem Verwerkingsregister extern S Verkenning privacy by design en by default extern I 4. Besturing en verantwoording ISMS (systeem) extern S Beheer ISMS, procedures en registers in huis S Prioriteiten GMT-offerte De belangrijkste prioriteiten geclusterd op urgentie (A is meest urgent): A. Versterken technische informatiebeveiliging, ISMS en beheer ISMS, procedures en registers ( ) B. Vorming, opleiding, voorlichting permanent, systeem verwerkingsregister (40.000) C. Externe onderzoeken (PEN-tests en fishingtests), uitvoering DPIA s en incidentele inhaalslag V&O ( S, I) D. Overige onderzoeken ( I)

30 17 Dekking In de GMT-offerte voor het Bestuursprogramma is opgenomen voor informatiebeveiliging en privacybescherming. Daarnaast vindt nog bestuurlijk overleg in GR-verband plaats met Rijswijk over de maatregelen die de gemeenschappelijke basis betreffen. Op dit moment is nog geen duidelijkheid over de eventuele opbrengst van dit overleg. En wordt nog gezocht naar incidentele middelen binnen bestaande programma s. Als alleen de extra middelen van de GMT-offerte beschikbaar komen, worden deze besteed aan de belangrijkste prioriteiten zoals hierboven aangegeven (oranje gemarkeerd). Activiteiten zonder dekking zullen niet worden uitgevoerd. Dat heeft de volgende consequenties voor bovengenoemde aandachtsgebieden in 2019: Bewustwording: Alleen beperkte algemene voorlichting binnen de bestaande capaciteit Geen training voor managers, geen training voor alle medewerkers, gen versnelling in bewustwording medewerkers Informatiebeveiliging Geen extra PENtests en andere onderzoeken Geen onderzoek naar Identity en Accessmanagement Privacybescherming: Geen DPIA s door externe auditors Geen verkenning Privacy by design en by default Governance en verantwoording: Beheer van ISMS, procedures en registers : knelpunt, ad hoc op te lossen