Informatiebeveiligingsbeleid

Transcriptie

1 Inleiding Dit document geeft de beleidsuitgangspunten voor de Gemeente Hilversum weer als het gaat om informatiebeveiliging/ informatieveiligheid. In dit document worden de (wettelijke en landelijke) normen vertaald naar de Hilversumse situatie, waarbij onze keuzes ten aanzien van de invulling zijn vastgelegd. Dit beleid is gebaseerd op de Baseline Informatiebeveiliging voor Gemeenten (BIG), een voor gemeenten specifiek gemaakte uitwerking van ISO normen voor informatiebeveiliging en best practices. Informatiebeveiliging en privacy Om onze taken als Gemeente Hilversum goed te kunnen verrichten hebben we informatie nodig: Informatie om vragen van inwoners, bedrijven en bezoekers te beantwoorden; Informatie om snel en efficiënt onze diensten (in één keer goed) te leveren; Informatie om samen met andere partijen in de keten diensten te leveren, met als voorbeelden de omgevingsdienst of de zorgketen; Informatie om goed afgewogen besluiten te nemen over de ontwikkeling van onze gemeente; Informatie om ons handelen transparant en proactief te verantwoorden. Om onze taken betrouwbaar, op tijd, transparant en met respect voor de belangen van onze inwoners en bedrijven uit te kunnen voeren is het noodzakelijk om zorgvuldig om te gaan met deze informatie (informatieveiligheid). Het samenhangende stelsel van processen dat hiervoor zorgt noemen we informatiebeveiliging. Deze processen richten zich op: beschikbaarheid / continuïteit: het zorg dragen voor het beschikbaar zijn van informatie en informatie verwerkende bedrijfsmiddelen op de juiste tijd en plaats voor de gebruikers; exclusiviteit / vertrouwelijkheid: het beschermen van informatie tegen kennisname en mutatie door onbevoegden. Informatie is alleen toegankelijk voor degenen die geautoriseerd zijn; integriteit / betrouwbaarheid: het waarborgen van de correctheid, volledigheid, tijdigheid en controleerbaarheid van informatie en informatieverwerking. Bij het organiseren van de informatiebeveiliging is het recht op privacy een onlosmakelijk onderdeel. Elke inwoner heeft het recht om erop te kunnen rekenen dat vertrouwelijke gegevens alleen gebruikt worden voor het doel waarvoor ze verstrekt zijn, dat deze gegevens niet langer bewaard worden dan noodzakelijk en tijdig vernietigd worden conform wetgeving. Tevens heeft een inwoner het recht om de eigen gegevens in te zien. Reikwijdte informatiebeveiliging Informatiebeveiliging gaat om meer dan ICT, computers en techniek. Het gaat om alle vormen van informatie en informatiedragers. Van een papieren document, via een digitaal document of video tot en met de kennis in de hoofden van mensen (niet uitputtend). Informatiebeveiliging omvat alle informatie verwerkende systemen (programmatuur, databases, hardware etc.) maar vooral ook mensen en processen. Technisch gezien kunnen informatiesystemen nog zo goed beveiligd worden, maar als iemand bewust of onbewust informatie laat slingeren of als er geen toezicht georganiseerd is dan blijft het risico groot. Dit beleid is van toepassing op de gehele organisatie en alle middelen, inclusief door de gemeente ingezette derden (inhuur, uitbesteding van taken aan andere partijen), informatiesystemen/ middelen waarbij het beheer door de gemeente bij derden is belegd en privé middelen van medewerkers die worden gebruikt in / voor toegang tot de werkomgeving. Het beleid is ook van toepassing op (de afspraken die worden gemaakt in het kader van) samenwerkingsverbanden. Auteur: Jan Willem Woolderink 1

2 Opbouw document Dit document bestaat uit twee delen: 1. het informatiebeveiligingsbeleid, bestaande uit visie en inrichtingsprincipes; 2. de organisatie van informatiebeveiliging: hoe zijn de verantwoordelijkheden verdeeld en hoe ziet de PDCA cyclus met verantwoording richting college en raad eruit. Visie Informatie is één van de belangrijkste bedrijfsmiddelen van de Gemeente Hilversum. Zonder actuele en betrouwbare informatie, op de juiste plaats en op de juiste tijd, kunnen wij onze taken niet naar behoren vervullen. We werken met informatie om diensten te leveren aan onze inwoners en bedrijven, en om richting te geven aan de ontwikkeling van onze gemeente. We zijn open en transparant in wat we doen en waarom we het doen. We helpen onze inwoners en bedrijven in één keer goed en voorkomen dat we dezelfde vraag twee keer stellen door goed gebruik van de informatie die wij hebben. Om dit te kunnen doen zien wij informatie als open tenzij. Maar met een nadrukkelijke tenzij, omdat informatie privacy of belangen van personen of organisaties kan schaden. Het is onze verantwoordelijkheid om deze rechten te beschermen. Zodat iedereen erop kan vertrouwen dat zorgvuldig met zijn/haar gegevens wordt omgegaan en dat privacy gewaarborgd is. Wij zoeken daarbij naar een goede balans tussen de te nemen maatregelen en het behouden van een goede en efficiënte dienstverlening, een transparant proces en acceptabele kosten. Wij zorgen ervoor dat we bewust en veilig omgaan met informatie door een combinatie van organisatorisch en technische borgen van de juiste toegankelijkheid van informatie, het opbouwen en onderhouden van het bewustzijn over informatieveiligheid en privacy en tijdige signalering en opvolging van incidenten. We zijn transparant: we maken inzichtelijk waarvoor wij de gegevens van onze inwoners gebruiken, en bieden mogelijkheden tot inzage in het eigen dossier of tot een verzoek voor wijziging/ vernietiging van de eigen gegevens. Onze verantwoordelijkheid voor informatiebeveiliging en privacy beperkt zich niet tot onze eigen organisatie. Ook in samenwerking met andere organisaties nemen wij onze verantwoordelijkheid voor het zorgvuldig omgaan met informatie en privacy in de keten door te zorgen voor duidelijke afspraken over deze onderwerpen. De ontwikkelingen in de samenleving en technologie maken dat informatiebeveiliging en privacy steeds belangrijker worden. Toenemende digitalisering en samenwerking met andere partijen in dienstverleningsketens leidt tot meer en makkelijker uitwisselen van informatie. Onze inwoners en bedrijven willen snel en digitaal geholpen worden, maar willen dit doen met behoud van hun recht op privacy. Onze medewerkers willen en moeten steeds meer anyplace en anytime kunnen werken, maar dit mag niet leiden tot informatie die op straat ligt. En onze kantooromgeving ontwikkelt zich, door het nieuwe werken en samenwerking met andere partijen, tot een ontmoetingsplek waarin de gemeente gastheer is. Het beveiligen is daarbij extra lastig omdat een deel van onze kantooromgeving monumentaal is en vrij toegankelijk moet blijven. Daarom zetten we de komende jaren in op het optimaliseren van de informatieveiligheid en privacy en het verder professionaliseren van de informatiebeveiligingsfunctie. Zodat we blijven aansluiten op de veranderende wetgeving op het gebied van persoonsgegevens, en informatiebeveiliging en privacy bij alle ontwikkelingen vanaf het begin als belangrijk thema worden meegenomen. Auteur: Jan Willem Woolderink 2

3 10 Richtinggevende principes We zorgen ervoor dat we als Gemeente Hilversum onze informatiebeveiliging (en als onlosmakelijk onderdeel daarvan de privacy) goed georganiseerd hebben en houden. Met als richtinggevende principes die gehanteerd moeten worden bij de invulling dat: 1. aan wetgeving voldaan moet worden, met als voorbeelden (niet uitputtend) de wetgeving op het gebied van de Basisregistratie Personen (BRP), Structuur Uitvoeringsorganisaties Werk en Inkomen (SUWI) of Archiefwet; 2. we de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en de onderliggende code voor informatiebeveiliging (NEN/ISO 27002) als basis voor de inrichting van onze informatiebeveiliging gebruiken; 3. we binnen deze kaders gaan voor het beheersen van risico s tegen acceptabele kosten, waarbij we een zorgvuldige en transparante afweging maken van informatiebeveiliging en het recht op privacy versus de gewenste transparantie en het in één keer goed onze diensten kunnen leveren; 4. toegang tot, gebruik van en uitwisseling van vertrouwelijke / geheime informatie aantoonbaar gebonden moet zijn aan het vervullen van een aan onze gemeente toegewezen taak. Het is (tijdig) transparant voor de inwoner of er wel of niet toestemming gegeven moet worden voor gebruik of uitwisseling; 5. informatiebeveiliging niet alleen om techniek en procedures gaat maar vooral om mensen en gedrag, en dat daarom de verantwoordelijkheid voor informatiebeveiliging bij het lijnmanagement ligt, met het College van B&W als eindverantwoordelijke; 6. dat we bij samenwerking in ketens, bij uitbesteed werk of in samenwerkingsverbanden verantwoordelijk blijven voor informatiebeveiliging. In de samenwerking met andere overheidsinstellingen gaan we uit van het Schengen principe als zij aantoonbaar hun informatie conform wetgeving en richtlijnen beveiligen. Wij zijn transparant in welke informatie wij met hen uitwisselen en welke afspraken we gemaakt hebben; 7. het toepassen van het beleid, namelijk veilig omgaan met informatie, een zaak voor iedereen is die werkt namens de gemeente. Ongeacht of deze vast of tijdelijk in dienst is of iemand die bij een partner of ingehuurd werkzaamheden voor ons verricht; 8. elke medewerker weet wat informatiebeveiliging en privacy inhouden en zich ervan bewust is dat hij/zij een duidelijke eigen verantwoordelijkheid heeft. Zowel in het zelf veilig omgaan met en uitwisselen van informatie als in het melden van beveiligingsincidenten ; 9. informatiebeveiliging om toezicht en onderhoud vraagt en een integraal onderdeel moet zijn in de (plan-do-check-act cyclus van de) bedrijfsvoering; 10. informatiebeveiliging onafhankelijke regie vraagt en af en toe ingrijpen in bestaande structuren, en dus centrale en onafhankelijke functionarissen. Auteur: Jan Willem Woolderink 3

4 Organisatie van de informatiebeveiliging Informatiebeveiliging is onlosmakelijk verbonden met het beheren van informatie. De organisatie van de informatiebeveiliging sluit daarom aan op de organisatie zoals opgenomen in het de Archiefverordening 2013 en het Besluit Informatiebeheer Gemeenteraad College van B&W Gemeentesecretaris Afdelingsmanagers/ proceseigenaren Afdelingsmanager belast met informatiemanagement Afdelingsmanager belast met informatiebeheer Adviserend richting College en horizontaal toezicht Eindverantwoordelijk (portefeuille P&O), stelt het informatiebeveiligingsbeleid vast, rapporteert jaarlijks aan de Raad over plannen en effecten Ambtelijk eindverantwoordelijk Informatieveiligheid eigen processen, risico-afweging, implementatie, toezicht en sturing op naleving eigen proces. Overall toezicht op naleving, regie, rapportage, evaluatie, kwaliteitssysteem (rol chief information security officer) Uitvoering fysieke, functionele/logische (rechten) en technische (ICT) beveiliging, beheer incidentenregistratie Risicobenadering We werken vanuit een risicobenadering: de effecten van de maatregelen moeten in verhouding staan tot de noodzakelijke beveiliging. Om te kunnen bepalen welke beveiligingsmaatregelen moeten worden getroffen gebruiken we beveiligingsclassificaties. Deze geven aan welk beschermingsniveau noodzakelijk is voor welke proces en/of informatiesysteem, en maakt duidelijk welke maatregelen genomen moeten worden. In de onderstaande tabel wordt deze classificatie weergegeven. Niveau Vertrouwelijkheid Integriteit Beschikbaarheid Geen Openbaar informatie mag door iedereen worden ingezien (bv: algemene informatie op de externe website) Niet zeker informatie mag worden veranderd (bv: templates en sjablonen) Niet nodig gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn (bv: ondersteunende tools) Laag Bedrijfsvertrouwelijk Beschermd Noodzakelijk informatie is toegankelijk het bedrijfsproces staat informatie mag incidenteel voor alle medewerkers van enkele (integriteits-) fouten niet beschikbaar zijn de organisatie toe (bv: administratieve (bv: informatie op intranet) (bv: rapportages) gegevens) Midden Vertrouwelijk Hoog Belangrijk informatie is alleen het bedrijfsproces staat zeer informatie moet vrijwel toegankelijk voor een weinig fouten toe altijd beschikbaar zijn, beperkte groep gebruikers (bv: continuïteit is belangrijk (bv: persoonsgegevens, bedrijfsvoeringinformatie en (bv: primaire proces financiële gegevens primaire procesinformatie informatie) zoals vergunningen) Hoog Geheim Absoluut Essentieel informatie is alleen het bedrijfsproces staat informatie mag alleen in toegankelijk voor direct geen fouten toe uitzonderlijke situaties geadresseerde(n) (bv: gemeentelijke uitvallen, bijvoorbeeld bij (bv: zorggegevens en informatie op de website) calamiteiten strafrechtelijke informatie) (bv: basisregistraties) Auteur: Jan Willem Woolderink 4

5 De proceseigenaar (of de eigenaar van het informatiesysteem) bepaalt welke maatregelen genomen moeten worden op basis van een risicoanalyse, waarbij de kans en het effect het risico bepalen. De door de proceseigenaar gemaakte risicoafweging, tussen enerzijds het risico en anderzijds de kosten en consequenties van de maatregelen conform de beschermingseisen, wordt vastgelegd. Plan-Do-Check-Act (PDCA) Informatiebeveiliging vraagt om continue verbetering. De hiervoor noodzakelijke PDCA cyclus de kwaliteitscyclus is onderdeel van het kwaliteitssysteem. Dit sluit aan bij de werkwijze zoals benoemd in het Besluit Informatiebeheer De cyclus begint met informatiebeveiligingsbeleid. Dit wordt minimaal 3-jaarlijks herzien. Binnen deze 3-jaarlijkse cyclus wordt een informatiebeveiligingsplan opgesteld naar aanleiding van een GAP-analyse 1. Dit plan wordt minimaal eens per jaar herzien. Afdelingsspecifieke / proces specifieke activiteiten worden opgenomen in het afdelingsplan van de proceseigenaar. De (voortgang van de) uitvoering van de verbeteracties uit het plan wordt gemonitord en periodiek gerapporteerd aan de gemeentesecretaris. Het daadwerkelijke effect van de inspanningen op het gebied van informatiebeveiliging wordt getoetst binnen het proces (incidentregistratie, verbetervoorstellen). Maar ook in de vorm van controles van buiten het proces : door onafhankelijke interne auditors en externe toezichthouders (rijksoverheid voor basisregistraties, accountant). Met welke frequentie en door wie is afhankelijk van de risico s en wetgeving voor het betreffende proces of informatiesysteem. De bevindingen worden periodiek, maar minimaal jaarlijks, gerapporteerd aan de proceseigenaren en de gemeentesecretaris. Het college neemt (de hoofdlijnen van) het verbeterplan op in de begroting en rapporteert bij de jaarrekening over de uitgevoerde verbeteracties en het effect hiervan op de informatiebeveiliging. Op deze manier kan de raad haar verantwoordelijkheid voor horizontaal toezicht invullen. Kwaliteitssysteem Zoals in de vorige paragraaf aangegeven wordt de PDCA cyclus vastgelegd in het kwaliteitssysteem. Dit is geen fysiek systeem, maar een zorgvuldig beheerste verzameling van vastgelegde processen, procedures en andere beheersmaatregelen (organisatorische, personele of technische maatregelen). Ook de vastlegging van de risico-afweging en het besluit over de beheersmaatregelen zullen in dit systeem worden opgenomen. Onder de vastlegging van de beheersmaatregelen valt ook een nadere uitwerking van de spelregels ten aanzien van privacy. Deze is niet opgenomen in het beleid omdat deze spelregels tussentijds moeten kunnen veranderen als hier aanleiding toe is. De actuele spelregels zullen gepubliceerd worden zodat voor iedereen duidelijk is hoe we omgaan met (hun) privacy. 1 Zie Baseline Informatiebeveiliging Nederlandse Gemeenten GAP Analyse Auteur: Jan Willem Woolderink 5

6 Bijlage: van toepassing zijnde wet- en regelgeving De belangrijkste algemeen van toepassing zijnde wet- en regelgeving en richtlijnen waarop dit beleid gebaseerd is, en die wordt toegepast bij de uitwerking van het beleid omvat: Artikel 8 Europees Verdrag voor de Rechten van de Mens Artikel 10 Grondwet Artikel 272 Wetboek van strafrecht Wet bescherming persoonsgegevens (Wbp), die (waarschijnlijk in 2016) opgevolgd gaat worden door Europese wetgeving op het gebied van bescherming van persoonsgegevens Wet Openbaarheid Bestuur (Wob) Archiefwet, archiefbesluit en archiefregelingen NEN/ISO (2005) en (Code voor Informatiebeveiliging) (2007) Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG), KING, 2013: Daarnaast kunnen er per domein aanvullende wetten en regels gelden op het gebied van informatiebeveiliging en privacy. Voorbeelden hiervan zijn: Wet maatschappelijke ondersteuning (WMO) Wet op de jeugdzorg (Wjz), en vanaf 2015 de Jeugdwet Deze aanvullende regelgeving wordt meegenomen bij de uitwerking van het beleid. Auteur: Jan Willem Woolderink 6