Informatiebeveiliging Gemeenten

Maat: px
Weergave met pagina beginnen:

Download "Informatiebeveiliging Gemeenten"

Transcriptie

1 Informatiebeveiliging Gemeenten Handreiking uitvoeringsplan Operationeel niveau De overheid is wel of niet integer. Een beetje integer kan niet. En met de integriteit van de overheid valt of staat het bestuur; aantasting van de integriteit van de overheid betekent niet minder dan dat de overheid het vertrouwen van de burgers verliest. En zonder dat vertrouwen van de burger kan de democratie niet. Dan is er geen democratie meer. Dat is een beklemmend beeld. Minister van Binnenlandse Zaken I. Dales Utrecht, augustus 2009

2 Inhoudsopgave Inleiding 2 1. Het uitvoeringsplan: algemene maatregelen De organisatie van de informatiebeveiliging Portefeuillehouder beveiliging Beveiligingsadviseur (security officer) Proceseigenaren Fysieke beveiliging Verantwoordelijke voor Verantwoordelijke voor Personeelsbeleid Verantwoordelijkheden voor documenten Het beheer van documenten informatiebeveiliging Incidentenregistratie Bewustzijn en gedrag van medewerkers Selectie en aanstelling van medewerkers Technische maatregelen Plichtsverzuim Afvoer en vernietiging van documenten Autoriseren Beveiliging van gebouwen Bezoekersregeling Controle van gebruik van informatie Bedrijfscontinuïteit bij calamiteiten 14 2 Het uitvoeringsplan: specifieke maatregelen Voorbeelden Maatregelen 18 Operationeel niveau

3 Inleiding Op het operationele niveau geeft u concreet vorm aan de beveiliging binnen uw gemeente. Dit doet u door het vaststellen van een uitvoeringsplan waarin maatregelen getroffen worden die een evenwichtig pakket vormen en die - controleerbaar - passen binnen de op strategisch en tactisch niveau ingezette lijn. Het uitvoeringsplan geeft kort weer wat u wenst te bereiken met welke maatregelen. Belangrijk hierbij is dat de maatregelen daadwerkelijk gerelateerd worden aan weg te nemen of te reduceren risico s (zie hiervoor het document Informatiebeveiliging gemeenten Handreiking beveiligingsplan tactisch niveau). De op te lossen risico s en bedreigingen zijn op tactisch niveau bepaald door de risicoanalyses voor de primaire processen. Op basis daarvan gaat u, samen met de facilitaire afdelingen zoals gebouwbeheer, automatisering () en archieven, bepalen welke maatregelen mogelijk zijn. In het uitvoeringsplan zijn de maatregelen gekoppeld aan de risico s die beschreven zijn in het beveiligingsplan. Om de risico s het hoofd te bieden zijn de maatregelen ingedeeld in twee categorieën: 1. Algemene maatregelen die tenminste genomen moeten worden. 2. Maatregelen in de organisatie (zowel technische als fysieke maatregelen) die een selectie vormen van een totale set aan maatregelen. Door de relatie te leggen met de risico s, kunt u zien of de maatregelen geholpen hebben. Ook als een risico zich toch voordoet, zal snel blijken wat u moet bijstellen om de situatie weer structureel onder controle te houden. Ter relativering: qua beveiliging kunt u wel 100% veilig zijn door uw risico s te beheersen met tegenmaatregelen, maar 100% waterdicht lukt nooit. Risico s zullen zich op enig moment voordoen, ongeacht alle voorbereidingen. Wel bent en blijft u ook op dat moment in controle door goed voorbereid te zijn. De gemeente streeft naar een invulling van alle beveiligingsmaatregelen door een geleidelijk groeipad te volgen. In dat groeipad worden telkens nieuwe inzichten, kosten, stand van zaken en ontwikkelingen in de maatschappij meegenomen. Uiteindelijk zullen alle maatregelen tezamen het in het beleidsplan gestelde doel verwezenlijken (zie document Informatiebeveiliging gemeenten, Handreiking beleid en organisatie - strategisch niveau). Als de gewenste situatie sterk verschilt van de huidige situatie, moet u de maatregelen prioriteren en degenen die zich op tactisch en strategisch niveau met informatiebeveiliging bezighouden 2

4 informeren. Dat zijn uiteindelijk de niveaus die de daadwerkelijke keuze moeten maken en budget ter beschikking moeten stellen. Laat u niet verleiden tot het zelf maken van die keuzes. De keuze is namelijk een bewustwordingsproces van het management en zorgt ervoor dat ze bij informatiebeveiliging betrokken zijn en blijven. Het uitvoeringsplan van een gemeentelijke dienst of afdeling is één van de uitvoeringsplannen van de gemeente. De maatregelen moeten daarom door de facilitaire afdelingen worden omgezet naar maatregelsets zodat elkaar aanvullende, overlappende of uitsluitende maatregelen zichtbaar worden. De maatregelen worden aangevuld met een kostenraming. Op basis van de maatregelen met kostenraming kiest de gemeente de in haar plan op te nemen maatregelen die in het lopende jaar uitgevoerd worden. Maatregelen die om welke reden dan ook afvallen, worden het jaar daarop betrokken in de herbeoordeling. In dit document vindt u een handreiking om te komen tot een uitvoeringsplan voor uw gemeente. Deze handreiking kan op veel onderdelen ook als voorbeeld van een uitvoeringsplan gezien worden. Delen van de tekst in de handreiking kunt u, als uw gemeente daarachter staat, direct overnemen in uw uitvoeringsplan. Er worden ook concrete tekstvoorbeelden en tips bij gegeven. In hoofdstuk 2 worden de algemene maatregelen beschreven die u altijd moet nemen en in uw uitvoeringsplan moet opnemen. Hoofdstuk 3 geeft de maatregelen weer die u kunt koppelen aan uw bedreigingen (overgenomen uit uw beveiligingsplan). U kunt selecteren welke maatregelen u wel of niet wenst te nemen. In dit hoofdstuk wordt tevens een klein voorbeeld gegeven hoe u bedreigingen en maatregelen kunt koppelen. 3

5 Hoofdstuk 1 Het uitvoeringsplan: algemene maatregelen In dit hoofdstuk gaan wij in op de algemene maatregelen die u kunt nemen om uw informatie te beveiligen. Achtereenvolgens behandelen wij: - de organisatie van de informatiebeveiliging - incidentenregistratie - bewustzijn en gedrag medewerkers - afvoer en vernietiging documenten - autoriseren - beveiliging van gebouwen - bezoekersregeling - controle van gebruik van informatie - bedrijfscontinuïteit bij calamiteiten 1.1 De organisatie van de informatiebeveiliging In het beveiligingsplan heeft u vastgelegd dat er een beveiligingsorganisatie moet zijn met de volgende hoofdtaken: 1. Beleidsadvisering 2. Controle en onderzoek 3. Operationeel Hier geeft u concreet vorm aan de invulling van deze taken in de organisatie Portefeuillehouder beveiliging De gemeente wijst de controller aan als portefeuillehouder van de gemeentebrede beveiliging. Functioneel gaat de controller daarmee over de: Informatiebeveiligingsadviseur (security officer) Adviseur gebouwbeveiliging Privacy functionaris De onafhankelijkheid van de controller wordt benut om de integrale beveiliging te beleggen. De decentrale adviseurs doen het werk, maar leggen functioneel verantwoording af aan de controller. Deze verantwoording geeft de adviseur de ruimte om buiten de eigen lijn problemen aan te kaarten. De portefeuillehouder rapporteert jaarlijks over de gemeentebrede stand van zaken van de beveiliging aan het college. Het college kan deze rapportage benutten om zo nodig verantwoording af te leggen aan de ministeries of aan de gemeenteraad. 4

6 Onafhankelijkheid kan op meerdere manieren bereikt worden. Een portefeuillehouder is een mogelijkheid. Deze is niet verplicht, maar helpt wel de disciplines aan elkaar te koppelen en de managers aan te spreken op hun verantwoordelijkheid Beveiligingsadviseur (security officer) De Beveiligingsadviseur stelt het beleid op, zorgt dat acties in gang gezet worden voor de implementatie van dit beleid, stelt eisen en normen op voor de beveiliging, voert in overleg met proceseigenaren beveiligingsanalyses uit en stimuleert de bewustwording bij management en medewerkers. Functie-eisen: - HBO werk- en denkniveau, aan te tonen met relevante opleiding en meerdere jaren werkervaring. - Meerdere jaren relevante werkervaring op het gebied van (informatie)beveiliging. - Kennis van (Informatie)beveiliging. - Ervaring met proces- en informatie-analyses. - Een goede mondelinge en schriftelijke uitdrukkingsvaardigheid. - Zelfstandig het werk kunnen organiseren en plannen. - Sturing kunnen geven aan andere medewerkers. - Diplomatieke omgang met collega s, leiding en ketenpartners. - Politieke gevoeligheid. - Kunnen begrijpen van wetteksten en deze interpreteren naar relevantie en toepassing binnen het vakgebied en deze kunnen (laten) toepassen in het werk. - Kennis van de gemeentelijke wereld in het algemeen en het werkveld van de sociale dienst is een pré. - Kennis van relevante wet- en regelgeving is een eis (o.a. WBP). Ten behoeve van een goede invulling wordt de functie van beveiligingsadviseur belegd bij de afdeling.. met een minimale omvang van fte. Diens plaatsvervanger binnen dezelfde afdeling krijgt beveiliging als taakaccent voor tenminste.. fte, met dien verstande dat deze plaatsvervanger vrijgemaakt wordt zodra de beveiligingsadviseur niet aanwezig is. Let op: één is geen. Dus er moet tenminste een plaatsvervanger zijn van de beveiligingsadviseur. Dit is afhankelijk van de omvang van de gemeente. Het verdient aanbeveling de functie te beleggen bij een onafhankelijke afdeling, zoals de controller of Informatiemanagement indien deze gescheiden is van de -afdeling. 5

7 1.1.3 Proceseigenaren De gemeente wijst, zoals opgenomen in het beleidsplan (strategisch niveau), proceseigenaren aan die het management counterpart vormen voor de beveiligingsadviseur. De gemeente kiest ervoor ieder diensthoofd aan te wijzen als proceseigenaar voor alle processen binnen die dienst. De gemeente stelt een lijst op van proceseigenaren en zorgt dat die voor iedereen toegankelijk is, bijvoorbeeld door publicatie op het gemeentelijk intranet. Afhankelijk van de gemeente kunnen de proceseigenaren nog lokaal ondersteund worden door taakaccenthouders, de adviseurs binnen de diensten die de vooruitgeschoven post vormen van informatiebeveiliging Fysieke beveiliging De beveiliging van de toegang tot het gebouw en de werkplekken wordt uitvoerend belegd bij de afdeling... Hiermee is de verantwoordelijkheid voor beveiligingssystemen en beveiligingpersoneel voor alle gemeentelijke gebouwen belegd. De bevoegdheid beperkt zich tot het bewaken van de toegang tot de gemeentelijke gebouwen, het uitreiken van toegangscodes, toegangspasjes, bezoekerspasjes (inclusief registratie) en sleutels van werkkamers. De bevoegdheid om fysieke beveiligingsmaatregelen af te dwingen binnen werkruimten van medewerkers, zoals het verplicht opbergen van vertrouwelijke dossiers in afsluitbare kasten, wordt niet aan deze afdeling belegd. De afdeling controleert de aanwezigheid, rapporteert daarover aan de proceseigenaar en de beveiligingsadviseur. Deze twee functionarissen zorgen zo nodig voor afdwingen van het gewenste gedrag. De gemeente moet hier een keuze maken over het beleggen van verantwoordelijkheden. Het is aan te bevelen om controle van de werkplek niet in dezelfde hand te leggen als degene die de regels opstelt. Deze scheiding maakt het makkelijker voor de manager om de medewerkers aan te spreken, en niet de fysieke beveiliger Verantwoordelijke voor Binnen de afdeling benoemt de gemeente een technisch specialist beveiliging. Deze technische specialist zorgt voor de vertaling van de functionele eisen van de beveiligingsadviseur naar maatregelen. De gemeente maakt hiervoor. fte vrij. De technisch specialist voert controles uit op de genomen maatregelen en bewaakt de procedures rondom virussen, toegang en geautomatiseerde gegevensuitwisseling. Deze specialist voert geen EDP-audits uit, en stelt dus niet vast of aan de eisen voldaan wordt. Deze controle wordt onafhankelijk belegd. 6

8 De verantwoordelijke voor de gaat over het hoe en beveiligingsadviseur over het wat. De controle ligt onafhankelijk om te voorkomen dat ieder zijn eigen werk toetst Verantwoordelijke voor Personeelsbeleid Het gedrag van medewerkers is de achilleshiel van het beveiligingsbeleid. Zonder de bereidheid en discipline van de medewerkers om zich aan het beleid te houden, is elk beveiligingsbeleid zinloos. Medewerkers moeten bewust zijn van beveiligingsrisico s van de informatie waarmee ze werken en moeten actief handelen om deze risico s te verminderen. Om dit gedrag te bewerkstelligen, moet een groot aantal instrumenten in samenhang worden ingezet. Te denken valt aan screening, ambtseden, opname in functiebeschrijvingen en bespreking tijdens functioneringsgesprekken, interne communicatie en voorlichting en uiteindelijk disciplinaire maatregelen. Al deze instrumenten dienen in samenhang te worden ingezet, geëvalueerd en aangepast. De afdeling P&O krijgt de taak beveiliging structureel onderdeel te maken van het arbeidsrechtelijke traject (functionering, beoordeling, eed/belofte, screening, disciplinaire maatregelen). De afdeling P&O maakt hiervoor. fte vrij. De beveiligingsadviseur wordt betrokken om de samenhang met gehele pakket van beleid tot uitvoering te bewaken Verantwoordelijkheden voor documenten Het stellen en bewaken van regels voor de fysieke en digitale documentenstroom in de organisatie is een taak van de afdeling archief en van de beveiligingsadviseur. Het gaat om regels voor het registreren, classificeren, opslaan, beschikbaar stellen, archiveren en vernietigen van documenten. De gemeente zorgt ervoor dat de proceseigenaren, in samenspraak met de beveiligingsadviseur, kaders scheppen waarbinnen dit moet gebeuren. Deze kaders zijn beperkt door de archiefwet en de WOB. De regels van de archiefwet moeten vertaald worden naar de omgeving. De technisch specialist van de afdeling ondersteunt daarbij. De medewerkers van de gemeente moeten zich houden aan de gestelde regels en zijn, binnen de grenzen van hun mogelijkheden, verantwoordelijk voor de dossiers die zij fysiek of digitaal onder zich hebben. Uiteindelijk gaat het er om dat documenten en dossiers zodanig door de organisatie stromen dat vast te stellen is waar een dossier zich bevindt en wat de geldende versie is. In principe ligt het voortouw voor archiefwaardige stukken bij de archivaris van de gemeente. Die wordt geacht specialist te zijn op het terrein van de archiefwetgeving. De digitale situatie dient een gespiegelde vorm te zijn van wat in de fysieke wereld geregeld moet zijn. Voor alle dossiers en documenten die niet archiefwaardig zijn neemt de proceseigenaar, in samenspraak met de beveiligingsfunctionaris, het voortouw. 7

9 1.1.8 Het beheer van documenten over informatiebeveiliging Het gaat in dit proces om het beheer van alle documenten die relevant zijn voor de informatiebeveiliging, zoals: Beleidsnota's en uitvoeringsplannen College en b&w-besluiten Protocollen en reglementen Procedurebeschrijvingen Templates voor rapportages Gedragsregels Het beheer van deze documenten bestaat uit de volgende activiteiten: Totstandkoming van documenten Controle op correcte besluitvorming, wijzigen of laten vervallen van documenten en het (laten) ontwerpen en onderhouden van templates voor rapportages van documenten. Bewaren van documenten Het bewaren van actuele beleidsdocumenten en rapportages archiveren van oude versies. Verstrekken van documenten Het laten vaststellen en bewaken van beleid rond openbaarmaking van stukken en het ter beschikking stellen van documenten o.a. via intranet. Voorgesteld wordt het beheer van de beveiligingsdocumenten uit te laten voeren door de beveiligingsadviseur en de feitelijke archivering door de archivaris. In feite zijn ook alle documenten die betrekking hebben op -middelen, zoals licenties, contracten en handleidingen, relevant voor informatiebeveiliging. Dit geldt vooral voor het aspect beschikbaarheid. Toch is het praktischer om dit type documenten te laten beheren door de afdeling. Belangrijk is dat de documenten over beveiliging zijn vastgelegd en dat duidelijk is voor de organisatie wat de geldende richtlijnen zijn. De feitelijke archivering is belangrijk als bewijsvoering, maar is niet voldoende om de organisatie te laten weten wat de regels zijn. In de bewustwording zal dat meegenomen moeten worden. 1.2 Incidentenregistratie De registratie van incidenten heeft twee doelen: 1. Het waarborgen van een snelle en adequate reactie op beveiligingsincidenten. 2. Het analyseren van incidenten om daaruit lering voor de toekomst te trekken. 8

10 Ten behoeve van deze registratie wordt de afdeling gevraagd een geautomatiseerd systeem ter beschikking te stellen. Het proces bestaat uit de volgende stappen: Melding van incidenten. Afhandeling op het juiste niveau. Terugmelden van de afhandeling aan de melder. Registratie van incidenten in het geautomatiseerde systeem. De incidenten worden door de beveiligingsfunctionaris jaarlijks geanalyseerd en gerapporteerd aan de concerncontroller. Voorbeeld: Stel, dat een elektronische toegangspas wordt verloren. Dan moet dit zo snel mogelijk worden gemeld, hetzij bij de beveiliging, de gebouwenbeheerder, het facilitair meldpunt of de icthelpdesk. Het proces van incidentenregistratie moet er toe leiden, dat de melding wordt geregistreerd en dat de kaart wordt geblokkeerd. Waar de meeste incidentregistraties zich uitsluitend richten op de opgetreden incidenten, doet u er goed aan ook bijna incidenten of gevaarlijke situaties te registreren. Ervaringen vanuit andere velden, met name de luchtvaart, leert dat er veel winst te behalen is door deze registratie uit te breiden. Om een voorbeeld te geven: het aantal keren dat iemand onder een steiger doorloopt met een steen op het punt van vallen is groot, het aantal keren dat de steen achter of voor iemand valt is kleiner, maar het allerkleinst is de kans dat de steen op iemand valt. Als u dus alleen dat laatste registreert gooit u veel leergeld weg. Iedere medewerker die een gevaarlijke steen ziet zou dat moeten melden. 1.3 Bewustzijn en gedrag van medewerkers Zoals ook in paragraaf al aan de orde kwam, vormt het personeel de meest cruciale factor voor het slagen van de informatiebeveiliging. Wanneer het personeel zich niet houdt aan de beveiligingsrichtlijnen of nog erger, deze bewust schendt, is elk beleid tot mislukken gedoemd. Met bewustwording op tactisch niveau streeft u ernaar dat uw medewerkers zich werkelijk bewust zijn van hun eigen rol en positie in relatie tot veilig gedrag. Op operationeel niveau gaat u een stap verder. Hier dient u regels op te stellen waar de medewerkers zich aan moeten houden. Ook moet duidelijk zijn wat de consequenties zijn als ze dat niet doen. Deze regels en het sanctiebeleid geven de medewerkers een handvat hoe zij zich moeten gedragen binnen de eigen verantwoordelijkheid. Regels zijn echter geen excuus voor de medewerkers om niet meer zelf na te denken en moeten ook als zodanig gepositioneerd te worden. 9

11 De vraag is wat de organisatie kan doen om het juiste gedrag van het personeel te bevorderen. Er is een aantal mogelijkheden: Er zijn maatregelen mogelijk waarmee het beveiligingsbewustzijn wordt vergroot. Er kunnen maatregelen worden genomen om te voorkomen, dat er verkeerde medewerkers in dienst zijn of dat verkeerd gedrag ongemerkt of ongestraft kan plaatsvinden. Sommige gedragsregels kunnen door technische maatregelen worden afgedwongen. Ernstige of herhaaldelijke schendingen van de informatiebeveiliging kunnen worden aangemerkt als plichtverzuim met alle gevolgen van dien. Naast het formuleren van de regels moeten deze actief onder de aandacht worden gebracht. Uitsluitend als medewerkers op de hoogte konden zijn van de regels kunt u hen daar op aanspreken. Vanuit hun facilitaire rollen kunnen diverse gemeentelijke afdelingen bijdragen aan bewustwording. Bewustwording kent zijn grenzen en is niet gericht op medewerkers die willens en wetens de regels overtreden. Het gaat om het voorkomen van onjuist handelen door onwetendheid, slordigheid etc. De managers moeten deze bewustwording actief ondersteunen Selectie en aanstelling van medewerkers Om te voorkomen, dat onbetrouwbaar personeel wordt aangenomen, vindt tijdens de sollicitatieprocedure screening plaats. Behalve de formele screening in de vorm van een identiteitsbewijs en een bewijs van goed gedrag, verdient het aanbeveling om bij het natrekken van referenties expliciet aandacht te schenken aan het aspect informatiebeveiliging. Zeker als het een functie betreft waarin dit een belangrijke rol speelt. NB. het natrekken van referenties gebeurt uitsluitend met toestemming van de betrokkene. Voor medewerkers via een uitzendorganisatie of een detacheringbureau binnen uw organisatie werken, geldt evenzeer dat zij gescreend moeten zijn. Die screening vindt dan plaats door de bureaus die deze medewerkers bemiddelen. De uitkomst moet aan u overlegd worden. Bij de aanstelling van zowel tijdelijke als vaste medewerkers, maar ook bij inhuur van tijdelijke medewerkers via een uitzendorganisatie, moet altijd een integriteits- en geheimhoudingsverklaring worden ondertekend (zie bijlage 4 van het document Handreiking beveiligingsplan tactisch niveau) Technische maatregelen Er zijn tal van technische mogelijkheden om gewenst gedrag af te dwingen. Dit soort maatregelen heeft voor- en nadelen. De voordelen zijn dat de integriteit van de informatie beter wordt beschermd en dat de technische beheersbaarheid wordt vergroot. Dit laatste punt kan een bijdrage leveren aan de mogelijkheden van de -afdeling om de continuïteit te waarborgen. Een nadeel is dat de suggestie zou kunnen worden gewekt, dat alles wat kan, ook mag. Een ander nadeel kan zijn, dat 10

12 het vaak moeilijk is om de maatregelen zo in te regelen, dat het ook ongevaarlijke activiteiten belemmerd. Een voorbeeld daarvan is het downloaden van nuttige (en ongevaarlijke) software. Neem na alle afwegingen zo veel mogelijk technische maatregelen om het gedrag van medewerkers te sturen. Deze maatregelen worden uitsluitend ingevoerd na instemming van de OR Plichtsverzuim Wanneer ondanks de bovenstaande inspanningen en maatregelen medewerkers zich schuldig maken aan het handelen in strijd met het informatiebeveiligingsbeleid kan dit leiden tot het vaststellen van plichtsverzuim. Overigens hoeft er geen sprake te zijn van een bewust in strijd handelen met het beleid; ook het onbewust in strijd handelen met het beleid levert plichtsverzuim op. Afhankelijk van de ernst en de mate waarin in strijd met het beleid is gehandeld, kan een sanctie worden opgelegd, oplopend van een schriftelijke berisping tot een gedwongen ontslag. 1.4 Afvoer en vernietiging van documenten Alle gemeentelijke gebouwen worden voorzien van containers voor de vernietiging van papieren documenten. Deze containers zijn alleen toegankelijk voor bevoegd personeel. Ongeacht de vertrouwelijkheid van de documenten wordt de inhoud van deze containers via een gespecialiseerd bedrijf vernietigd. Hiermee wordt voorkomen dat medewerkers keuzes moeten maken tussen wat wel en wat niet te vernietigen. Op afdelingen waar extra vertrouwelijk materiaal aanwezig is, zoals de Sociale Dienst, krijgt men aanvullend de beschikking over papierversnipperaars. De procedure wordt via de bewustwording en het intranet onder de aandacht van de medewerkers gebracht. Uiteindelijke doel van deze maatregelen is dat papieren dossiers die niet worden gearchiveerd vernietigd worden. De eenvoudigste wijze is alles als vertrouwelijk te behandelen, zelfs de notities van medewerkers. Minder kans op vergissingen, minder kans op uitlekken van informatie. 1.5 Autoriseren De gebruikers van alle geautomatiseerde systemen beschikken over toegangscodes bestaande uit een gebruikersnaam en een wachtwoord. Voor diverse systemen zijn andere toegangen gedefinieerd. De medewerkers zijn, binnen kaders, zelf verantwoordelijk voor keuze, gebruik en beheer van hun wachtwoorden. De autorisaties worden toegekend op basis van de functie en rol die iemand vervult. Het is noodzakelijk professionals alleen toegang te geven tot gegevens die nodig zijn voor de uitvoering 11

13 van de taak. Een weloverwogen toekenning van autorisaties beschermt de burger én de medewerker. De gemeente heeft hiertoe een matrix opgesteld die beschrijft welke rechten bij welke functie/rol combinatie hoort. Om autorisaties correct te laten functioneren, beschikt iedere medewerker tevens over een gemeentelijk identiteitsbewijs. Dit identiteitsbewijs bevat de naam, de foto en andere aanvullende informatie. Een gemeentelijk identiteitsbewijs kan heel goed gecombineerd worden met een toegangspas. Dit als de gebouwen daarop ingericht zijn. De autorisatiematrix moet u zelf opstellen. Belangrijk is dat u besluit wie bij wat mag en dat u dit documenteert. Hierdoor kunt u zich later verantwoorden. Voor het autoriseren van rollen voor Suwinet-Inkijk is een handreiking autorisaties gemeenten beschikbaar. Kijk hiervoor op de website van het BKWI, De gemeente richt een procedure in voor aanmelding, wijziging en afmelding van gebruikers. Maak als extra controlemiddel elk kwartaal een overzicht van alle gebruikers. Deze lijsten moeten gecontroleerd worden door de afdelingshoofden en, na een eventuele correctieronde, geparafeerd naar de concern controller worden gestuurd. 1.6 Beveiliging van gebouwen De gemeente treft maatregelen zodanig dat werkplekken niet voor derden toegankelijk zijn. Naast de algemene toegangsbeveiliging voor alle werkruimten/gebouwen kiest de gemeente voor zones met extra beveiliging voor bijvoorbeeld: Werkplekken van het college Werkplekken van de sociale dienst Werkplekken van de afdeling financiën In de panden met extra beveiligde zones is beveiligingspersoneel aanwezig. Verder treft men extra maatregelen om bijvoorbeeld de volgende waardegoederen te beschermen: Geld en waardepapieren Identiteitsbewijzen (rijdbewijs, paspoort, identiteitskaart) Dossiers van de sociale dienst Planvorming van ruimtelijke ordening 12

14 Alle gebouwen zijn voorzien van inbraakalarm. Met een particulier beveiligingsbedrijf is een contract afgesloten voor alarmopvolging. Welke maatregelen u hier ook neemt, bedenk goed wat u extra wenst te beschermen. Medewerkers hebben recht op een minimaal beveiligde werkplek, maar op sommige werkplekken zijn de risico s of de aanwezige waardegoederen/informatie dusdanig dat die extra maatregelen rechtvaardigen. Medewerkers zijn verantwoordelijk voor hun eigen gedrag, dat betekent dat zij: ramen en deuren sluiten; nooduitgangen niet open laten staan om bij voorbeeld even te roken; geprinte documenten direct ophalen; hun bureau opgeruimd achter te laten; de werkplek afsluiten; beeldschermen afsluiten; uitloggen bij einde werkdag. U moet de medewerker hierop wijzen (bewustwording) en mogelijkheden bieden (kasten, sleutels, bureauladen). 1.7 Bezoekersregeling De gemeente heeft een bezoekersregeling. Dit betekent dat iedere bezoeker: van te voren aangemeld moet worden; opgehaald moet worden bij de balie; niet onbegeleid in het gebouw mag zijn; weer teruggebracht wordt naar de balie/algemeen toegankelijke ruimtes. Deze procedure staat op het intranet beschreven en medewerkers zijn verplicht zich hier aan te houden. Iedere bezoeker die onbegeleid wordt aangetroffen, wordt teruggebracht naar de balie. De receptie controleert bij wie de bezoeker hoort en zorgt dat de leidinggevende van de medewerker daarover geïnformeerd wordt. Bezoekers dienen gecontroleerd in de panden aanwezig te zijn. Als u een intern legitimatiebewijs gaat hanteren dat tevens een toegangspas is, valt het te overwegen het zichtbaar dragen ervan verplicht te stellen. Bezoekers kunnen dan een speciale bezoekerspas krijgen die zij zichtbaar dragen. 13

15 1.8 Controle van gebruik van informatie De gemeente controleert regelmatig het gebruik van de informatie door haar medewerkers. Hiertoe zijn afspraken gemaakt met de OR en is de volgende procedure ingeregeld: De beveiligingsadviseur laat de managementrapportages opstellen. In het geval van rapportages SUWI is de beveiligingsadviseur gemandateerd om deze aan te vragen bij de servicedesk van het BKWI. De beveiligingsadviseur controleert de rapportages, toetst deze steekproefsgewijs tegen de dossiers (doelbinding van informatiegebruik) en probeert afwijkende patronen te ontdekken. Bij vermoeden van misbruik overlegt de beveiligingsadviseur met de portefeuillehouder beveiliging en stemt af hoe verder gehandeld wordt. o Normaal gesproken wordt de leidinggevende geïnformeerd over het vermoeden en diens mening gevraagd, o Indien nodig wordt de detaillogging opgevraagd en gecontroleerd. o De medewerker wordt door de eigen manager aangesproken op het gedrag en krijgt de mogelijkheid zijn visie naar voren te brengen o Afhankelijk van de ernst van de situatie volgen er, in overleg met het college, disciplinaire maatregelen Tijdens het onderzoek kan besloten worden een medewerker (tijdelijk) op non actief te stellen met behoud van bezoldiging. Deze maatregel is bedoeld om in ernstige gevallen verder afwijkend gedrag, verlies aan informatie, of andere risico s te beperken. Belangrijk is dat u het gedrag controleert, dat er een procedure is, dat medewerkers hiervan op de hoogte zijn (vooraf), en dat dit is afgestemd met uw OR. Als de logging bekeken gaat worden bij de controle van rapportages en de inbreuk op de privacy van de medewerker, is het goed een onafhankelijke toets in te bouwen. Uw portefeuillehouder beveiliging zal in de veronderstelling zijn dat er een onafhankelijke toets heeft plaatsgevonden en dat deze door de controller is uitgevoerd. 1.9 Bedrijfscontinuïteit bij calamiteiten Na calamiteiten dient u te voorzien in bedrijfscontinuïteit. In eerste instantie zijn alle inspanningen gericht op het herstellen en beperken van de schade. Zo heeft bijvoorbeeld het ontruimen van de panden voorrang op andere zaken. Vanuit informatiebeveiliging dient gecontroleerd te worden in hoeverre voorzien is in bedrijfscontinuïteit na de calamiteit. Ook wordt (beperkt) gecontroleerd of er tijdens de calamiteit rekening gehouden wordt met beveiliging. Hiertoe stelt u vast: of in de rampenbestrijdingsplannen een paragraaf is opgenomen over bewaking van toegang tot het pand tijdens en na de ontruiming. of er voorzien is in een uitwijkvoorziening voor de belangrijkste processen. 14

16 dat die belangrijkste processen zijn benoemd, inclusief de minimale faciliteiten die zij nodig hebben om te functioneren. of er voorzien is in communicatie naar cliënten waar en hoe zij zich moeten melden. of informatie op een uitwijklocatie beschikbaar kan komen, hetzij door back up of door redundantie. De uitwijkvoorzieningen betreffen de gebouwen en de. Voor gebouwen moet aangegeven zijn welke functies/afdelingen eventueel kunnen wijken naar andere panden. Indien noodzakelijk heeft u een prioriteitsvolgorde van welke processen doorgang moeten vinden. Deze volgorde kunt u bepalen door gebruik te maken van de inschattingen van het belang van de processen door de proceseigenaren op tactisch niveau. Voor de moet eerder bepaald zijn of uw gemeente een tweede rekencentrum noodzakelijk acht. Dit moet concreet vormgegeven zijn. Mocht u geen tweede rekencentrum inrichten dan moet bepaald zijn hoe u verder gaat als uw -voorzieningen niet meer werken en hoe u digitaal opgeslagen informatie dan kunt bereiken. U moet tenminste back ups op andere locaties hebben. Wellicht kunt u een contract afsluiten met een uitwijkvoorziening. Indien aan één of meerdere punten niet is voldaan, zorgt u ervoor dat betreffende items zijn uitgewerkt en opgenomen in de plannen. Het is niet de bedoeling om vanuit informatiebeveiliging eigen uitwijkplannen op te stellen. De gemeentebrede plannen zijn daarvoor geschikt. Wel is het goed deze te controleren en zonodig aan te vullen. 15

17 Hoofdstuk 2 Het uitvoeringsplan: specifieke maatregelen In dit hoofdstuk gaan we in op de maatregelen die u kunt nemen om dreigingen die u geconstateerd hebt in het beveiligingsplan (tactisch niveau) te voorkomen of te beperken. Iedere maatregel moet u koppelen aan een bedreiging die u in uw beveiligingsplan geconstateerd hebt en weg wenst te nemen. Het door u in het beveiligingsplan gekozen niveau van beveiliging bepaalt hoe ver u gaat met de invulling van de maatregel. Hieronder vindt u eerst uitgewerkte voorbeelden van koppelingen tussen bedreigingen en maatregelen. Daarna treft u tabellen aan met maatregelen waar u uit kunt kiezen. De maatregelen die hier zijn opgenomen, zijn ook beschikbaar in een aparte excel spreadsheet die u kunt gebruiken om uw niveau (huidig/gewenst) in te vullen per maatregel. Die spreadsheet is daarmee een hulpmiddel om snel uw maatregelen te kunnen bepalen, selecteren en verder te verwerken. 2.1 Voorbeelden Hier volgen twee voorbeelden over hoe u een bedreiging, kunt koppelen aan de maatregelen. In het eerste voorbeeld gaat het om de bedreiging ondeskundig personeel. In het tweede voorbeeld gaat het om de bedreiging reparatie. Voorbeeld 1: Ondeskundig personeel Bedreiging Maatregel Toelichting Ondeskundig personeel Opleiding, toetsing, certificaat: instructeur Gebruikers van apparatuur hebben een opleiding gevolgd en afgesloten met een certificaat. Opleiding en certificering zou vormgegeven kunnen worden met instructeurs (goed opgeleide gebruikers met meerdere jaren ervaring) Gedragsnorm Het gewenste gedrag in de omgang met de apparatuur is vastgelegd. Automatisch blokkeren De apparatuur wordt automatisch geblokkeerd na een vastgestelde tijdsperiode. Strafrechtelijk handelen Functiescheiding Bevoegdheden en verantwoordelijkheden zijn gescheiden. Een juist autorisatiebeheer is ingericht. Sleutelbeheer -> centraal Het sleutelbeheer van de apparatuur en software wordt centraal uitgevoerd. Beheerders gecertificeerd De beheerders van ketenpartners zijn gecertificeerd en de certificaten kunnen, indien de gemeente dat wenst, ingezien worden. 16

18 Bedreiging Maatregel Toelichting Onduidelijke afspraken met leveranciers Sluitende afspraken Aansprakelijkheid Contracten met leveranciers bevatten paragrafen over geheimhouding en omvang van dienstverlening De aansprakelijkheid van de leverancier is geregeld ten aanzien van directe en indirecte schade Voorbeeld 2: Reparatie Bedreiging Maatregel Toelichting Reparatie 100% gesloten registratie Wanneer apparatuur ter reparatie wordt aangeboden dient er een sluitende administratie plaats te vinden. Hierdoor is het aangeboden apparaat tijdens reparatie te traceren, en vindt een gedegen reparatie registratie (historie) van het apparaat plaats. Een apparaat mag uitsluitend ter reparatie aan leverancier worden aangeboden wanneer hij is ontdaan van bedrijfsgevoelige informatie. Afgesloten ruimtes Een apparaat welke ter reparatie is aangeboden mag zich uitsluitend bevinden in een afgesloten ruimte. Voor (tijdelijke) opslag dient een afsluitbare kast gebruikt te worden. Programmering vindt in een afgesloten ruimte plaats, met apparatuur welke uitsluitend voor deze programmering activiteiten uit de kluis gehaald moet worden. Apparatuur uit en niet gekoppeld tijdens opslag Apparatuur is aanwezig in de volgende hoedanigheid: 1) Opslag voor uitgifte; niet geprogrammeerd in afsluitbare ruimte. 2) Opslag voor reparatie; geprogrammeerd in afgesloten kast in afsluitbare ruimte. 3) Opslag voor uitleen; geprogrammeerd in afgesloten kast in afsluitbare ruimte 17

19 2.2 Maatregelen (deze maatregelen vindt u ook uitgewerkt terug in een apart excel spreadsheet) Beschikbaarheid Mens Fysiek Fysiek Maatregel Onderhoudspersoneel aanwezig Onderhoudspersoneel voor centrale voorzieningen is aanwezig op de vastgestelde tijdstippen, in ieder geval tijdens openingstijden van de gemeente Buiten de aanwezigheid is een piketregeling van kracht. Met leveranciers is een service level afgesproken die zorgt voor snel herstel van apparatuur en software Ziekte/verlof: vervanging + oproepbaar personeel U houdt rekening met ziekte en verlof van uw personeel U heeft een vakantieplanning beschikbaar en zorgt voor een bezetting van tenminste de helft van uw medewerkers U heeft afspraken met uitzendbureaus over oproepbaar personeel (dat u al kent, gescreend heeft en al is opgeleid) om bij ziekte en calamiteiten in te vallen Periodieke audit U toetst minimaal één keer per jaar of uw maatregelen aan de eisen voldoen U zorgt dat iedere 2 jaar getoetst wordt of uw beveiligingsuitgangspunten nog voldoen U toetst de werking van uw beveiligingsorganisatie U toetst het gebruik van informatie door maandelijkse rapportages Bevoegde manager is oproepbaar De beslissingsbevoegde manager of diens plaatsvervanger is oproepbaar in geval van calamiteiten Indien nodig is er een escalatiemodel afgesproken waarbij iemand namens het college beslissingen kan nemen Bij deze regeling is rekening gehouden met ziekte en verlof Meenemen in functionerings- en beoordelingsgesprekken U spreekt met de OR af dat beveiliging een onderdeel wordt van functioneren en beoordelen U stelt criteria op waaraan u kunt vaststellen dat een medewerker hieraan voldoet (CP- onderzoekt de mogelijkheid gedragsregels aan te bieden) U neemt beveiliging mee in de functionerings- en beoordelingscyclus Toegang tot systemen blokkeren na misbruik U heeft een procedure die zorgt dat toegang tot gebouwen en systemen wordt geblokkeerd na geconstateerd misbruik U heeft een interne organisatie die toeziet op de naleving van de integriteitsregels van de gemeente U heeft een meldingsprocedure voor vermoeden van misbruik, fraude of ander ongewenst gedrag en neemt iedere melding serieus in onderzoek Beschikbaarheid deskundig en opgeleid personeel U heeft duidelijk gedefinieerd wat de opleidingseisen zijn voor uw personeel U zorgt voor opleidingen en herhaling daarvan U wijst ervaren gebruikers aan als instructeur op de werkvloer U zorgt voor regelmatige herhaling van trainingen U bewaakt de onderlinge sfeer Noodstroom U heeft gedefinieerd voor welke faciliteiten u noodstroom wenst U zorgt naast de noodstroom voor het rekencentrum ook voor noodstroom van een minimaal aantal werkplekken of u zorgt voor een uitwijkpand U heeft afspraken dat als u meerdere panden heeft welke processen daarin voorrang krijgen als er keuzes gemaakt moeten worden Archief is brandveilig 18

20 Fysiek Uw papierenarchief bevindt zich in een volgens de normen gecertificeerde ruimte Het archief is beschermd tegen brand en bij de blusinstallatie houdt u rekening met schade die door water kan ontstaan De brandweer en andere hulpdiensten worden indien nodig gewezen op de aanwezigheid van het archief en hoe dat te herkennen Het rekencentrum is voorzien van speciale blusinstallaties, inclusief waarschuwing naar de medewerkers Reconstructie archief is aanwezig U kunt het archief reconstrueren door middel van elektronische stukken en de procesgang U kunt bij verlies van dossiers aan cliënten vragen om de onderliggende papieren opnieuw aan te leveren, u weet in ieder geval welke cliënten u moet benaderen daarvoor Incrementele backup gedurende de dag U zorgt voor backup gedurende de dag op een andere locatie Deze betreft de mutaties van een dag Volledige backup s avonds + programmatuur Iedere avond draait u een volledige backup, inclusief de software Uitwijk U heeft een uitwijkvoorziening of een redundant rekencentrum U kunt binnen 4 uur de uitwijk ingeregeld hebben als de productieomgeving Testen uitwijk U test uw uitwijk voorzieningen door eens in de zoveel tijd in de weekenden over te schakelen U laat regelmatig de uitwijk procedures onderzoeken In geval van redundante omgevingen laat u regelmatig testen of de tweede omgeving een volledige kopie bevat Oefenen uitwijk U oefent periodiek de uitwijk U oefent periodiek een ontruiming, inclusief omschakeling naar een uitwijk omgeving Bewaking/monitoring Uw personeel controleert actief de juiste werking van de omgeving U heeft een procedure die zorgt dat de helpdesk meldingen die structureel voor komen of die ernstig van aard zijn direct doorzetten naar de beheerders U heeft hardware en software matige tooling draaien die alarmeren indien vooraf gedefinieerde grenzen worden overschreden Contracten met hard- en software leveranciers U heeft contracten met hard- en software leveranciers waarin hersteltijden zijn afgesproken Juridisch aansprakelijkheid leveranciers regelen De aansprakelijkheid van de leveranciers is geregeld indien zij niet voldoen aan de afspraken U houdt zo nodig rekening met het op andere wijze moeten regelen van beschikbaarheid indien een leverancier niet voldoet U heeft een escrow regeling ten aanzien van belangrijke software SLA met leverancier over beschikbaarheid en snelheid U heeft afspraken over wanneer de leverancier bereikbaar is Hoe snel de leverancier aanwezig is Reserveonderdelen aanwezig U heeft van bedrijfskritische apparatuur reserveonderdelen op voorraad of u heeft een redundante omgeving In een redundante omgeving heeft u single points of failure uitgesloten Exclusiviteit 19

Aan welke eisen moet het beveiligingsplan voldoen?

Aan welke eisen moet het beveiligingsplan voldoen? Vragen en antwoorden n.a.v. brief aan colleges van B&W en gemeenteraden over verplichtingen Wet Bescherming Persoonsgegevens (WBP), de Wet SUWI en de Wet Eenmalige Gegevensuitvraag. Aan welke eisen moet

Nadere informatie

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding

Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging. 1. Inleiding Bijlage 13 Personeelsbeleid in kader van informatiebeveiliging 1. Inleiding Doel van dit document is het verzamelen van alle aspecten die relevant zijn in het kader van personeelsbeleid en NEN 7510, en

Nadere informatie

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument

Checklist NEN7510, Informatiebeveiliging in de mondzorgpraktijk Vraag Ja / Nee / Gedeeltelijk. 1. Beschikt de praktijk over een beleidsdocument Checklist NEN7510 Eén van de eerste stappen van het gestructureerd verbeteren van informatiebeveiliging en het implementeren van de NEN7510 omvat het bepalen van de status van de naleving van de NEN7510.

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

Gebruik Suwinet, wat kan wel wat kan NIET?

Gebruik Suwinet, wat kan wel wat kan NIET? Gebruik Suwinet, wat kan wel wat kan NIET? 1 Inhoud Aanleiding Suwinet mogelijkheden Raadplegen persoonsgegevens Waarborgen / regelgeving Geoorloofd gebruik Ongeoorloofd gebruik Inspanningen Werkgever

Nadere informatie

nemen van een e-depot

nemen van een e-depot Stappenplan bij het in gebruik nemen van een e-depot CONCEPT VOOR FEEDBACK Bijlage bij Handreiking voor het in gebruik nemen van een e-depot door decentrale overheden 23 juli 2015 Inleiding Dit stappenplan

Nadere informatie

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Het College van burgemeester en wethouders van de gemeente Winsum, gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; besluit vast te stellen de navolgende Beheerregeling

Nadere informatie

WBP Zelfevaluatie. Privacygedragscode (VPB)

WBP Zelfevaluatie. Privacygedragscode (VPB) WBP Zelfevaluatie Privacygedragscode (VPB) April 2004 1. Inleiding In haar beschikking van 13 januari 2004 heeft het College Bescherming Persoonsgegevens (CBP) verklaard dat de in de privacygedragscode

Nadere informatie

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen

GEDRAGS- CODE. Gebruik van elektronische communicatiemiddelen GEDRAGS- CODE Gebruik van elektronische communicatiemiddelen 2 3 Gedragscode voor het gebruik van elektronische communicatiemiddelen Inhoud 1. Doel van de regeling 2. Werkingssfeer 3. Algemene gedragsregels

Nadere informatie

In jouw schoenen. Een praktische invulling van informatiebeveiliging

In jouw schoenen. Een praktische invulling van informatiebeveiliging In jouw schoenen Een praktische invulling van informatiebeveiliging Informatiebeveiliging hot topic Hoeveel weet jij eigenlijk van informatiebeveiliging? veel voldoende te weinig Vooraf.. Wat vind jij

Nadere informatie

Checklist calamiteiten

Checklist calamiteiten Checklist calamiteiten Op grond van de Voorbeeld Samenwerkingsovereenkomst Volmacht dienen gevolmachtigde assurantiebedrijven te beschikken over een calamiteitenplan. Het calamiteitenplan moet erin voorzien

Nadere informatie

Informatie over logging gebruik Suwinet-Inkijk

Informatie over logging gebruik Suwinet-Inkijk Inhoudsopgave Inhoudsopgave... 2 1 Inleiding... 3 2 Logging als taak van het BKWI... 3 3 Informeren van gebruikers... 5 4 Rapportage over logging...6 Documenthistorie... 7 Auteur: J.E.Breeman Datum document:

Nadere informatie

Een checklist voor informatiebeveiliging

Een checklist voor informatiebeveiliging Door: De IT-Jurist Versie: 1.0 Datum: juli 2015 Hoewel bij de totstandkoming van deze uitgave de uiterste zorg is betracht, kan De IT-Jurist niet aansprakelijk worden gehouden voor de gevolgen van eventuele

Nadere informatie

Implementatie administratieve organisatie en interne controle.

Implementatie administratieve organisatie en interne controle. Implementatie administratieve organisatie en interne controle. BLOK A Algemeen U dient een beschrijving van de interne organisatie aan te leveren. Deze beschrijving dient te bevatten: A3 Een organogram

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

Klokkenluidersregeling Thús Wonen

Klokkenluidersregeling Thús Wonen Klokkenluidersregeling Thús Wonen Voorwoord Thús Wonen vindt het belangrijk dat werknemers op een adequate en veilige manier melding kunnen doen van eventuele vermoedens van misstanden binnen de organisatie.

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Klokkenluidersregeling Woonpartners Midden-Holland

Klokkenluidersregeling Woonpartners Midden-Holland Klokkenluidersregeling Woonpartners Midden-Holland Waddinxveen, 15 december 2014 Doc.nr.: 1412025 / # Inhoudsopgave Inhoudsopgave 2 1 Inleiding 3 1.1 Waarom een klokkenluidersregeling... 3 1.2 Definities...

Nadere informatie

Privacy in Instituut Verbeeten

Privacy in Instituut Verbeeten Privacy Privacy in Instituut Verbeeten Ook uw gegévens behandelen wij met zorg Wij gebruiken privacygevoelige gegevens van u. We vinden het daarom ook belangrijk dat u weet dat uw gegevens bij ons in goede

Nadere informatie

Privacy Verklaring versie 01-10-2015

Privacy Verklaring versie 01-10-2015 Privacy Verklaring versie 01-10-2015 1. Algemene bepalingen inzake gegevensverwerking 1.1. Met gegevensverwerking wordt het verzamelen, vastleggen, arrangeren, bewaren, wijzigen, openbaar maken, overleggen,

Nadere informatie

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem

Datum 0 6HAARI 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Haarlem Inspectie SZW Ministerie van Sociale Zaken en Werkgelegenheid > Retouradres Postbus 90801 2509 LV Den Haag De Gemeenteraad van Haarlem Postbus 511 2003 PB HAARLEM. L.,.l l l.l ll, l. l Datum 0 6HAARI 2015

Nadere informatie

9 Documenten. 9.1 t/m 9.3 beheer van documenten. Statusoverzicht. Voorgenomen besluit Bestuursgroep OR. Vastgesteld door Bestuursgroep

9 Documenten. 9.1 t/m 9.3 beheer van documenten. Statusoverzicht. Voorgenomen besluit Bestuursgroep OR. Vastgesteld door Bestuursgroep Statusoverzicht. Consultatie 1 Consultatie 2 Voorgenomen besluit Bestuursgroep OR q Instemming q Advies q N.v.t. Vastgesteld door Bestuursgroep N.v.t. N.v.t. Borging. Implementatie m.i.v. Opgenomen in

Nadere informatie

Voor de registratie en de doorgifte van persoons- en medische gegevens dient dit reglement.

Voor de registratie en de doorgifte van persoons- en medische gegevens dient dit reglement. Privacyreglement R/ Partners Voorwoord Omtrent de zieke werknemer worden veel persoonsgegevens verwerkt. Alleen al de strengere reïntegratieverplichting en de verdere uitbreiding van de loondoorbetalingsverplichting

Nadere informatie

Voorbeeld Incidentenregeling voor een Uitvoeringsorganisatie

Voorbeeld Incidentenregeling voor een Uitvoeringsorganisatie Voorbeeld Incidentenregeling voor een Uitvoeringsorganisatie Mei 2009 1 Incidentenregeling van Inleiding Deze Incidentenregeling geeft aan welke stappen gevolgd moeten worden

Nadere informatie

Privacy in Instituut Verbeeten

Privacy in Instituut Verbeeten Privacy Privacy in Instituut Verbeeten Ook uw gegévens behandelen wij met zorg Wij gebruiken privacygevoelige gegevens van u. We vinden het daarom ook belangrijk dat u weet dat uw gegevens bij ons in goede

Nadere informatie

ROC Leeuwenborgh. Gedragscode computergebruik en gebruik van Sociale Media

ROC Leeuwenborgh. Gedragscode computergebruik en gebruik van Sociale Media ROC Leeuwenborgh Gedragscode computergebruik en gebruik van Sociale Media Documentstatus Datum: Aard wijziging: Door: Toelichting: 26 februari 2013 Bert Wetzels Instemming OR Deze gedragscode geeft de

Nadere informatie

Rapport Richtlijn gebruik productiegegevens

Rapport Richtlijn gebruik productiegegevens Rapport Richtlijn gebruik productiegegevens Documenthistorie Datum en versienummer Auteur Opmerking Versie 1.0, 20 december 2005 M. van der Werff, B. de Wit Ter vaststelling door DPB Goedkeuring Datum

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

Informatiebeveiligingsbeleid SBG

Informatiebeveiligingsbeleid SBG Informatiebeveiligingsbeleid SBG Stichting Benchmark GGZ Rembrandtlaan 46 3723 BK Bilthoven T: 030-229 90 90 E: info@sbggz.nl W: www.sbggz.nl Informatiebeveiligingsbeleid SBG 2015 1 Inhoudsopgave 1 Inleiding

Nadere informatie

Voorbeeld Incidentenregeling voor een Pensioenfonds

Voorbeeld Incidentenregeling voor een Pensioenfonds Voorbeeld Incidentenregeling voor een Pensioenfonds Mei 2009 1 Incidentenregeling van Inleiding Deze Incidentenregeling geeft aan welke stappen gevolgd moeten worden indien het vermoeden

Nadere informatie

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen

PRIVACYREGLEMENT. Hoofdstuk 1: Algemene bepalingen PRIVACYREGLEMENT Hoofdstuk 1: Algemene bepalingen Artikel 1: Begripsbepaling 1. In dit reglement wordt in aansluiting bij en in aanvulling op de Wet Bescherming Persoonsgegevens (Staatsblad 2000, 302)

Nadere informatie

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel

Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging. 1. Doel Bijlage 11 Taakomschrijving rollen NEN informatiebeveiliging 1. Doel In dit document leggen we vast hoe de taken en bevoegdheden ten aanzien van informatiebeveiliging verdeeld zijn over de diverse medewerkers.

Nadere informatie

PROTOCOL ELEKTRONISCH BERICHTENVERKEER GEMEENTE HENGELO 2005

PROTOCOL ELEKTRONISCH BERICHTENVERKEER GEMEENTE HENGELO 2005 PROTOCOL ELEKTRONISCH BERICHTENVERKEER GEMEENTE HENGELO 2005 HOOFDSTUK 1. BEGRIPSBEPALING, REIKWIJDTE EN DOELEINDEN Artikel 1. Begripsbepaling In dit protocol wordt verstaan onder: Algemene postbus Elektronische

Nadere informatie

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink

Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Bijlage 1 Privacy Bijsluiter (digitale) leermiddelen en educatieve diensten voor het primair onderwijs van Blink Blink is een educatieve uitgeverij die verschillende (digitale) producten en diensten (

Nadere informatie

Procedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010

Procedure. Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk. Datum document: 16 mei 2007 Versie: 3.0. Datum afdruk: 14 april 2010 Procedure Periodieke en specifieke rapportages Gebruik Suwinet-Inkijk Auteur: Breeman Datum document: 16 mei 2007 Versie: 3.0 Status: Definitief Datum afdruk: 14 april 2010 Periodieke en specifieke rapportages

Nadere informatie

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Mobiele gegevensdragers. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Mobiele gegevensdragers Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Gedragsregels. ICT-voorzieningen

Gedragsregels. ICT-voorzieningen Gedragsregels ICT-voorzieningen Gedragsregels gebruik ICT-voorzieningen Jac. P. Thijsse College 1. Algemeen De onderstaande regels zijn geldig voor iedereen die gebruik maakt van de ICT-voorzieningen van

Nadere informatie

1 Dienstbeschrijving all-in beheer

1 Dienstbeschrijving all-in beheer 1 Dienstbeschrijving all-in beheer De all-in beheer overeenkomst van Lancom is modulair opgebouwd. U kunt bij Lancom terecht voor deelgebieden zoals helpdesk ondersteuning of backup, maar ook voor totale

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

Privacy Reglement Flex Advieshuis

Privacy Reglement Flex Advieshuis Privacy Reglement Flex Advieshuis Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In aanvulling op de Wet bescherming persoonsgegevens en het Besluit Gevoelige Gegevens wordt in dit reglement

Nadere informatie

RAAMREGELING VOOR HET GEBRUIK VAN E-MAIL EN INTERNET

RAAMREGELING VOOR HET GEBRUIK VAN E-MAIL EN INTERNET RAAMREGELING VOOR HET GEBRUIK VAN E-MAIL EN INTERNET Het CBP krijgt regelmatig verzoeken van bedrijven en organisaties voor het toetsen van een e-mail en internetregeling. Dit rapport geeft een aantal

Nadere informatie

Hoofdstuk 1 Algemene Bepalingen

Hoofdstuk 1 Algemene Bepalingen Burgemeester en wethouders van de gemeente Grootegast; Gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens; Besluiten: Vast te stellen de navolgende beheersregeling gemeentelijke

Nadere informatie

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015 INHOUD 1) Wat is informatiebeveiliging (IB) nu eigenlijk? 2) Wat houdt IB binnen

Nadere informatie

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht

VEILIGHEID & BEVEILIGING Facilitaire Dienst - Universiteit Maastricht VEILIGHEID & BEVEILIGING REGLEMENT CAMERATOEZICHT UNIVERSITEIT MAASTRICHT Dit reglement ziet toe op het cameratoezicht op de terreinen en in de panden van de Universiteit Maastricht. Met behulp van camera

Nadere informatie

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V.

Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Bijlage 1 Privacy Bijsluiter Registratie-/ Planningsoftware Uitgeverij Zwijsen B.V. Uitgeverij Zwijsen B.V. is een educatieve uitgeverij die verschillende digitale producten en diensten ( digitale leermiddelen

Nadere informatie

KLOKKENLUIDERSREGELING EUREKO GROEP

KLOKKENLUIDERSREGELING EUREKO GROEP KLOKKENLUIDERSREGELING EUREKO GROEP Artikel 1. Definities In deze regeling wordt verstaan onder: Eureko: Raad van Bestuur: De medewerker: Externe Vertrouwenspersoon: Interne Vertrouwenspersoon: Vertrouwenscommissie:

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Toetsingscriteria ZKN-Keurmerk

Toetsingscriteria ZKN-Keurmerk Toetsingscriteria ZKN-Keurmerk Toelichting opzet van het toetsingsmodel. Indien wordt verwezen naar het aanwezig zijn van een procedure, dan wordt deze geacht te zijn opgesteld, ingevoerd en intern getoetst.

Nadere informatie

Privacy Scan VISD juni 2014. Antwoordcategorie Ja/Nee/ Onbekend

Privacy Scan VISD juni 2014. Antwoordcategorie Ja/Nee/ Onbekend 1 Governance Deze vragen geven inzicht in de te ondernemen acties met betrekking tot de governance en organisatie van privacy. Dit is afhankelijk van de lokale situatie vanaf 2015. Elke gemeente moet nadenken

Nadere informatie

Beheerder ICT. Context. Doel

Beheerder ICT. Context. Doel Beheerder ICT Doel Zorgdragen voor het doen functioneren van ICTproducten en het instandhouden van de kwaliteit daarvan, passend binnen het beleid van de afdeling, teneinde aan de eisen en wensen van de

Nadere informatie

STARTFASE SYSTEEM IN GEBRUIK BIJ/DOOR P&O Melden namens. Gemeentelijk Incidenten Registratiesysteem GIR

STARTFASE SYSTEEM IN GEBRUIK BIJ/DOOR P&O Melden namens. Gemeentelijk Incidenten Registratiesysteem GIR STARTFASE SYSTEEM IN GEBRUIK BIJ/DOOR P&O Melden namens Gemeentelijk Incidenten Registratiesysteem GIR Handleiding voor de startfase Versie 1.0 Hengelo, 18 december 2008 Inhoud 1. Inleiding 3 1.1 Wat is

Nadere informatie

Privacyreglement Hulp bij ADHD

Privacyreglement Hulp bij ADHD Privacyreglement Hulp bij ADHD Paragraaf 1: Algemene bepalingen Artikel 1: Begripsbepaling In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad

Nadere informatie

GBA-beheerregeling 2007

GBA-beheerregeling 2007 GBA-beheerregeling 2007 Wetstechnische informatie Gegevens van de regeling Overheidsorganisatie gemeente Lelystad Officiële naam regeling GBA-beheerregeling 2007 Citeertitel GBA-beheerregeling Lelystad

Nadere informatie

DataCenter Fryslân. Voorschriften toegangsverlening en gedragsregels voor DataCenter Fryslân, François Haverschmidtwei 3A te Leeuwarden

DataCenter Fryslân. Voorschriften toegangsverlening en gedragsregels voor DataCenter Fryslân, François Haverschmidtwei 3A te Leeuwarden DataCenter Fryslân DataCenter Fryslân, François Haverschmidtwei 3A te Leeuwarden Versie 1.4, februari 2010 1 Afkortingen en begrippen... 3 2 Beveiliging DataCenter... 4 2.1 OBSERVATIE VIA VIDEOSYSTEEM...

Nadere informatie

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten

kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten het suwinet-normenkader en de big kwaliteitsinstituut nederlandse gemeenten in opdracht van vereniging van nederlandse gemeenten De Informatiebeveiligingsdienst voor gemeenten (IBD) is een gezamenlijk

Nadere informatie

Periodieke en specifieke rapportages over het gebruik van Suwinet-Inkijk

Periodieke en specifieke rapportages over het gebruik van Suwinet-Inkijk Periodieke en specifieke rapportages over het gebruik van Suwinet-Inkijk Datum Versienummer Auteur 7 oktober 2015 2.0 Edwin Diersmann Periodieke en specifieke rapportages gebruik Suwinet-v2.0 07-10-2015.docx

Nadere informatie

Privacyreglement Bureau Streefkerk B.V.

Privacyreglement Bureau Streefkerk B.V. Privacyreglement Bureau Streefkerk B.V. Inleiding Van alle personen die door Bureau Streefkerk worden begeleid, dat wil zeggen geadviseerd en ondersteund bij het zoeken, verkrijgen en behouden van een

Nadere informatie

OMGANG MET PAPIEREN OF ELEKTRONISCHE GEGEVENS

OMGANG MET PAPIEREN OF ELEKTRONISCHE GEGEVENS 1. ALGEMEEN Het kader voor dit reglement wordt gevormd door de Wet op de Geneeskundige BehandelOverenkomst (WGBO) en de Wet Bescherming Persoonsgegevens (WBP). De relevante wetsartikelen zijn op de centrale

Nadere informatie

Maak het betrouwbaar houden van het Digitaal KlantDossier mogelijk

Maak het betrouwbaar houden van het Digitaal KlantDossier mogelijk Maak het betrouwbaar houden van het Digitaal KlantDossier mogelijk Handleiding configureren correctieservice in Suwinet-Inkijk Mei 2011 1.! Digitaal klantdossier heeft alleen waarde als je erop kunt vertrouwen

Nadere informatie

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht! Privacy is het recht op eerbiediging van de persoonlijke levenssfeer. Privacy van informatie is de afwezigheid van informatie over onszelf bij anderen en bovendien het verbod aan anderen om zonder onze

Nadere informatie

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014

Stichting Pensioenfonds Wolters Kluwer Nederland. Compliance program. Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 Stichting Pensioenfonds Wolters Kluwer Nederland Compliance program Vastgesteld en gewijzigd in de bestuursvergadering van 12 februari 2014 1 Inleiding In dit Compliance Program is de inrichting van de

Nadere informatie

Security Health Check

Security Health Check Factsheet Security Health Check De beveiligingsthermometer in uw organisatie DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl De Security

Nadere informatie

Privacy reglement publieke XS-Key

Privacy reglement publieke XS-Key Privacy reglement publieke XS-Key Dit is het Privacy reglement behorend bij XS-Key Systeem van Secure Logistics BV (hierna te noemen SL ). 1. Definities In dit reglement worden de navolgende begrippen

Nadere informatie

Antwoorden op vragen over verlies van gevoelige informatie nr. 2070801320

Antwoorden op vragen over verlies van gevoelige informatie nr. 2070801320 Postbus 20701 2500 ES Den Haag Telefoon (070) 318 81 88 Fax (070) 318 78 88 Aan de Voorzitter van de Tweede Kamer der Staten-Generaal Plein 2 2511 CR s Den Haag Datum 5 november 2007 D2007029059 Ons kenmerk

Nadere informatie

Raadsmededeling - Openbaar

Raadsmededeling - Openbaar Raadsmededeling - Openbaar Nummer : 54/2016 Datum : 22 maart 2016 B&W datum : 22 maart 2016 Beh. ambtenaar : Annelies te Booij Portefeuillehouder : G. Berghoef Onderwerp : Meldplicht datalekken Aanleiding

Nadere informatie

KLOKKENLUIDERREGELING WONINGSTICHTING VOLKSBELANG

KLOKKENLUIDERREGELING WONINGSTICHTING VOLKSBELANG KLOKKENLUIDERREGELING WONINGSTICHTING VOLKSBELANG 1. Algemeen In de Governancecode Woningcorporaties d.d. november 2006 wordt gesteld dat de directeurbestuurder ervoor zorgt dat werknemers zonder gevaar

Nadere informatie

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 >

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 > PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 > Artikel 1 Begripsbepalingen In deze Privacyregeling wordt

Nadere informatie

Zou het niet iedeaal zijn

Zou het niet iedeaal zijn Zou het niet iedeaal zijn ...als op de eerste werkdag van een nieuwe medewerker alles klaarstaat?! Er zal geen discussie over bestaan. Het zou ideaal zijn wanneer alle voorzieningen op de eerste werkdag

Nadere informatie

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg

Informatiebeveiligingsplan Dentpoint Centrum voor Mondzorg Informatiebeveiligingsplan Praktijkadres Silvoldseweg 29a 7061 DL Terborg Praktijkadres De Maten 2 7091 VG Dinxperlo Praktijkadres F.B. Deurvorststraat 40 7071 BJ Ulft Bijlage 1 Inhoud Informatiebeveiligingsplan

Nadere informatie

Gedragscode voor leerlingen van RSG Broklede voor gebruik van informatie- en communicatiemiddelen en voorzieningen

Gedragscode voor leerlingen van RSG Broklede voor gebruik van informatie- en communicatiemiddelen en voorzieningen Gedragscode voor leerlingen van RSG Broklede voor gebruik van informatie- en communicatiemiddelen en voorzieningen Vastgesteld door de SL op 2 september 2010 Instemming van de MR op 28 september 2010 De

Nadere informatie

Functiebeschrijving Teamleider Huisvesting (facilitair)

Functiebeschrijving Teamleider Huisvesting (facilitair) Functiebeschrijving Teamleider Huisvesting (facilitair) Groot Hoogwaak levert een professionele bijdrage aan het aanbod van woon-, zorg-, en welzijnsvoorzieningen voor ouderen in Noordwijk. Dit aanbod

Nadere informatie

MIP staat voor Meldingen Incidenten Patiëntenzorg. Van die dingen waarvan je niet wilt dat ze gebeuren maar die desondanks toch voorkomen.

MIP staat voor Meldingen Incidenten Patiëntenzorg. Van die dingen waarvan je niet wilt dat ze gebeuren maar die desondanks toch voorkomen. Algemene inleiding Een onderdeel van de gezondheidswet is dat er uitvoering gegeven moet worden aan de systematische bewaking, beheersing en verbetering van de kwaliteit van de zorg. Hiervoor heeft Schouder

Nadere informatie

Vragenlijst ten behoeve van opstellen continuïteitsplan

Vragenlijst ten behoeve van opstellen continuïteitsplan Vragenlijst ten behoeve van opstellen continuïteitsplan Soorten risico s Data (digitaal of op papier) zijn voor langere tijd niet beschikbaar Applicaties (software) zijn voor langere tijd niet beschikbaar

Nadere informatie

K l o k k e n l u i d e r s r e g e l i n g. Stichting Pensioenfonds PostN L

K l o k k e n l u i d e r s r e g e l i n g. Stichting Pensioenfonds PostN L K l o k k e n l u i d e r s r e g e l i n g Stichting Pensioenfonds PostN L Versie december 2015 Inhoudsopgave 1 Inleiding 3 2 Regelgeving 3 3 Samenhang interne regelingen 3 4 Inhoud Klokkenluidersregeling

Nadere informatie

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk)

Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) Aansluitvoorwaarden Koppelnet Publieke Sector (voorheen Basiskoppelnetwerk) 2 april 2015, versie 2.1 Artikel 1 begrippen en afkortingen De hierna met een hoofdletter aangeduide begrippen hebben in deze

Nadere informatie

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen

Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College. 1.1 Algemeen Gedragsregels gebruik ICT-voorzieningen Bonhoeffer College 1.1 Algemeen Ieder die gebruik maakt van het Bonhoeffer College (haar gebouwen, terreinen en andere voorzieningen) daaronder begrepen materiële-,

Nadere informatie

Heijmans. Meldprocedure integriteit en misstanden. Pagina 1 van 6

Heijmans. Meldprocedure integriteit en misstanden. Pagina 1 van 6 Heijmans Meldprocedure integriteit en misstanden Pagina 1 van 6 1. Algemeen Deze Heijmans Meldprocedure integriteit en misstanden, die door de Raad van Bestuur is goedgekeurd, biedt iedere Heijmans medewerker

Nadere informatie

Overzicht Informatiebeveiliging Inlichtingenbureau GGK

Overzicht Informatiebeveiliging Inlichtingenbureau GGK Overzicht Informatiebeveiliging Inlichtingenbureau GGK Versie 1.3 Datum November 2014 A) IB-beleid en plan 1) Gegevens: Zorg ervoor dat een bewerkersovereenkomst wordt afgesloten met nadruk op de volgende

Nadere informatie

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens

Privacy & Security Statement / Werkend Nederland BV. Werken met Persoonsgegevens Privacy & Security Statement / Werkend Nederland BV Inleiding Werkend Nederland werkt met persoonsgegevens. We zijn ons hiervan bewust en gaan integer om met uw gegevens. In dit document kunt u lezen hoe

Nadere informatie

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid

Bewerkersovereenkomst. Afnemer Logius. behorende bij het aanvraagformulier MijnOverheid Bewerkersovereenkomst Afnemer Logius behorende bij het aanvraagformulier MijnOverheid De ondergetekenden: [ ], verder te noemen : Afnemer en De Staat der Nederlanden, te dezen rechtsgeldig vertegenwoordigd

Nadere informatie

Privé berichten Elektronische berichten die een medewerk(st)er niet uit hoofde van zijn of haar functie ontvangt of

Privé berichten Elektronische berichten die een medewerk(st)er niet uit hoofde van zijn of haar functie ontvangt of CVDR Officiële uitgave van Echt-Susteren. Nr. CVDR70878_1 25 november 2015 E-mail protocol Echt-Susteren 2006 De raad van de gemeente Echt-Susteren, gezien het voorstel van burgemeester en wethouders van

Nadere informatie

Voorstel Informatiebeveiliging beleid Twente

Voorstel Informatiebeveiliging beleid Twente Datum: Enschede, 5 februari 2014 Voor: Kernteam SSNT d.d. 12-2-2014 Betreft Agenda punt 4 beslisdocument informatiebeveiliging, Bijlage 1 Voorstel Informatiebeveiliging beleid Twente (Format ter besluitvorming)

Nadere informatie

Privacyreglement OCA(Zorg)

Privacyreglement OCA(Zorg) Privacyreglement OCA(Zorg) Artikel 1 Algemene- en begripsbepalingen 1.1 Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit reglement gebruikt in de betekenis die de Wet Bescherming Persoonsgegevens

Nadere informatie

Klokkenluiderregeling Stichting Woontij

Klokkenluiderregeling Stichting Woontij Klokkenluiderregeling Stichting Woontij Klokkenluiderregeling Woontij, versie 1.2, 8 februari 2011 1 Woontij vindt het belangrijk dat werknemers op een adequate en veilige manier melding kunnen doen van

Nadere informatie

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds

Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds <Leverancier> Bewerkersovereenkomst GBA tussen enerzijds de gemeente Simpelveld en anderzijds Plaats : Organisatie : Datum : Status : Definitief Versie : 1.0 1 De ondergetekenden:

Nadere informatie

Functieprofiel: Operationeel Manager. De operationeel manager ontvangt leiding van en is verantwoording schuldig aan de directeur.

Functieprofiel: Operationeel Manager. De operationeel manager ontvangt leiding van en is verantwoording schuldig aan de directeur. Organisatie Functieprofiel: Operationeel Manager De operationeel manager ontvangt leiding van en is verantwoording schuldig aan de directeur. Geeft leiding aan en werkt samen met de vrijwilligers en de

Nadere informatie

Tool voor certificering instrumenten voor verantwoord digitaal

Tool voor certificering instrumenten voor verantwoord digitaal Tool voor certificering instrumenten voor verantwoord digitaal werken Jan Beens (Regionaal Archief Nijmegen) Geert-Jan van Bussel (Van Bussel Document Services) Introductie De elementen zijn afkomstig

Nadere informatie

Klachtenregeling. Actan accountants & adviseurs

Klachtenregeling. Actan accountants & adviseurs Actan accountants & adviseurs Om eventuele klachten en meldingen van onregelmatigheden of incidenten adequaat af te handelen maken wij gebruik van deze klachten- en meldingsprocedure. Klachten en meldingen

Nadere informatie

Bijlage 2 Beveiligingsplan. Informatiebeveiliging

Bijlage 2 Beveiligingsplan. Informatiebeveiliging Bijlage 2 Beveiligingsplan Informatiebeveiliging De verantwoordelijkheid voor informatiebeveiliging ligt bij het dagelijks bestuur. In de DB-vergadering van 31 augustus 2015 is stilgestaan bij een aantal

Nadere informatie

Nadere uitwerking AO/IC. Uitvoeringsorganisatie De Groenzoom

Nadere uitwerking AO/IC. Uitvoeringsorganisatie De Groenzoom Nadere uitwerking AO/IC Uitvoeringsorganisatie De Groenzoom Datum: 10 juni 2015 Kenmerk: GZ-U3924 Versie: 1.0 Uitvoeringsorganisatie De Groenzoom Kleihoogt 7a 2651 KV Berkel en Rodenrijs Inhoudsopgave

Nadere informatie

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland

Samenvatting Meldplicht Datalekken. Michael van der Vaart Head of Technology ESET Nederland Samenvatting Meldplicht Datalekken & Michael van der Vaart Head of Technology ESET Nederland DISCLAIMER LET OP: Het gaat hier om een interpretatie van de omtrent de meldplicht datalekken. Deze interpretatie

Nadere informatie

1. Begrippen. 2. Doel van het Cameratoezicht

1. Begrippen. 2. Doel van het Cameratoezicht Protocol cameratoezicht Stichting Stadgenoot Dit protocol is van toepassing op alle persoonsgegevens, verkregen door middel van het gebruik van videocamera s door stichting Stadgenoot (Sarphatistraat 370

Nadere informatie