Quick Scan Informatieveiligheid en Privacy sociaal domein Bollenstreek

Transcriptie

1 Quick Scan Informatieveiligheid en Privacy sociaal domein Bollenstreek De Bollenstreek Managementsamenvatting Quick Scan Informatieveiligheid en Privacy voor: Gemeente Hillegom Gemeente Lisse Gemeente Noordwijk Gemeente Noordwijkerhout Gemeente Teylingen ISD Bollenstreek Maregroep JGT (alleen Privacy) BMC Groep 1 mei 2015 E. (Erik) Versterre MBA MIM Drs. W. (Willem) de Vries A. (Annet) Hendriks Y.I. (Ineke) Spinder 1

2 Managementsamenvatting In de afgelopen maanden heeft het bureau BMC op verzoek van de vijf gemeenten in de Bollenstreek de processen rondom de decentralisaties in het sociaal domein getoetst aan de richtlijnen en wetgeving van informatieveiligheid en privacy. Dit is gebeurt aan de hand van een Quick Scan bij de gemeenten Hillegom, Lisse, Noordwijk, Noordwijkerhout en Teylingen en de uitvoeringsorganisaties: De Maregroep, de ISD Bollenstreek en (deels) de Jeugd- en Gezinsteams. De Quick Scan Informatieveiligheid en Privacy in het sociaal domein biedt inzicht in de huidige situatie van de gemeenten en de uitvoeringsorganisaties wanneer het gaat om de veiligheid van de persoonsgegevens na de drie decentralisaties. De quick scan vormt een herkenbare foto van de werkelijkheid. Het algemeen beeld is dat de Bollenstreek in organisatorisch/juridisch opzicht op weg is naar een adequaat uitvoeringsniveau van de nieuwe processen in het sociaal domein voor wat betreft informatieveiligheid en privacy, maar dat er ook nog werk ligt om dat niveau te bereiken. Deze managementsamenvatting vormt een globale weergave van de resultaten van de Quick Scan. Specifiekere aanbevelingen en conclusies zijn nader uitgewerkt in deelrapportages voor de afzonderlijke organen binnen het sociaal domein van de Bollenstreek. Decentralisaties Vanaf 2015 zijn gemeenten verantwoordelijk voor jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen. Dit betekent dat enkele huidige taken van de gemeente uitgebreid worden en dat er nieuwe taken bij zijn gekomen. Deze drie decentralisaties naar de gemeenten zorgen voor nieuwe uitdagingen voor de gemeenten op het gebied van informatieveiligheid en privacy. Deze nieuwe taken zijn in het sociaal domein van de Bollenstreek als volgt ingedeeld: Binnen deze nieuwe taakgebieden van de gemeenten worden veel gevoelige en bijzondere gegevens van burgers verwerkt. Dit maakt de gemeente een interessante partij voor externe invloeden om 2

3 informatie te vergaren en daarnaast hebben de gevolgen van een informatieveiligheidsincident (denk bijvoorbeeld aan een datalek door onzorgvuldige medewerkers of hackers met kwade bedoelingen) een steeds grotere impact op een steeds grotere groep burgers. Resultaten Aan de hand van vier werksessies met de verantwoordelijken, uitvoerders en toezichthouders binnen het sociaal domein in de Bollenstreek resulteert de Quick Scan in de volgende uitslagen: Informatieveiligheid in % Privacy in % Gemeenten: Hillegom Lisse Noordwijk Noordwijkerhout Teylingen Uitvoeringsorganisaties: De Maregroep ISD Bollenstreek Jeugd- en Gezinsteams n.v.t. 57 Deze uitslagen bieden slechts een relatieve weergave van de werkelijkheid. Omdat er op een bepaald gebied laag gescoord wordt, betekent dit niet direct dat ook hier de urgentie ligt. De percentages geven enkel een weergave van de progressie die nog gemaakt moet worden om volledig te voldoen aan alle voorschreven normen en kaders rondom informatieveiligheid en privacy in het sociaal domein. Globaal kan gezegd worden dat er binnen de Bollenstreek nog veel onduidelijk is over hoe het sociaal domein precies vorm gaat krijgen en wie er verantwoordelijk is voor welke processen. Het sociaal domein is nog volop in ontwikkeling en er heerst nog veel onzekerheid over de uiteindelijke inrichting van deze nieuwe taakvelden. Door deze onzekerheid hebben informatieveiligheid en privacy nog niet de aandacht gekregen die ze verdienen. Gemeenten De huidige foto van de informatieveiligheid- en privacysituatie bij de gemeenten biedt een kritisch beeld. Er is een bepaalde basis aanwezig, maar er bestaat nog een onvoldoende uitvoeringsniveau. Dit wordt verklaart doordat de gemeenten haar processen in het sociaal domein veelal heeft uitbesteed aan de uitvoeringsorganisaties. Hierdoor is de aandacht voor het beveiligen van deze processen mogelijk ook afgenomen. Wanneer deze processen gedelegeerd zijn ligt de verantwoordelijkheid ook bij de uitvoeringsorganisaties maar in het geval van mandaat ligt dit nog bij de gemeente. Praktisch betekent dit voor de Bollenstreek dat voor wat betreft Jeugdzorg (hier is niet naar boven gekomen of er sprake is van mandaat of delegatie) de gemeente verantwoordelijk is en blijft voor de informatieveiligheid en privacy van deze processen. De gemeenten voldoen nu niet aan de eisen voor de uitvoering van deze processen. Uitvoeringsorganisaties De foto van de uitvoeringsorganisaties is sterk wisselend per organisatie. De ISD Bollenstreek is goed op weg naar een veilige omgeving van persoonsgegevens en is serieus bezig met het juist inrichten van de processen. Desalniettemin blijft er ook voor de ISD Bollenstreek genoeg ruimte over voor verbetering (voornamelijk bij informatieveiligheid). Bij de Maregroep heerst er bewustzijn over 3

4 de gevoeligheid van de gegevens die ze bezitten, maar moet er nog veel gebeuren op het gebied van informatieveiligheid en privacy. De Jeugd- en Gezinsteams zijn een nieuw orgaan binnen de organisatie. Het is voor de organisatie nog onduidelijk hoe dit team precies plaatst neemt in het geheel en hoe dit is ingeregeld. Dit maakt het zoeken naar een verantwoordelijke voor de informatieveiligheid en privacy rondom deze teams lastig. Er is bij het opzetten van de Jeugdteams wel veel aandacht besteed aan met name privacy, de juridische inbedding is echter nog niet zichtbaar. Prioritering In de volgende figuur is te zien welke maatregelen de prioriteit hebben, gekeken naar de aanbevelingen van de Informatie Beveiligingsdienst (IBD) en de risico s die de grootste consequenties met zich mee brengen: Prioriteit Beschrijving Individueel of gezamenlijk Prioriteit 1 Verplichte aansluitnormen CORV (digitaal Individueel knooppunt jeugdzorg) Prioriteit 2 Taken en verantwoordelijkheden derde partijen Gezamenlijk Prioriteit 3 Taken en verantwoordelijkheden en bewustwording Individueel medewerkers Prioriteit 4 Privacy Werkprocessen & triages Register persoonsgegevens en meldingen CBP Governance Gezamenlijk Prioriteit 5 Logging Gezamenlijk Patchmanagement, wijzigingsbeheer en ontwikkel- en testprocedures Bewerkersovereenkomsten Back-up, restore-procedures en uitwijk Fysieke toegang Logische toegang Informatiebeveiligingsbeleid en governance Beheer informatiebeveiligingsincidenten Prioriteit 6 Overige maatregelen uit advies IBD Individueel (Informatiebeveiligingsdienst) voor sociaal domein Prioriteit 7 Overige BIG (Baseline Informatiebeveiliging Gezamenlijk (in een Nederlandse Gemeenten) maatregelen sessie) Prioriteit 8 Maatregelen uit de aanvullende RI&E (risico- Individueel inventarisatie en evaluatie) Binnen een prioriteit vallen verschillende maatregelen. In de tabel is aangegeven of het grootste deel van de maatregelen binnen de betreffende prioriteit in samenwerking met andere gemeenten en organisaties opgepakt kunnen worden. Dit betekent echter niet dat alle maatregelen binnen een prioriteit gezamenlijk opgepakt kunnen worden. Dit verschilt per maatregel. Door gezamenlijk maatregelen op te pakken kan er een groot efficiencyvoordeel behaald worden. De gemeenten en uitvoeringsorganisaties beschikken in het sociaal domein over veel van dezelfde (soort) processen, waardoor een gezamenlijke aanpak minder druk legt op de organisatie, kennis en expertise gebundeld kan worden met als uitgangspunt om maar één keer het proces in te richten. 4

5 Richting een plan van aanpak Aan de hand van de prioritering, de uitgewerkte deelrapporten en de resultaten van de compacte GAP-analyse en Privacy Scan kan de Bollenstreek werken aan een gericht plan van aanpak om op een acceptabel uitvoeringsniveau te komen binnen het sociaal domein. Sociaal domein of gemeentebreed? Dit is ook het moment om niet alleen het sociaal domein op een adequaat uitvoeringsniveau te brengen, maar om het gemeentebreed op orde te krijgen. Veel processen die ingericht moeten worden voor het sociaal domein moeten ook gemeentebreed geregeld worden. Ook op een gemeentebreed niveau moet alles in orde zijn wat betreft privacy en informatieveiligheid en de maatregelen die de gemeente nu moet aanpakken in het sociaal domein overlappen zeer sterk met de gemeentebreed maatregels. Compact en doelgericht De huidige foto die gemaakt is door BMC aan de hand van de Quick Scan is door BMC geprioriteerd op basis van het advies van de IBD en verder verfijnd met haar eigen ervaring bij andere gemeenten. Deze prioritering is dus generiek en niet specifiek toegespitst op de Bollenstreek. Het is mogelijk voor de Bollenstreek van belang gezamenlijk te kijken wat voor de Bollenstreek prioriteit heeft en wat niet. Vervolgens is het van belang om een lijst te maken van de maatregelen die in de komende periode (een jaar) worden aangepakt, dit moet aansluiten bij de capaciteit en de ambitie van de organisatie. Daarnaast moet goed afgewogen worden welke van deze maatregelen gezamenlijk opgepakt worden en welke individueel en hoe dit wordt ingericht. Mogelijk is het verstandig om een werkgroep op Bollenstreek - niveau in te richten die gezamenlijk deze afweging maakt en vervolgens ook de gezamenlijke maatregelen oppakt. Vanuit de organisatie moet commitment aanwezig zijn om deze maatregelen ook daadwerkelijk op te pakken. Dit geldt voor zowel de uitvoerders als de verantwoordelijken, dit betekent dan ook dat er geld en tijd beschikbaar gemaakt zal moeten worden. Na het eerste termijn zal gekeken moeten worden welke maatregelen wel en niet naar behoren zijn uitgevoerd aan de hand van een nieuwe GAP-analyse en Privacy Scan. Hierdoor zal weer zichtbaar worden wat voor progressie er in dit eerste termijn is behaald en wat er gedaan moet worden. Vervolgens kan aan de hand van een nieuwe RI&E (risico- inventarisatie en evaluatie) bekeken worden welke maatregelen in het volgende termijn prioriteit hebben en hoe dit moet worden aangepakt. Hierdoor ontstaat een plan-do-check-act cyclus zoals hieronder is weergegeven. 5

6 Juist doordat het sociaal domein bij de Bollenstreek nog volop in ontwikkeling is, is het van belang jaarlijks deze cirkel te doorlopen. Zo zorgt men dat men informatieveiligheid en privacy niet uit het oog verliest. 6